我们在Forrester公司收到的两个最常见的问题是：“和我们的伙伴相比，我们作为一个企业的处境如何？”以及“随着我们扩建了我们的IAM基础架构和策略，下一步要做的是什么？”

　　当在从首席信息安全官（CISO）或首席信息官（CIO）那里吸纳或维持对企业IAM项目的支持的时候，这两个问题的答案很关键，但是这两个问题是很难回答的。这就是为什么很多企业都依赖成熟度模型和指导方针，企业可以用其来帮助评估该组织当前的成熟度，同时有助于构建一个全面的身份验证和访问管理策略。

　　在Forrester公司，我们已经创建了一个IAM成熟度模型，它是有效的且容易使用。这个模型将IAM划分为三个主要领域：管理和价值，访问管理和身份管理。在每一个领域内是围绕人、流程和技术这些评价类别，通过评估对具体标准的“是”或“否”的反应，可以很容易地为每个类别打分。（对Forrester的客户来讲，使用标准不清晰的其它模型来打分在传统上一直是一个问题。）

　　管理和价值关注于组织层面和IAM策略

　　任何一个有效的IAM流程都是需要适当的管理层支持、管理和业务价值来论证的。当在评价管理和策略类别的时候，这个模型旨在检验是否已经具备行政赞助以及是否已经存在一个意义明确的IAM策略。没有这一点，组织会遇到这些风险：IAM项目将会永不休止且会导致返工，关于谁应该拥有IAM会引起部门间的混乱和斗争。Forrester公司建议在IAM项目开始时就完成成熟度评估并至少每年更新公司的IAM策略。

　　每个IAM项目都需要商业论证，所以证明它的价值将有助于使反对者相信IAM的重要性。IAM对商业是有益的，因为它允许企业降低IT管理成本，提高安全性和实现持续并具有成本效益的规则遵从。理解当前的成本并将这些成本加入到成熟度模型中来构建一个更好的IAM策略并按优先顺序列出各方面是至关重要的。这一类别也评估各个组织如何跟踪呼叫中心指标，IAM项目成本和与IAM相关的雇员和商业伙伴的满意度。未能论证IAM价值的风险包括失去行政利益相关者的关注，以及不能确保IAM在未来的资金支持。

　　访问管理保证你的资产安全

　　安全问题是IAM项目最大的激励因素之一。安全和风险专家需要确保当前和以前的雇员以及商业伙伴无法访问敏感信息。因此，有几个方面需要包括在IAM成熟度模型中来确保对整个组织的访问是安全的。例如，该模型评估桌面单点登录，它提供了一个简单的IAM实施进入点。单点登录（desktop SSO）不需要任何应用程序定制，并经常为密码重置自助服务提供支持，所以许多组织从这个类别开始。没有桌面单点登录的话，组织会冒如下风险：让用户花费大量时间在寻找密码上，提供水平降低的客户服务和花费大量成本来将多因素身份验证与应用程序结合在一起。

　　这个领域也包括诸如特权身份管理等类别，它控制着管理员如何进入系统。如果没有对特权用户实施适当的控制，那么就会有如下风险：服务水平下降，审核纠正支出，开发人员访问敏感数据和心怀不满的员工搞垮基础架构并以此进行要挟。当一个系统管理员离开公司，同时没有其他人知道域控制器，UNIX服务器和网络设备管理密码时，这种情况就会发生。最近发生在旧金山市的流氓管理员案例就是一个最好的例子。

　　身份验证管理有助于合规性并改善服务交付

　　管理访问再认证以及管理员工加入、迁离或离开公司的流程是很重要的，这不仅是从安全角度考虑，也是出于合规的角度。事实上，Forrester公司经常听说：如果没有正确的引入身份验证管理服务，诸如规定，访问再认证和工作角色管理等，那么公司就不能支持其自身的成长和并购活动。这意味着有必要评估目录基础架构，密码管理和工作角色管理等类别。比如，适当的密码管理可以有助于减少用户需要记住的密码，并减少浪费在请求服务台重置密码的时间。不具有一个强大的密码管理基础架构的风险包括：太多不能执行的密码策略，太多密码变化周期和很难察觉到被盗用的密码。

　　IAM自我评估的目的不仅是检测当前的成熟度，而且是在更新IAM策略时，获得对那些最需要改善的类别进行客观的投入。设计一个有效的IAM策略可以是相对简单的，只要组织遵循关键步骤，比如：不同时工作超过三个即时的、短期的IAM项目，以及每年评估和跟踪IAM成熟度。