行业标准或推荐

来自其他有类似商务目标和规模的***的惯例。

当然，如果环境和商务目标较为典型，***也可以自行建立基线。

基线评估的优点是需要的资源少，周期短，操作简单，对于环境相似且安全需求相当的诸多***，基线评估显然是经济有效的风险评估途径。当然，基线评估也有其难以避免的缺点，比如基线水平的高低难以设定，如果过高，可能导致资源浪费和限制过度，如果过低，可能难以达到充分的安全，此外，在管理安全相关的变化方面，基线评估比较困难。

基线评估的目标是建立一套满足信息安全基本目标的***小的对策集合，它可以在全***范围内实行，如果有特殊需要，应该在此基础上，对特定系统进行更详细的评估。

考察关键控制点的合理性

　　企业为了保证运营管理过程中各个环节的合规性，规避运营风险，都会在流程的各个环节设定相应的审核点，也就是流程的关键控制点，这些控制点设置的合理性也将影响运营的效率。我们往往从如下几点来判断关键控制点设置的合理性：能否有效控制或者降低风险，控制点的实施人员是否具有足够的知识和经验，是否有适当的权责划分，能否快速的处理例外情况等。

考察决策的效果

　　随着管理幅度、管理半径的加大，企业的高层需要决策的内容越来越多，情况也越来越复杂，因此，决策者往往希望能够更的了解信息，以便做出科学的决策，于是会议开始变得漫长，"花一个小时汇报、再花一个小时讨论、后花15分钟拍脑袋"就成了常见的现象。因此，我们需要考察会议决策的效果，考察企业能否在会前完成汇报内容，提前相互知会;考察能否在会前完成思想统一;考察会后的决策跟进措施能否有效落实。用一个管理人员的说法就是"会议应该仅为决策"。

　　在诊断过程中，常用的方式是问卷调查，依据诊断步骤，依次对每一个诊断的要素进行交叉调研、访谈，以了解企业真实的现状，并通过雷达图的形式将诊断结果显性化。通过前面五个步骤，企业应该能够基本了解自身在项目运营管理的现状，并能自行设定提升目标进行针对性的改进行动。同时，结合企业的战略需要或管理的迫切性要求制定短期提升目标，并采取相应措施推进该目标的实现。