OCTAVEProcess7風(fēng)險(xiǎn)分析MSE安全攻防培訓(xùn)資料

1、階段7:風(fēng)險(xiǎn)分析階段7 :風(fēng)險(xiǎn)分析Process 7: Con duct Risk An alysis描述 Description目的 Purpose:定義威脅產(chǎn)生的影響（標(biāo)識(shí)風(fēng)險(xiǎn)），制定評(píng)估標(biāo)準(zhǔn)，對(duì)每個(gè)風(fēng)險(xiǎn)進(jìn) 行分級(jí)（高、中、低）。人員 Who s Involved:風(fēng)險(xiǎn)評(píng)估組數(shù)據(jù)流程圖 Data Flow Diagram輸入Inputs評(píng)估組和核心成員的現(xiàn)有知識(shí)關(guān)鍵資產(chǎn)關(guān)鍵資產(chǎn)的安全需求關(guān)鍵資產(chǎn)的威脅關(guān)鍵資產(chǎn)的關(guān)心范圍階段7: 風(fēng)險(xiǎn)分析調(diào)查表 Worksheets 資產(chǎn)明細(xì)手冊(cè)（WK ）輸出 Outputs關(guān)鍵資產(chǎn)所受威脅的影響 風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)影響價(jià)值131階段7:風(fēng)險(xiǎn)分析階段指南 Proc

2、ess Guidelines階段7:風(fēng)險(xiǎn)分析時(shí)間TimeProcess 7: Conduct Risk Analysis4 hr 30 min -6 hr目標(biāo) Workshop Objectives*記錄企業(yè)的信息安全風(fēng)險(xiǎn)*制定風(fēng)險(xiǎn)評(píng)估的基準(zhǔn)評(píng)估企業(yè)的風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)估組職責(zé) Analysis Team Roles項(xiàng)目組可以決定是否增加提供技術(shù)和知識(shí)支持的人員，負(fù)責(zé)人確保每個(gè)人明確相應(yīng)的職責(zé)。同時(shí)，負(fù)責(zé)人負(fù)責(zé)推動(dòng)工程的進(jìn)展，并檢查前期和后期工程是否完成。書記員負(fù)責(zé)工程實(shí)施過程和結(jié)果的記錄工作。其他成員要參加工程的所有步驟。所需資料 Materials Required*調(diào)查表- 每個(gè)關(guān)鍵資產(chǎn)的明細(xì)手

3、冊(cè)(WK)實(shí)施結(jié)果 Summary of Workshop Outputs*關(guān)鍵資產(chǎn)所受威脅的影響(O7.1)*風(fēng)險(xiǎn)評(píng)估準(zhǔn)則(07.2)*影響價(jià)值(07.3)132階段7:風(fēng)險(xiǎn)分析工程實(shí)施介紹項(xiàng)目負(fù)責(zé)人確保所有成員明確各自的職責(zé)，-并檢查是否所有資料已準(zhǔn)備齊全。A7.1標(biāo)識(shí)關(guān)鍵資產(chǎn)所受威脅的影響項(xiàng)目組疋義威脅后果的描述（暴露、篡改、 丟失、破壞、中斷），使用敘述性的語(yǔ)言陳 述威脅對(duì)企業(yè)任務(wù)的最終影響。 企業(yè)的風(fēng)險(xiǎn) 由威脅和其影響后果組成。資產(chǎn)明細(xì)手冊(cè)(WK)A7.2制定風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則項(xiàng)目組制定適用于評(píng)估企業(yè)風(fēng)險(xiǎn)的標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了咼、中、低影響的基準(zhǔn)。資產(chǎn)明細(xì)手冊(cè)(WK)A7.3評(píng)價(jià)關(guān)鍵資產(chǎn)所受

