隨著國家對信息安全工作重視程度的日益提升，以及企業自身對信息安全管理要求的不斷提高，不少企業已開始通過建立一系列的信息安全管理制度、實施必要的技術手段等方式來加強企業的信息安全。但在運行了一段時間后，管理者不禁要問，采取的這些控制措施是否仍然有效？需要持之以恒去做的工作是否還在不斷有效地進行著？而解決這些問題，需要通過目標管理和信息安全管理有效性測量的有機結合來實現。

    現代管理學之父——彼得·德魯克說過，不是有了工作才有目標，而是相反，有了目標才能確定每個人的工作。所以，“企業的使命和任務，必須轉化為目標”，如果一個領域沒有目標，這個領域的工作必然被忽視。信息安全管理也如是，企業的信息安全需要每個人的參與，管理者應該通過目標對下級進行管理，當企業高層管理者確定了企業的信息安全目標后，必須對其進行有效分解，轉變成各部門以及各個人的分目標，管理者根據分目標的完成情況對下級進行考核、評價和獎懲。這樣就能夠使人們用自我控制的管理來代替受他人支配的管理，激發人們發揮最大的能力把安全做好。

    首先，在策劃信息安全管理體系時，要明確信息安全的管理目標。其剛性要求來自國家的法律法規以及客戶的要求，企業自身的要求則是彈性要求，重在與公司業務目標的結合。目標的制定要遵循“科學性、可操作性、預見性和可量化性”的原則，對目標進行分解時，要綜合考慮風險評估的結果與信息安全管理制度的要求，既不能“遙不可及”也不能“觸手可及”。隨后，明確測量指標、測量方式、數據來源、負責人以及測量頻度等內容，以便為收集數據打下良好的基礎。

    其次，在實施信息安全管理體系時，要確保所收集數據的真實性。在相應負責人提供數據的基礎上，由匯總數據的信息安全專員或組（根據企業的信息安全組織結構而定）進行數據的抽樣確認，以確保數據的真實可靠，為隨后數據分析結果的準確性提供保障。

    第三，在監視和回顧信息安全管理體系時，對數據進行分析并評估報告結果。對數據進行分析時，分析的內容隨企業的關注點不同而有所不同，一般包括測量指標的達成情況、現有控制措施是否有效、指標制定的合理性、風險狀態的趨勢預測等內容。隨后形成分析報告提出改進建議，并通過內部審核、管理評審等活動評估有效性測量方法的合理性，測量結果的有效性，以及改進建議的適宜性。

    最后，在維護和改進信息安全管理體系時，對評審通過的有效性測量改進內容制定改進方案并加以實施，在適當時候進行改進結果的驗證確認，以不斷完善信息安全管理的有效性測量，為企業信息安全管理目標的合理設定與達成提供有利保障。