BBS上看到有人发表一篇文章,说中小企业的风险评估不需要流程和标准,用自己去帮一个小公司做风险评估为例来说明这家公司的安全做得如何如何差,他们必须要先自己做了改善后才能找人来做风险评估。言外之意就是我这么高端的风险评估,用来评估这么烂的信息安全状况,简直就是大才小用了。你先回去改改好之后再来找我吧,当然这是我的揣度。其实此前就在论坛上大家热谈风险评估,有用论,无用论,标准论,定制论,量化论,定性论,莫衷一是,但是很多人的观点里都透出一种感觉,就是风险评估是个很深奥的东西,动辄就以RA,风评名之。俺颇不以为然,今天有空,也来说一下我对于风险评估的看法。 BBS上看到有人发表一篇文章,说中小企业的风险评估不需要流程和标准,用自己去帮一个小公司做风险