|
|
Un des principes principaux de l'IAM est que c'est une évaluation, pas un audit ou une inspection. Ces limites portent habituellement une mauvaise connotation de méfiance, si du côté des auditeurs ou apuré, et généralement tous les deux. Il y a les différences principales entre les deux concepts, et elle aide souvent à s'assurer que chacun comprend ces différences. Il peut sembler plutôt pénible présenter quelque chose comme ceci, particulièrement après avoir fait tellement plusieurs fois avec chacun impliqué sur chaque évaluation. Rappelez-vous juste que—vous pouvez comprendre cette différence, mais les chances sont que plusieurs de vos clients pas . Plus le client comprend que ce processus est un de nonattribution mieux, plus détaillées et plus utiles les données que vous pourrez obtenir d'eux, et cela aura finalement comme conséquence un meilleur livrable global pour le client. Ainsi un participant disposé et désireux est toujours préféré, plutôt qu'un individu fermé ou gardé.
Nonattribution est l'acte de ne pas établir un individu spécifique comme responsable de quelque chose. C'est les utilisations spécifiques de NSA de limite de décrire le processus de rapporter des résultats sans imputer “des torts” à tous les individus. La différence principale entre une évaluation et un audit ou une inspection est le but global du processus. On comprend que normalement l'audit ou l'inspection est un contrôle pour la conformité, apportant souvent avec elle des conséquences pour l'échec. Ce processus tend à créer un environnement très peu amical dans lequel les personnes que vous devez travailler avec sont circonspectes et prudentes dans leurs rapport d'affaires avec vous dû à leur crainte d'être jugé directement responsable des résultats—qui se produiront, parce que le nonattribution n'est pas un aspect de votre audit typique.
En opposition à ce concept, nous avons le but d'un processus d'évaluation, qui doit aider ou aide l'organisation de client en améliorant son maintien d'INFOSEC, pour ne pas émettre le jugement. En fait, nous avons souvent été témoin d'une demande d'organisation une évaluation en tant que des moyens de la préparation à un audit. Le concept de fournir l'aide ne peut pas être exagéré ; beaucoup d'individus qui ont été impliqués de l'assurance signe le feutre probable passé comme s'ils ont été inspectés dans une lumière plutôt de jugement. Une évaluation basée sur le processus d'IAM peut être un excellent outil pour se préparer à tous les audits prochains. Elle permet à l'organisation de travailler aux buts de réunion ou aux conditions de conformité dans un environnement amical et coopératif.
Les audits portent également une déclaration de défaut en vue de des inefficacités ; est l'IAM, d'autre part, ce que certaines certains aiment pour appeler un processus sans faute ou de nonattribution. L'objectif est d'aider à améliorer la sécurité plutôt qu'assigne le blâme à n'importe qui qui a pu avoir oublié de mettre en application une pièce rapportée ou de vérifier une bande en réserve. Quand quelque chose aiment qui se produit, il est dû plus probable à un processus et à un échec de procédé, pas quelqu'un qui essaye d'éviter le système. Les gens sont plus exposés à être honnêtes et reçus quand ils comprennent que leurs actions et réponses ne seront pas attribuées directement à eux mais seront simplement adressées en tant que conclusion dans le rapport final. Cependant, si dans l'entrevue une une personne discute quelque chose que lui ou elle avait argumentée environ avec d'autres pendant des mois, il sera probablement évident qui a fait ce rapport. En outre, si seulement une personne actionne un système, tous les résultats seront attribuables à cet opérateur. D'autres tels scénarios peuvent surgir basé sur le processus simple de l'élimination. Cependant, l'IAM ne mettra un nom à côté d'aucune information recueillie. Aucune conclusion tirée en vue de l'attribution n'est faite ainsi par l'équipe d'évaluation.
Là peut venir un moment où des activités malveillantes ou illégales sont découvertes pendant n'importe quelle évaluation de sécurité—par exemple, la découverte de la pornographie d'enfant, logiciel piraté, des multimédia garantis les droits d'auteur classe, et ainsi de suite. L'IAM n'a pas une politique consacrée en vue de ces issues au delà de l'arrangement commun que vous suivrez toutes les lois applicables, locales et fédérales. Comment vous projetez manipuler ces situations est quelque chose que vous devriez considérer documenter comme politique interne de compagnie et partager avec vos clients. Il pourrait être sage pour avoir un mandataire spécialisé dans le domaine d'industrie d'ordinateurs pour passer en revue votre politique pour vous aussi bien.
Un bon arrangement du processus d'évaluation est également un facteur fondamental dans le succès global de votre enclenchement. Il est très important de s'assurer que l'organisation de client est confortable avec ce qui, comment, quand, pourquoi, et qui des composants de ce que l'équipe d'évaluation fait. La pierre angulaire de la gestion de maintien achètent et un sens de propriété dans le produit final résulte de la participation et’de l'arrangement continus par s d'organisation de client pendant que l'enclenchement progresse, se développe, et change. L'évaluation est le produit’du client s, pas vôtre, ainsi assurez-vous qu'il est traité en tant que tels.
Le long de ces lignes, l'équipe d'évaluation doit se rendre compte que son plus grand rôle est celui du facilitant. Pendant la visite d'emplacement d'pré-évaluation, vous aiderez le client venez à un arrangement plus profond de leur importance’de l'information s. Vous les aiderez en déterminant leurs priorités de sécurité. Vous les aiderez en définissant des buts et des objectifs. Pour réitérer, vous êtes là pour faciliter !
Online: 593 users browsing the articles directory
|
|