4、威脅的影響項(xiàng)目組評(píng)估每個(gè)風(fēng)險(xiǎn)，并賦予相應(yīng)的影響值 （高、中、低）。資產(chǎn)明細(xì)手冊(cè)(WK)工程總結(jié)項(xiàng)目負(fù)責(zé)人進(jìn)行階段工作總結(jié)并制定下一 階段工作計(jì)劃。工程實(shí)施 During the Workshop步驟 Activity描述 Description調(diào)查表 Worksheets133階段7:風(fēng)險(xiǎn)分析介紹活動(dòng)中使用的工作表活動(dòng)的輸出活動(dòng)的時(shí)間-15 分鐘 基本指南本工作的參與者是核心的分析組成員以及附加的人員。在本工作開始時(shí)，領(lǐng)導(dǎo)者要確保每個(gè)人明白自己的角色，此外，領(lǐng)導(dǎo)要查看已經(jīng)完成的工作并確保已經(jīng)收集準(zhǔn)備好所有必需的材料。在本工作中，要生成以下：每種威脅結(jié)果對(duì)機(jī)構(gòu)的影響的描述* 一系列的評(píng)估準(zhǔn)則 每

5、種影響描述的價(jià)值134階段7:風(fēng)險(xiǎn)分析標(biāo)識(shí)關(guān)鍵資產(chǎn)所受威脅的影響活動(dòng)中使用的工作表每種關(guān)鍵資產(chǎn)的資產(chǎn)統(tǒng)計(jì)手冊(cè)(WK)Outputs of this ActivityActivity Time關(guān)鍵資產(chǎn)所受的威脅的影響(O7.1)1小時(shí)30分鐘2小時(shí)基本指南在本工作中，以小組的方式工作，為每種威脅結(jié)果定義影響的描述。你可以使用一些有助于你做決定的材料，有以下建議：資產(chǎn)統(tǒng)計(jì)工作手冊(cè)的關(guān)鍵資產(chǎn)的安全需求部分資產(chǎn)統(tǒng)計(jì)工作手冊(cè)的威脅與風(fēng)險(xiǎn)統(tǒng)計(jì)部分資產(chǎn)統(tǒng)計(jì)工作手冊(cè)的關(guān)注的范圍部分風(fēng)險(xiǎn)包括對(duì)關(guān)鍵資產(chǎn)的威脅和對(duì)機(jī)構(gòu)的影響，因此，當(dāng)你向機(jī)構(gòu)增加威脅的影響時(shí)， 需要?jiǎng)?chuàng)建風(fēng)險(xiǎn)，要為威脅統(tǒng)計(jì)的影響進(jìn)行描述。1. 選擇一

6、種關(guān)鍵資產(chǎn)。轉(zhuǎn)到資產(chǎn)統(tǒng)計(jì)手冊(cè)的威脅與風(fēng)險(xiǎn)統(tǒng)計(jì)部分，查看關(guān)鍵資產(chǎn)的威脅統(tǒng)計(jì)。確保注意到在統(tǒng)計(jì)中標(biāo)記過的結(jié)果，記得查看統(tǒng)計(jì)中所有的威脅樹。你也應(yīng)該查看在工作手 冊(cè)的關(guān)注范圍部分記錄的關(guān)注范圍。其它關(guān)于威脅統(tǒng)計(jì)的指導(dǎo)參見階段4的指導(dǎo)方針。2. 轉(zhuǎn)到資產(chǎn)統(tǒng)計(jì)工作手冊(cè)的影響描述部分，這部分包括四種威脅結(jié)果(暴露、修改、丟失/損壞、中斷)中每一種的表格，在本活動(dòng)中，要填充這些表格。如果暴露、修改、丟失/損壞、中斷是在統(tǒng)計(jì)中的一個(gè)或多個(gè)威脅的結(jié)果，分別完成工作手冊(cè) 中的各自的表格。在對(duì)關(guān)鍵資產(chǎn)的威脅統(tǒng)計(jì)中的沒有標(biāo)記一次的威脅結(jié)果不必在表中填充。對(duì)每個(gè)你填的表，考慮在表中列出的問題，為每個(gè)影響建立敘述性的描述

