楼上众多的说法,正是我在开篇所要反对的。我没去找"三分技术七分管理"的原文是怎么描述的,但我理解,三分技术七分管理,并不指的是纯技术和纯管理,而是两者的结合,安全的过程,就是对信息资产通过技术进行管理的过程,这里面并不是规章制度,并不完全是安全方针、安全组织、资产管理、人力资源安全、信息安全事故管理、业务连续性管理、符合性,或者纯技术的安全体系,通信和操作管理、访问控制和系统开发生命周期等这些过程,而且对信息资产的有效控制上面
有七分管理这几个字眼,并不是管理就要远远重要于技术,或者技术可做的事情很少。在这上面钻的深,一切就变的虚无飘渺了。有个单位,国内多家著名安全公司给他们做了评估,做了加固,为什么我还可以通过很多方法进入内网?到底怎么样才能解决客户存在问题?你通过这些理论工具和方法论,有把握解决问题吗?
没有评论:
发表评论