发达的科学和通讯技术和手段，在给人们的沟通和联系带来便利的同时，还带来了烦恼。想必你的电子邮箱和手机里，经常会收到类似公关培训和房地产信息的垃圾邮件和短信。也许你的手机会接到陌生号码的来电，接通之后是有人向你推销某健身俱乐部的服务优惠。而更令你惊奇的是，对方可以准确地叫出你的名字，并结合你的工作职业推销特定的服务。也许这时候你的感觉更多的是惊恐，而不是惊奇。是谁泄露了你的个人信息？

    2007年12月，英国保险公司NorwichUnion的资料被人盗取，骗走330万英镑人寿保险金。今年4月7日，英国汇丰银行宣布丢失一张重要的电脑光盘，光盘内存有３７万名寿险投保客户资料，包括姓名、生日和投保等级。

    当个人在担心自己的个人信息是否安全的时候，公司的CIO和管理层也在为公司信息安全的管理问题而头疼。信息安全的管理，要用到IT系统。作为一个公司的CIO,越来越多的问到的问题是:一个公司的IT系统的成功是用什么方法来衡量的？用什么办法告诉公司的管理层，现在的IT系统是安全的，有多安全？对于公司的IT系统，对于安全机制的资源投放是什么样的，投放了多少，投放之后是否真的安全？

    对于公司IT系统的安全问题，不仅仅是CIO要关心和关注的，公司的管理层也希望通过量化的数据和分析来知道系统在一段时间之后是否有所改进，而改进了之后，是否获得了预期的效果，改进的东西能否真正的成功？

    对公司信息安全管理进行量化，可以让公司管理层、CIO，甚至公司的基层员工都明白在信息安全管理方面做的事情是对公司有回报的。

    如何对信息安全管理实行量化？首先要建立一套安全机制的评估方法，并且，要在这时候确立好评估所要达到的重要目标是什么。因为，在评估和量化的过程后，要参照这个重要目标来判定量化之后是否对于公司的信息安全风险控制和安全管理有所帮助。需要特别注意的一点是，这套评估方法最好是可以重复使用的。在重复使用的过程中，还要求这套机制具有可比性，这样的目的是在量化和评估之后可以清晰地看到哪些步骤和方法是需要改善和修正的。