原创力文档* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 定性风险分析是所有风险分析的方法中,最容易也是最常被运用的方法。可是也是最主观的。 其结果高度依存于RMT(风险管理小组)的专业能力。 需要一套系统化的执行步骤,来帮助RMT的执行成果更接近预期的效果。 定性风险分析 3.5 定性分析与定量分析的比较 4 OCTAVE风险评估实施过程 OCTAVE(The Operationally Critical Threat, Asset, and Vulnerability Evaluation) 美国Carnegie Mellon大学软件工程研究所开发 用于信息安全的评估 采用定性的评估方法 4 OCTAVE风险评估实施过程 OCTAVE的三个阶段 阶段一:建立基于资产的威胁概要文件 对组织层面进行评估 识别出重要的信息资产、这些资产所受的威胁、它们的安全需求、组织目前的资产保护措施、以及组织的脆弱性。 阶段二:识别基础设施的脆弱性 评估信息基础设施 检查IT基础设施关键组件,识别技术脆弱性 阶段三:制定安全策略与计划 进行风险分析 制
文档评论(0)