风险评估课程内容分享风险评课程内容分享风险评估课程内容分享风险评估课程内容分享.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 定性风险分析是所有风险分析的方法中，最容易也是最常被运用的方法。可是也是最主观的。 其结果高度依存于RMT（风险管理小组）的专业能力。 需要一套系统化的执行步骤，来帮助RMT的执行成果更接近预期的效果。 定性风险分析 3.5 定性分析与定量分析的比较 4 OCTAVE风险评估实施过程 OCTAVE（The Operationally Critical Threat, Asset, and Vulnerability Evaluation） 美国Carnegie Mellon大学软件工程研究所开发 用于信息安全的评估 采用定性的评估方法 4 OCTAVE风险评估实施过程 OCTAVE的三个阶段 阶段一：建立基于资产的威胁概要文件 对组织层面进行评估 识别出重要的信息资产、这些资产所受的威胁、它们的安全需求、组织目前的资产保护措施、以及组织的脆弱性。 阶段二：识别基础设施的脆弱性 评估信息基础设施 检查IT基础设施关键组件，识别技术脆弱性 阶段三：制定安全策略与计划 进行风险分析 制