7、，注意你已經(jīng)有了 每種威脅結(jié)果的多種影響。在為一個(gè)威脅結(jié)果的影響描述達(dá)成一致后，抄寫員應(yīng)該在相應(yīng)的表格進(jìn)行記錄。3. 為一種關(guān)鍵資產(chǎn)完成影響描述后，繼續(xù)下一種資產(chǎn)，直到完成了所有關(guān)鍵資產(chǎn)。135階段7:風(fēng)險(xiǎn)分析制定風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則活動(dòng)中使用的工作表活動(dòng)的輸出活動(dòng)時(shí)間每種關(guān)鍵資產(chǎn)的資產(chǎn)統(tǒng)計(jì)工作手冊(cè)(WK)風(fēng)險(xiǎn)評(píng)估準(zhǔn)則(O7.2)1小時(shí)-1小時(shí)30分鐘基本指南在本工作中，作為工作組進(jìn)行創(chuàng)建評(píng)估準(zhǔn)則的工作，你可以使用任何有幫助的材料， 一個(gè)建議是資產(chǎn)統(tǒng)計(jì)工作手冊(cè)的影響描述部分內(nèi)容。評(píng)估準(zhǔn)則是針對(duì)在前面活動(dòng)描述的影響進(jìn)行評(píng)估的基準(zhǔn)或量度標(biāo)準(zhǔn)，在OCTAVE中為下面類型的影響建立評(píng)估準(zhǔn)則：名望/消費(fèi)者信心*

8、消費(fèi)者生命/健康罰款/合法的處罰財(cái)政其它注意，對(duì)所有關(guān)鍵組件評(píng)估準(zhǔn)則都是相同的。在本工作中，將對(duì)每種影響類別制定高、 中、低影響，確保查看在前面的活動(dòng)中記錄的影響信息， 它可能對(duì)定義評(píng)估準(zhǔn)則有用處。1. 選擇一種關(guān)鍵資產(chǎn)。轉(zhuǎn)到一種關(guān)鍵資產(chǎn)的資產(chǎn)統(tǒng)計(jì)工作手冊(cè)的評(píng)估準(zhǔn)則部分。2. 對(duì)表格中的每個(gè)影響范圍，考慮將為高、中、低風(fēng)險(xiǎn)使用的特定準(zhǔn)則，如果需要一個(gè)評(píng)估準(zhǔn)則的例子，可以查看前面的示例結(jié)果或者第17卷的附錄Co在達(dá)成一致后，抄寫員應(yīng)該在工作手冊(cè)中進(jìn)行記錄。如果一種影響范圍對(duì)你的機(jī)構(gòu)不適用，抄寫員應(yīng)該在表格中進(jìn)行記錄。不要定義沒有在你的 機(jī)構(gòu)中應(yīng)用的準(zhǔn)則，對(duì)于對(duì)你的機(jī)構(gòu)唯一的影響區(qū)域，在“其它”目

9、錄增加這些準(zhǔn)則。3. 在完成評(píng)估準(zhǔn)則后，抄寫員應(yīng)該確保包含在所有資產(chǎn)統(tǒng)計(jì)工作手冊(cè)中的信息。136階段7:風(fēng)險(xiǎn)分析制定風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則額外的指南風(fēng)險(xiǎn)的評(píng)估對(duì)于制定決定的人有額外的輔助作用。一個(gè)機(jī)構(gòu)會(huì)因?yàn)橘Y金、職員和時(shí)間表的約束而無(wú)法減緩風(fēng)險(xiǎn)，因此，需要確定相關(guān)的優(yōu)先級(jí)。在許多風(fēng)險(xiǎn)管理過程中，影響和可能性的評(píng)估可 以當(dāng)作確定哪些風(fēng)險(xiǎn)首先進(jìn)行處理的依據(jù)。舉一個(gè)簡(jiǎn)單的例子。管理者選擇只處理高影響高可能性的地風(fēng)險(xiǎn)；密切注視中影響中可能性的風(fēng)險(xiǎn)；忽略低影響低可能性的風(fēng)險(xiǎn)。因此管理者使用的是影響和可能性來指導(dǎo)他（她）的選擇。在OCTAVE中，只評(píng)估風(fēng)險(xiǎn)的影響。信息安全風(fēng)險(xiǎn)比起其它風(fēng)險(xiǎn)管理領(lǐng)域的風(fēng)險(xiǎn)的可能性更復(fù)

