とりあえず、ISMSやBS7799などにより分析した結果と実施内容を
　照らし合わせて、これで評価してみるのも一つの手かと。
　かなり便利です。
　http://www.ipa.go.jp/security/fy15/development/metrics/index.html

情報セキュリティの確保に関して、その実施の程度を評価するアプローチ手法は発展途上の段階にある。現在実施されている評価においては、その観点の多くは、着眼点を列挙するガイドラインの延長上にあり、いわば定性的な評価基準が示されている。