深圳市大成天下信息技术有限公司

网络安全风险评估已经从几年前阳春白雪的状态，演化为当前企业/组织信息与网络安全建设前期通常会考虑进行的一项工作。但评估的方法、效果比起以往，是否有所提升？
就我所见，当前安全市场上主流的评估厂商提供的服务，大多存在以下几方面问题：

1、妄谈管理（用户选中安全公司，是因为他们懂安全，而不是因为他们懂管理）；
2、盲目量化（以为数字能说明一切，自己“定义”了量化标准和算法）；
3、千人一面（评估与业务脱节，一个评估方案放之四海皆准，甚至一个评估报告也是放之四海皆准）；

因此，这里提出的CWVE方法，实际上与OCTAVE类似，脆弱性评估不变（这是安全公司的核心技术所在），但有以下几个特点：

1、以业务流为核心，是简单资产盘点的深化；
2、以事件评估与沙盘推演替代威胁评估，操作起来不再那么虚无飘渺；
3、简化的顾问咨询过程，结论中以“制度”来推进管理，更具可操作性；

给出《采用 CWVE 方法进行安全风险评估》的幻灯片，希望朋友们看过以后，能够给出些建议。