企業のセキュリティ向上を支援する非営利団体のCenter for Internet Security(CIS)は米国時間2008年9月9日,セキュリティ専門家の意見に基づいて定義した情報セキュリティ指標の公開計画を発表した。企業の情報セキュリティ戦略の立案・実施の評価を目的としている。

 この指標は,政府,企業,教育機関の専門家80人以上が協力してコンセンサスに基づいて策定した。これら専門家が,企業の情報セキュリティを評価するために測定すべき事項を決定し,その測定方法を定義するというプロセスで策定作業を進めている。

 最初に公開される指標には,セキュリティ・インシデントが起こる平均間隔,セキュリティ・インシデントから復旧するまでの平均時間,承認された標準規格で構成されているシステムの割合,ポリシーに従ってパッチを適用しているシステム,またはウイルス対策を導入しているシステムの割合などが含まれる。

 このほかCISは,セキュリティ・プラクティスとその結果の関連付けや,匿名による企業のセキュリティ状況比較などを可能にするソフトウエア・サービスを2008年内に開始する予定である。