将客户分层次不是重点,针对用户的信息资产,那些产生价值的信息资产,会有哪些风险?怎样保护这些信息资产?包括人与信息资产的影响,信息资产对人的价值,我觉的最有价值的地方在这儿。
你说的度量,无论管理还是CVE漏洞都不是根本,根本在于,风险是什么?其实是对计算性资产所产生价值的影响。我不是说全面整体的评估不重要,而是针对这一切,还有一些更加丰富的呈现方式。包括依据标准的工具、文档、操作方法、技术细节。。。
老哥的评估方法,老感觉里面遗漏了什么东西。当然,比国内其它公司来说,是最全面最深入的,我去做也做不到这么好的效果,但可能我能找到遗漏的一些地方,比如做完某次评估,我可能还能使用评估结果之外的一些方法,损害影响到系统。 从这个角度说,评估并没有完全解决客户问题。
什么是最大风险呢?从操作上来说,信息资产会产生哪些价值,我可以如何影响(破坏)它,所有的可能都是风险。这样理解是不是更容易操作些?
CVE漏洞不重要,许多系统,从技术上没有漏洞,但还可以通过正常的操作,找到破坏的途径,比如国内的淘宝、支付宝,相信他们在安全上投入也挺大吧,但通过正常操作,也能搞一些很大的破坏。这不能不算风险吧?
做安全服务的客户会有哪些?只要是依赖于计算机和网络,从中产生利润,产生价值的用户,都有安全需求,解决他们的问题,会非常有价值。他们最关心什么? 评估:信息资产创造价值,有哪些因素会影响它? 安全服务的目的,就是为了让这些资产发挥最大效力,保证功能正常、可用、持续,最终产生价值或者利润。这算是客户的本原和最关注的问题吗?
没有评论:
发表评论