安全之美——3.1.3 合理的度量指标

用于衡量健康合理的医学方法向患者提供了一个合理的指导方针，使他们可以评估自己的健康状况，同时又保持合理的预期。尽管病人会问：“我的健康程度如何？”但他们知道这实际上是一个无法回答的问题，多数医生只会给出一个相对谨慎的回答，例如“目前看来一切正常”。如果病人还想究根问底，医生可能会再加上一些套话，例如“您的生命体征非常正常。您的所有测试结果都是正常的。您并没有超重，但您最好能够戒烟。”他们只是提供了一个总结，列出了一些不包含权重的正面或负面事实。这些事实都直接或间接来自这些度量指标。在有些情况下，如果病人坚持询问，他们会使用像胆固醇和骨质疏松这种专门用来应付门外汉的医学术语。 重要的是，医生不会试图向病人提供一个全面周到的回答。这个列表常常按照器官系统进行组织：心血管、肺、皮肤、神经系统等。每个系统具有相关的专家，病人可以有的放矢，寻求深入的测试和诊断。 同样重要的是，病人觉得这样的答案是可以接受的。和Geer博士所参加会议的CFO不同，他们并不期望快速、明确的结果。 而且，医学领域还发展了令人印象深刻的各种度量指标，值得安全度量专家们学习。 首先，医学研究需要收集“病人历史”、“生命体征”和“基本生物计量”，以便展开与健康有关的讨论。病人历史提供了广泛的基本上下文，一般由一组答案为“是”或“否”的问题所表示。例如：“您是否得过麻疹？”“您的父母或兄弟姐妹是否患有高血压？” 对于大多数人而言，医学生命体征包括体温、血压、脉搏和呼吸频率。基本生物计量包括身高、身重和疼痛。对新生儿而言，设计了一组称为阿普加评分的特殊生命体征。这个度量指标是在1952年由小儿麻醉专家Virginia Apgar所发明的。这是一种简单、可重复的方法，可以快速、准确地评估新生儿在出生时的健康状况。新生儿在出生一分钟后和五分钟后根据5个标准进行评估：外观、脉搏、应激反应、活动和呼吸。阿普加评分是为5个标准分别打0分、1分或2分，然后计算总分所得到的。完美的评分是10分。除了如何为每个标准打分的指南之外，还有解释最终得分的指南。超过7的评分被认为是正常的。低于3的评分被认为是非常危险的。 其次，医学研究更侧重于相对度量指标，而不是绝对度量指标。前面所提到的生物计量指标“疼痛”就是一个很好的例子。有趣的是，疼痛是按照等级0～5或0～10进行测量的，其中0表示不疼痛，5或10表示病人曾经感受过的最剧烈疼痛。它被认为是一种良好的做法，使医生允许病人挑选一种需要使用的等级（0～5或0～10）。同样重要的是，这个度量指标是相对于病人的以前体验进行测量的。它并没有绝对指标。由于一个特定的病人无法体验其他人的疼痛，因此这个方法只是一个知觉选项。 再次，医学研究引进了“足够好”的概念。正面的生命体征和生物计量指标对于表示一个人是否健康而言既不是必要条件也不是充分条件。一个具有良好评分的人可能患了病，另一个评分很差的人很可能却是健康的。但是，后面这种情况是不寻常的。按照“足够好”的精神，对生命体征和生物计量指标的测量仍然被看成是“最佳实践”。而且，通过统计分析，医学研究提供了不同层次的信心，能够大致确定一个异常情况发生的可能性。 最后，也可能最为重要的是，医学研究人员把他们所制定的指导方针建立在过去几十年所收集的大量病人数据的基础之上。医学生命体征的值已经通过实验确定，并通过分析数据得到证实。这种数据之所以可用的原因是：1）病人乐意接受测量；2）病人同意共享这些测量结果。对自由共享的病人数据的分析允许研究人员通过分布来确定正常值，描述个体值偏离正常值的可能性并解释这种区别。另外，他们可以确定来自不同人群的值，例如新生儿、儿童、青少年、成人和老年人。通过分析还可以确定对正常值的其他影响，例如性别、国籍、种族、最近活动或生活方式以及是否超重等。注意，单独的病人数据绝不会被泄露给医生或其他病人，实际所提供的只是经过分析的度量指标，例如平均值、百分比范围、最高值、最低值和标准差等。 从文化上分析，安全专业人员需要模拟医学专业人员，改变工作方式。安全必须开发一个生命体征系统和通常接受的度量指标，能够被理解并且做到“足够好”。这些度量指标并不需要是明确的或绝对的。它们可以是相对的，有时甚至可以是主观的。它们允许出现假阳性或假阴性，但出现的概率必须非常低，能够被接受，并且是可以测量的。IT安全专业人员不但必须定期测量数据，而且还要共享数据，而不是把它们当做秘密而秘而不宣。如果他们不作改变，像加利福尼亚SB 1386这样的法案就会强制他们这样做。 有了这些变化之后，安全研究人员可以用严格的科学来支持他们的分析。只有到了这个时候，他们才能解放自己，增加别人对他们的信任，而不像以前人们眼中的占卜家和算命先生一样。