これは良いポイントです:
問題の一部は、常にリストが渡されることです…制御が必要とされるリスト…環境で修復や改善が求められるもののリスト…新しいプロジェクトのリスト…脅威のリストなど、リスクがランク付けされていないリストです。例えば、サイバーセキュリティーガイドライン(PCI-DSS、HIPAA、SOX、NISTなど)が数百の推奨事項で与えられます。これらが遵守されれば、環境でのリスクが減少します。
しかし、どの推奨事項が環境でのリスクを最も減らす影響を与えるのかを教えてくれないです。与えられた数百のもののうちの一つ、二人、または三つのものが、他のすべてよりもリスクを減らすことを教えてくれないです…
www.schneier.com
Roger Grimes on Prioritizing Cybersecurity Advice
Create attached notes ...