信息安全的核心理念是风险管理,这是经过N轮PK之后得出的基本共识(虽然依然有争议的声音)。
而对于风险管理模型,哪种更有效,争议还非常之大。我也看过风险管理模型(主要是风险评估模型)若干,感到这些模型论述的核心东西是一致的:围绕着威胁、弱点、资产价值、控制措施四点来开展,且也看不出哪个模型明显比其他模型更有效。不同的地方是:如何表述,使得更为易用、逻辑更清楚。
所以我觉得:诸如我辈这类入行较短时间的人士,如想长期在该行业生存下去,就需要好好研究风险管理,而对风险管理方面的论著勿需穷经皓首、我注六经,选中其中一个行业大拿认可的模型好好研究即可。对于这类模型的选择,我认为选择国际上应用广泛、主流的国际标准即可。
对此,我推荐大家认真研读《BS7799-3:2006 Guidelines for information security risk management》,并把心得拿出来晒晒,任何有长久生命力的模型或解决方案,必须要敢于面对阳光。在信息安全行业,特别是信息安全管理领域,不存在“秘方”,区别在于从业者有没有深入理解这些看上去放之四海而皆准的理念以及如何灵活落地。
扫一扫
5505
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
