|
|
Uno dei tenets principali dello IAM è che è una valutazione, non una verifica o un controllo. Questi termini trasportano solitamente una connotazione difettosa della diffidenza, se dal lato dei revisori dei conti o verificata e generalmente entrambi. Ci sono differenze chiave fra i due concetti e contribuisce spesso a accertarsi che tutta capisca quelle differenze. Qualcosa come questa può sembrare piuttosto noiosa da presentarsi, particolarmente dopo avere fatto così parecchie volte con tutto addetto su ogni valutazione. Ricordisi di appena che—potete capire questa differenza, ma le probabilità sono che molti dei vostri clienti non. Più meglio il cliente capisce che questo processo è uno del nonattribution, i dati che più dettagliati e più utili potrete trarre da loro e quello infine provocherà un deliverable generale migliore per il cliente. Un partecipante così disposto e desideroso è preferito sempre, piuttosto che un individuo chiuso o custodito.
Nonattribution è l'atto di stabilizzazione dell'individuo specifico come responsabile di qualcosa. Ciò è gli usi specifici del NSA di termine descrivere il processo di segnalazione dei risultati senza dare “il torto” a tutti gli individui. La differenza principale fra una valutazione e una verifica o un controllo è l'obiettivo generale del processo. La verifica o il controllo è capita normalmente per essere un controllo per conformità, portante spesso con esso le conseguenze per guasto. Questo processo contribuisce a generare un ambiente molto unfriendly in cui la gente che dovete lavorare con è prudente e prudente nei loro rapporti d'affari con voi dovuto il loro timore di essere giudicato direttamente responsabile dei risultati—che accadranno, perché il nonattribution non è una funzione della vostra verifica tipica.
Nell'opposizione a questo concetto, abbiamo l'obiettivo di un processo di valutazione, che deve aiutare o aiuta l'organizzazione del cliente nel migliorare la relativa posizione di INFOSEC, per non giudicare. Infatti, abbiamo testimoniato spesso una richiesta di organizzazione una valutazione come mezzi di preparazione per una verifica. Il concetto di fornire l'assistenza non può essere esagerato; molti individui che sono stati coinvolgere con assicurazione controlla dentro il feltro probabile passato come se siano stati controllati ad una luce piuttosto di giudizio. Una valutazione basata sul processo di IAM può essere un attrezzo eccellente per la preparazione per tutte le verifiche imminenti. Permette che l'organizzazione lavori agli obiettivi di riunione o ai requisiti di conformità in un ambiente amichevole e cooperativo.
Le verifiche inoltre trasportano una dichiarazione del difetto rispetto alle inefficienze; lo IAM, d'altra parte, è che cosa qualche gente gradisce per denominare un processo di nonattribution o no-fault. L'obiettivo è aiutare nel migliorare la sicurezza piuttosto che assegna la colpa a chiunque che possa dimenticarsi di effettuare una zona o di verificare un nastro di riserva. Quando qualcosa gradisce che accada, è più probabile dovuto un processo e un guasto di procedura, non qualcuno che prova ad aggirare il sistema. La gente è più responsabile essere onesta e prossima quando capiscono che le loro azioni e risposte non saranno attribuite direttamente a loro ma soltanto saranno indirizzate come un'individuazione nella relazione finale. Tuttavia, se nell'intervista una una persona discute qualcosa che lui o lei stia discutendo circa con altre per i mesi, probabilmente sarà apparente chi ha rilasciato quella dichiarazione. Ancora, se soltanto una persona funziona un sistema, tutti i risultati saranno attribuibili a quell'operatore. Altri tali piani d'azione possono presentare basato sul processo semplice dell'eliminazione. Tuttavia, lo IAM non metterà un nome vicino a alcuni informazione riuniti. Alcune conclusioni disegnate rispetto all'attribuzione non sono fatte così dalla squadra di valutazione.
Là può venire un periodo quando le attività cattive o illegali sono scoperte durante la tutta la valutazione di sicurezza—per esempio, la scoperta di pornografia del bambino, software pirated, multimedia copyrighted archivia, e così via. Lo IAM non ha una politica dedicata rispetto a queste edizioni oltre la comprensione comune che seguirete tutte le leggi applicabili, sia locali che federali. Come progettate maneggiare queste situazioni è qualcosa che dovrte studiare la possibilità documentare come politica interna dell'azienda e ripartirsi con i vostri clienti. Potrebbe essere saggio avere un avvocato specializzato nel campo di industria di calcolatore per rivedervi la vostra politica per pure.
Una buona comprensione del processo di valutazione è inoltre un fattore fondamentale nel successo generale del vostro aggancio. È molto importante accertarsi che l'organizzazione del cliente stia bene con che cosa, come, quando, perchèe chi componenti di che cosa la squadra di valutazione sta facendo. La pietra angolare dell'amministrazione effettuante compra e un senso della proprietà nel prodotto finale deriva dalla partecipazione continuata’s di organizzazione del cliente e dal capire mentre l'aggancio progredisce, si sviluppa e cambia. La valutazione è il prodotto’del cliente s, non il vostro, in modo da accertisi che sia trattare come tali.
Seguendo quelle linee, la squadra di valutazione deve rendersi conto che il relativo più grande ruolo è quello del facilitator. Durante la visita in-loco di pre-valutazione, aiuterete il cliente venite ad una comprensione più profonda della loro importanza’delle informazioni s. Li aiuterete nella determinazione delle loro priorità di sicurezza. Le aiuterete nella definizione gli obiettivi e degli obiettivi. Ripetere, siete là facilitare!
Online: 607 users browsing the articles directory
|
|