差异评估和审计

其中一个主要的原理的IAM的是，这是一个评估 ，而不是一个审计或检查。 这些条件通常携带一个坏内涵的不信任，无论是对一方的核数师或审计时，一般都。 有重点，两国间的分歧观念，它往往有助于确保每个人都明白这些分歧。 这样看来，而不是繁琐的，以本后，特别是这样做多次的每一个人对每一个评估。 只记得-你可以了解这种差异，但机会是很多的是客户的情况不会这样。 更好的客户理解，这个过程是一个nonattribution ，更详细和有用的数据，你将能够激发他们，并最终将导致一个更好的整体可交其客户。 因此，愿意而且渴望参与者始终是首选，而不是一个封闭或个人看守。

nonattribution是法不设特定个人作为一个负责任的东西。 这是具体的任期国家安全局的用途来形容报告的过程，没有结果，铺设"责怪" ，对任何个人之间的主要差别进行评估及审核或检查，是总体目标的进程。 审核或检查，通常理解为一个检查遵守，常常带着它的后果导致失败。 这一过程往往会制造一个非常不友善的环境中，人民的，你必须与有戒心和谨慎，在他们打交道，你是因为害怕被人对此负有直接责任的结果-它会发生，因为nonattribution不是一个方面你的典型的审计。

在反对这一概念，我们是有目标的一个评估过程，是帮助或帮助客户组织改进其信息安全的姿态，而不是通过判断。 事实上，我们经常看到的一个组织要求评估作为一种手段，准备了审计。 的概念，提供援助，怎么强调也不过分;许多人曾参与保证检查，在过去可能觉得好像他们分别考察了在一个相当主观臆断轻。 评估的基础上， IAM的过程可以是一个极好的工具，准备对任何即将到来的审计。 这使本组织工作，对会议目标或遵从要求双方在友好和合作的环境。

审计还进行申报故障方面的效率不高; IAM的，但另一方面，就是有些人喜欢称之为无过错或nonattribution进程。 目的是要协助改善安全，而非指派责怪任何人，可能忘记执行补丁或核实一个备份磁带。 当类似的东西出现，这是更可能的原因是有一个过程的程序失败，而不是有人试图绕过系统。 人更容易诚实和即将举行的时候，他们知道他们的行动和答案，将不会直接归因于他们，但只是作为一个寻求在最后报告中。 但是，如果在接受采访时一人谈，这也是他或她一直争论与他人几个月来，它很可能会是显而易见的，他们作出这一声明。 此外，如果只有一个人经营的制度下，任何调查结果将归于该运营商。 其他诸如场景可能会出现基于简单的淘汰程序。 不过，现在不会把一个名字旁边有件收集的信息。 任何所得出的结论就归属，是不是这样做的，由评估小组。

确有可能出现的时候，恶意或非法活动的，发现一起，在任何安全评估-例如，在发现儿童色情，盗版软件，受版权保护的多媒体文件，等等。 全球IAM没有一个专门的政策，关于这些问题超出了共同的理解是，你将遵守所有适用的法律，这两个地方和联邦。 您将如何处理这些情况是你应该考虑记录作为公司内部的政策和分享您的顾客。 它可能是一个明智的一位律师，专门从事计算机产业的实地审查你的政策，为你当好。

一个很好的了解，评估的过程，也是一个根本的因素，在整体的成功，你的接触。 这是非常重要的是要确保客户的组织是舒适与什么，如何，何时，为什么 ，是谁的组成部分是什么评估小组所做的。 基石保持管理层收购和主人翁感，在最终产品中的结果必须由客户组织的继续参与和谅解作为接触进步，成长和变化。 评估是客户的产品，而不是你们的，所以确保它是这样看待。

根据这些原则，评估团队需要认识到，其最大的作用是促进者 。 在预评估实地参观，你将帮助客户来更深入的了解他们的信息的重要性。 你将协助他们在确定其安全优先事项。 你将协助他们在目标确定和目标。 再次，你在那里是为了方便！