[转载]应用科学方法提高信息安全风险评估水平
信息来源:2004全国风险评估论文 仔细读完了,没有觉得此问提出了任何关于安全评估的实施方法。全是指标性的东西。(自我感觉)同时,我认为在如何培养自评估团队时,应该考虑横向评估和纵向评估的结合~~这也是现代管理的宗旨。通过多角度的评估能更充分的挖掘信息安全管理的信息特点和不足,让开发者、使用者、销售者、管理者……从各自的角度详细评估,有利于信息的收集全面和系统自身的改进。
其实目前市面上的委托评估公司也就是这么做的,不过他们没法收集到开发者和管理者的信息~~
所以我个人也认为,虽然委托评估公司来得比较容易,但是不如培养自评估团队来得仔细和全面。 [quote][b]下面是引用血月杀色于06-19-2005 17:54发表的:[/b]
仔细读完了,没有觉得此问提出了任何关于安全评估的实施方法。全是指标性的东西。(自我感觉)
同时,我认为在如何培养自评估团队时,应该考虑横向评估和纵向评估的结合~~这也是现代管理的宗旨。通过多角度的评估能更充分的挖掘信息安全管理的信息特点和不足,让开发者、使用者、销售者、管理者……从各自的角度详细评估,有利于信息的收集全面和系统自身的改进。
其实目前市面上的委托评估公司也就是这么做的,不过他们没法收集到开发者和管理者的信息~~
所以我个人也认为,虽然委托评估公司来得比较容易,但是不如培养自评估团队来得仔细和全面。[/quote]
说的在理 2004全国风险评估论文都是枯燥的学术报告 与业界还有一定的差距
而且以前曾经有几篇被扔到了焦点 基本没有好评...可见学术和业界不能脱轨
至于委托评估公司和自我培养评估团队 当然是后者更人性化 更具备挑战性和实际性
但是几乎需要评估的绝大部分客户 他们所在乎的其实是一个结果 而且本身也不是做安全方面的 如果单独建立团队 对他们而言完全没有必要 因为并非天天需要评估...
因此 关心的是结果 甚至不在乎是否特别精细 就自然委托公司了...
前面是从客户方面考虑
至于评估公司 则应该在营销和管理上都多下工夫 毕竟团队还是要符合专业评估标准的好 现在骗钱的小公司太多了 看见信息安全挣钱 就连之前攒电脑的二把刀也要想插信息安全一把 这些人根本没有专业的素质和技术 但是无奈受骗的却很多
页:
[1]