10、雜和不精確。高、中、低風(fēng)險(xiǎn)的定性的準(zhǔn)則提供了為風(fēng)險(xiǎn)影響分配值的最簡(jiǎn)單方法，這些方法對(duì)所有關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)比較提供了足夠的基準(zhǔn)。評(píng)估準(zhǔn)則根據(jù)情況的不同會(huì)有所變化，這也是為什么每個(gè)機(jī)構(gòu)必須定義自己準(zhǔn)則的原因。詳細(xì)指南影響區(qū)域和影響測(cè)度（高、中、低）的列表是OCTAVE處理中使用的基本集合，這些列表根據(jù)情況不同會(huì)有所變化必須按照機(jī)構(gòu)具體情況進(jìn)行定義。通常，影響區(qū)域和影響測(cè)度的列表應(yīng)該盡量完整，具有適當(dāng)?shù)拈L(zhǎng)度，不保留副本。137階段7:風(fēng)險(xiǎn)分析評(píng)價(jià)關(guān)鍵資產(chǎn)所受威脅的影響活動(dòng)中使用的工作表活動(dòng)的輸出活動(dòng)時(shí)間每種關(guān)鍵資產(chǎn)的資產(chǎn)統(tǒng)計(jì)工作手冊(cè)（WK） 影響價(jià)值 impact values (O7.3)1小時(shí)30

11、分鐘-小時(shí)基本指南在本工作中，以小組的形式進(jìn)行風(fēng)險(xiǎn)評(píng)估。可以使用有幫助的材料，有以下建議：資產(chǎn)統(tǒng)計(jì)工作手冊(cè)的影響描述部分資產(chǎn)統(tǒng)計(jì)工作手冊(cè)的評(píng)估準(zhǔn)則部分資產(chǎn)統(tǒng)計(jì)工作手冊(cè)的威脅和風(fēng)險(xiǎn)部分1. 選擇一種關(guān)鍵資產(chǎn)。轉(zhuǎn)到資產(chǎn)統(tǒng)計(jì)工作手冊(cè)的影響描述部分，該部分包括了四種威脅結(jié)果 （暴露、修改、損壞/丟失、中斷）的每一種的表格。在本工程的第一步工作，向表格中增加了敘述性描述。2. 查看在表格中列出的影響描述， 對(duì)其中每一種，對(duì)其進(jìn)行評(píng)估并為其賦一個(gè)值 （高、中、低）。使用前面創(chuàng)建的定性評(píng)估準(zhǔn)則（參看工作手冊(cè)的評(píng)估準(zhǔn)則部分），記得對(duì)每種影響的評(píng)估使用這些評(píng)估準(zhǔn)則作為基準(zhǔn)。在對(duì)影響價(jià)值得出一致結(jié)論時(shí)，抄寫員在工作手冊(cè)的影響描述部分的適當(dāng)表格中進(jìn)行記錄。 為關(guān)鍵資產(chǎn)的所有影響進(jìn)行評(píng)估。抄寫員應(yīng)該在手冊(cè)的威脅與風(fēng)險(xiǎn)統(tǒng)計(jì)部分中威脅結(jié)果之后記錄影響的價(jià)值3. 如果一種結(jié)果相關(guān)的影響有超過一種價(jià)值，記錄下所有的值。額外的指南如果在評(píng)估影響描述時(shí)使用評(píng)估準(zhǔn)則有困難，可能有下面的情況發(fā)生：*評(píng)估準(zhǔn)則可能不是特別詳細(xì)、精確*影響的描述可能太含糊138階段7:風(fēng)險(xiǎn)分析總結(jié)活動(dòng)中使用的工作表活動(dòng)