风险评估杂谈

 
我个人觉得作为一个优秀的服务团队必须具备如下的一下基本要求也是我们尽量要给用户展示的实力。

1 、需要先进的方法论
信息安全风险评估基础是风险量化所有的计算都是数学模型，所以风险评估的方法论就显得尤为重要了再好的团队。如果你的方法论错了，那你拥有在先进的技术，其结果一定是错误的。作为一个专业的安全服务公司你必须要有自己明确的风险评估的方法论，并且提出他的合理性。通俗的讲，就是风险是如何构成，影响风险的要素是什么，我们怎么来取值最后如何计算等等。如果你能清楚的给用户讲明白一枚银币仍上天空后，所有能影响他掉落的各种因素，并有准确的计算方式那么你即时你告诉用户，这枚硬币仍上去的一刹那我们就已经清楚的知道他落下来后是人头还是字。我相信用户也会被你折服的。否则你就是在扯蛋。

2 、除现场人员外 应该有一个专门支持的队伍
应该具备一个优秀的团队，这不仅是达到用户现场的这些工程师，微软每年大约会出 20-40个补丁，安全弱点每天以10个左右的速度在全世界各个范围公布，这需要一个庞大的专业团队去关注他，并了解这些弱点被利用的各种可能性。而我们达到用户现场的可能只是这个团队中的一个触角。

3 、资格证明
拥有优秀的团队还应该具备良好的职业素养，良好的公司管理文化才能培养一个具有良好素养的服务团队。优秀的团队应该具有相关的认证，在用户未接触前起码是一个最基本的考核标准。虽然说证书不能证明所有，但是在给用户的第一感觉只能通证书等来证明。

4 、丰富的项目经验和专业知识
成功案例及项目经验等。但保密要求也得保证。

5 、紧急应对的处理能力和广泛的安全知识
项目实施中因为你无法预计你所要面对的是什么系统什么应用什么攻击者，所以我们应该因为具备广泛的安全知识。才能对应用户提出的或出现的问题做出即时的反应。体现出我们的专业。这些往往都是从某些细节方面来体现的。

6 、先进的评估手段和挖掘工具
事物的本质往往不像我们双眼所能看见的一样，评估过程中也是如此，一个优秀的服务团队应该具有世界上最先进的评估技术手段，包括世界最前沿的风险分析和渗透测试威胁分析的能力。因为我们要面对的是来自全世界的黑客挑战。所以说我们得拥有领先的技术实力。

7 、合理的项目管理和项目控制手段
合理且严谨的项目管理控制可以有效的提高工作效率，这不但缩减了我们的人力投入成本同时也为用户减少了投入。为用户也节省了一定的成本。因为所有的用户都有希望用最少的付出来达到最大的回报。

ENGEE / amxku_at_msn.com
个人拙见，有不妥之处还望斧正。