OCTAVE信息风险评估.pptVIP

OCTAVE评估方法 思路 OCTAVE方法着眼于组织自身 识别出组织所需保护的对象 明确它为什么存在风险 然后开发出技术与实践相结合的解决方案 风险评估 风险评估（Risk Assessment）--在IT行业，专指信息安全风险评估，指依据有关信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）等安全属性进行科学、公正的综合评估的过程。它是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。 风险评估目的 对信息系统进行风险评估，其目的是为了了解信息系统目前与未来的风险所在，评估这些风险可能带来的安全威胁与影响程度，为安全策略的确定、信息系统的建立及安全运行提供依据。 风险评估是风险管理的基础，是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。 OCTAVE OCTAVE -- O—可操作性，C—关键性，T—威胁，A—资产，V—脆弱性，E—评估。也就是说，它最注重可操作性，其次对关键性很关注。 OCTAVE方法--一种3阶段方法对管理问题和技术问题进行研究，从而使组织人员能够全面把握组织的信息安全需求。 OCTAVE过程 OCTAVE流程 OCTAVE过程 OCTAVE过程 OCTAVE过