【08年8月辩题】风险评估是不是作秀？（观点辩论）

phrack · 2009-05-20 12:08

根据上月辩题征集和投票结果，确定以下辩题为本月正式辩题：

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
辩题：风险评估是不是作秀？

正方观点：是作秀，因为风险评估主观和不确定因素过重，其结果要么被认为是不正确的，要么只是为已有的结论寻找依据而已。

反方观点：不是作秀，风险评估有科学理论和方法做为基础，是IT风险管理的前提和控制性环节，IT控制措施的选择一定要遵循风险评估的结果。

解释：上面所说的风险评估不是仅指通过自动化、检查列表或其它人工手段对具体技术系统或应用的缺陷进行检查和评估，而是指包含上述过程在内的，对更大范围（如业务相关或整个部门、机构的）信息资产进行识别、赋值，并对这些资产可能遇到的人为、自然、事故等威胁，以及这些威胁可能利用的资产的物理、管理、技术和规程方面的脆弱性进行识别、判断和分析，以得出相关风险严重程度及其处理方法的建议的一整套评估过程。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

当前阶段：观点辩论

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
正方（风险评估是作秀）论点总结：
1、风险评估方法虽然理论上是正确的，但实际操作中所收集的威胁、脆弱性等风险要素数据都是凭经验判断，针对同样环境和同样的问题不同的评估参与者由于经历不同会提出完全不同的数据，从而造成评估结果有过度的主观色彩和不确定性，不足以做为科学决策的依据；
2、很多项目中包含风险评估的目的就是为了给已经确定的项目内容寻找依据，在这种先有结论的情况下，评估人员更有可能有意或无意地主观编造风险要素数据，来证明已有的结论，这种风险评估不但无益反而有害；
3、在当前的情况下，很多组织并非出于自身安全考虑主动进行风险评估，而是迫于外在的强制性规定和要求，所以对风险评估的重要性理解不深，对风险评估的方法也不甚了解的情况下仓促进行，非常容易导致应付敷衍的情况，作秀也就成为难以避免；

反方（风险评估不是作秀）论点总结：
1、风险评估虽然不是100％严谨的科学体系，但仍然具有重要价值和意义，只要坚持持续改进的管理模式，风险评估对安全工作的指导作用将越来越显著；
2、风险评估是迫切而现实的管理要求，是促进和改进信息安全工作的重要工具；
3、风险评估的业务能力不够的评估人员可能作秀，有能力的评估人员所做的风险评估不会是作秀；
4、有风险评估作秀的情况不是因为风险评估本身有什么问题，是客户没有树立正确、科学的信息安全工作思路；
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
信安辩论会拟将辩论分为四个阶段：

第一阶段：观点投票，各位用户投票对辩题正反方观点表示支持，也欢迎大家跟帖具体说明自己的观点；
第二阶段：观点表述，各位用户通过回帖的方式详细表述自己的观点以及证明自己观点的依据；
第三阶段：观点辩论，各位用户通过回帖的方式针对对方观点及其依据提出不同意见及其依据；
第四阶段：辩论总结，各位用户通过上述辩论，可能对这一问题有了新的认识，通过回帖方式总结自己的观点。

由于本期辩论会是初次举办，从辩题选择和辩论会组织都没有经验，希望大家对此提出意见和建议。

chinadoors · **发表于 :** 2008-08-01 11:08

坐沙发座支持反方

chinadoors · 2008-08-01 11:22

风险管理以及风险评估本身是一个管理过程我们都知道管理过程是一个持续改进的周期性往复循环过程也就是一句话“没有最好，只有更好”，所以虽然这套理论和方法不是100％严谨的科学体系（也不可能100％严谨，毕竟涉及到统计或者概率的东西，不确定性是客观存在的），但是不应该否认其重要价值和意义。

前面曾经发贴讨论安全评估与风险评估的区别和联系，这里就不多赘述了，我支持反方。

chinadoors · 2008-08-01 11:22

另外看投票统计结果的时候能不能记名

phrack · 2008-08-15 09:55

chinadoors 写道:

另外看投票统计结果的时候能不能记名

这个提议很好，这几天我试试修改一下代码来实现这个功能。

voca · 2010-05-05 10:40

支持反方观点

同时理解很多时候现实中正方是绝对的存在

汪洋大海 · 2008-08-01 12:57

暂时看这个结果，大家还是支持反方的多，不过可能跟坛子里面相关行业者居多有关吧，若是这个论题放到大杂烩一类的技术坛子里面，恐怕效果会截然相反呢。
作秀不作秀，取决与企业自身需求，执行者严格程度，领导支持力度等很多因素的说。

cisa · 2008-08-01 14:44

理论上支持反方，现实中支持正方，屁股决定脑袋。

chinadoors · **发表于 :** 2008-08-01 14:30

cisa 写道:

理论上支持反方，现实中支持正方，屁股决定脑袋。

拔除墙头草

houhb · **发表于 :** 2008-08-01 15:56

支持反方。

odyssey · 2008-08-01 17:17

个人支持反方，我觉得我们所要努力做到的就是让大部分客户从正方支持者转变为反方支持者。当然这需要一个过程，需要大的环境。

leon · 2008-08-01 21:05

是否需要定义一下风险评估呢？

就像一千个心中有一千个哈姆雷特一样 :-)

, 我怀疑一千个人心中会有一千零一个风险评估的定义

phrack · 2008-08-02 09:32

leon 写道:

是否需要定义一下风险评估呢？

就像一千个心中有一千个哈姆雷特一样 :-)

, 我怀疑一千个人心中会有一千零一个风险评估的定义

说得有道理，一千个人心中有一千个风险评估的定义，没人能替别人下这个定义。

不过大致解释一下这里所说的风险评估的确还是有必要的，这里所说的风险评估不是仅指通过自动化、检查列表或其它人工手段对具体技术系统或应用的缺陷进行检查和评估，而是指包含上述过程在内的，对更大范围（如业务相关或整个部门、机构的）信息资产进行识别、赋值，并对这些资产可能遇到的人为、自然、事故等威胁，以及这些威胁可能利用的资产的物理、管理、技术和规程方面的脆弱性进行识别、判断和分析，以得出相关风险严重程度及其处理方法的建议的一整套评估过程。

guo_yx1969 · 2008-08-01 22:10

风险评估怎么会是作秀？从美国和我国陆续出台的一些标准文献和应用报告来讲，是有迫切的需要，对于管理人员和决策者是需要对所属的或所管辖的区域信息系统是否安全，是否有何安全改进，以证明投资的正确性和有效性。

linkenpark · 2008-08-01 22:21

支持反方，不是作秀，作秀是因为有人想做秀，这个人理解不深，不知道如何去用，不会用筷子吃饭的人用筷子吃饭就是作秀！

补充一下：如果刚开始学习的话，不能说是作秀，可能还学得不好，但是肯学那即使刚开始被认为是作秀也还是要做下去的，别人的误解不能影响咱们的学习，就拿用筷子吃饭的事，有好多朋友是想学的，而且我们小时候学的时候也没被认为作秀，所以具体还要看情况。某些知名人士对着记者的相机摆出拿筷子吃的姿态那才是作秀。

【08年8月辩题】风险评估是不是作秀？（观点辩论）

在线用户