[讨论]Checklist真的是静态的吗？[SourceURL]

最近看到一位仁兄发感慨，说”做信息安全审计，除了checklist之外还有别的更好的解决方案吗””checklist怎么也是死的，不是动态的，而且并不能直接反映用户的需求，往往是为检查而检查”，不知道”能不能跳出checklist这个圈子，从另外的角度看这个问题”

我倒是觉得，如果是一个小朋友手中的checklist，那多半不是他自己写的，可能的确是静态的；对一个checklist的作者来说，不但写的时候要参考一般的最佳实践，更重要的是理解客户的需求并做相关调整，对参照list的检查结果有一个预判，从而估计要给出的相关建议，这才是动态的部分。而checklist本身只是工具而已。

请大家继续讨论指点。

~~~