其他的标准有:安装防病毒系统的百分比、经授权标准配置的系统的百分比、灾难恢复平均时间和经过安全评估、威胁行为分析的应用程序代码百分比或生产软件前进行的代码评估百分比。
“企业的管理者和信息安全人员难于做出成效(译者注:成本、效益)合适的信息安全投资决定,主要是因为他们缺乏明确的、可靠的、广泛被认可的结果测试标准,来做为决策支持。”CIS首席执行官德特·穆奇奥(Dert Miuccio)在一次讲话中说道:“立法者和行政人员想知道他们的花费的价值所在,但客观的说,安全人员对此种价值的定义和测量越来越成为一个难题。我认为合作并取得一致意见可以最有效的化解这些难题。”
除了这组标准之外,CIS还计划在下半年公布一个基于软件的服务,旨在不同的机构组织之间做匿名的安全状况比较,并把安全实践同结果联系起来。
“新的CIS信息安全测试标准将为制定信息安全策略并评估它的执行效果提供必要的数据,”穆奇奥说:“这些数据将为那些依赖于网络的企业,在制定成效信息安全投资时提供一个合理的依据,以更好的保证信息的实用性、有效性和完整性。”