1. 漏洞风险管理度量
a.漏洞级别
b.漏洞依然存在的数量
c. 漏洞修复时间
d.漏洞所占比重
e.映射漏洞对应的OWASP TOP 10或者CWE的种类
2、安全事件度量
a,安全事件影响范围
b.发现跟踪处理时间的时间
c.受影响主机的下线时间
d.受影响主机的数量
e.安全事件发生的概率
f.安全事件类型
g.安全事件级别
i.安全事件通报率
h.安全事件影响的时间
j.安全事件涉及到的人员数量
l.安全事件恢复时间
k.安全事件造成的损失
3、监控
a. ddos监控
b.恶意盗窃者使用卡或者其他电子凭证的异常
4. SDLC度量
SDLC修复一个漏洞各阶段成本消耗
更多内容参考:
1、 CISSECURITY安全度量标准