黄永和 Kyle
PMP
ISO 27001 LA
ITIL Foundation
Security Metrics 安全度量
huangyonghe 发表于 - 2008/9/12 23:42:00
| 1)你不能改进你不能测量的东西 (2)如果FUD(Fear, uncertainty, and doubt (3)度量的首要目的是量化数据以提高洞察安全的能力 (4)信任是好的,但是控制更好 (5)终端用户的培训是信息安全现代理念的里程碑 (6)技术投资可以使IT安全控制自动化 (7)Raw Data ---> Information ---> Insight(这个建模对我影响很大) (8)理解不能和不应该之间的区别 (9)平衡记分卡方法以按业务动机排列信息安全的方式提供重大的保证,它代替安全作业一个整体一贯被应用到业务中 (10)安全记分卡的目的在于两方面的交流:一是组织的安全效力,二是帮助理解业务和在未来响应新威胁的能力 (11)Balance Score Card 四个核心理念:使命、价值、远景、政策 (12)度量饱和性:试图一下子度量世上所有东西的趋势 (13)Balance Score Card所需要的:连接所有的业务目标的简明、再现的度量 (14)保持分值记录是人类的自然活动  |