风险分析是信息安全的利器还是装潢?

从事信息安全的人员会质疑问这样问题的意义,因为无论从信息安全最佳实践还是信息安全管理标准,都会将风险分析(包括识别和评估)作为信息安全管理的基础。风险分析的确是帮助一个组织有效地做出关于信息安全的决策,不过如果风险分析是无效的,相应做出的信息安全决策自然也就难有效。换句话说,风险分析也会有风险,并会导致信息安全管理的风险。如果这种风险仅限于一时一事,则只要加以管理即可,但若这种风险是一种结构性的,即从根本上无法保证信息安全风险分析的有效性,那么就另当别论了。2006年美国信息安全资深专家Donn