OCTAVE Process 2明确执行经理层认识 MSE安全攻防培训资料.docVIP

阶段2：明确执行经理层认识Process 2: Identify Operational Area Management Knowledge 描述Description 目的Purpose: 明确执行经理层对企业重要资产的认识，对资产如何受到威胁的了解，以及资产的安全需求，现在已经采取得保护措施以及和保护该资产相关的问题。 人员Who’s Involved: 风险评估小组以及企业的执行经理 数据流程图Data Flow Diagram  阶段指南Process Guidelines 阶段2：明确执行经理层认识 Process 2: Identify Operational Area Management Knowledge 时间 2 hr 45 min – 3 hr 45 min 目标Objectives 确定执行经理层的资产； 确定最重要的执行经理层的资产； 确定执行经理层关心的范围； 确定执行经理层的资产的安全需求； 确定执行经理层对现有保护措施的观点； 确定执行经理层对企业薄弱点的认识； 选择或确定评估涉及的员工。 风险评估组职责Analysis Team Roles 现场工作由风险评估组推动。 项目负责人负责引导项目的实施，组织调查和讨论。 书记员完成所有信息的录入工作。 项目组其他成员负责协助项目负责人完成所有实施步骤。 合作者职责Participants’ Roles 合作者由企业的执行经理组成，负责提供相关信息。 所需资料Materials Required 企业的策略和流程 组织结构图 企业必须遵守的相关法律、法规和相关制度 所需的调查表 资产调查表(W2.1) 关注范围调查表(W2.2) 安全需求调查表(W2.3) 执行经理层调查表 (W2.4) 保护措施调查表(W2.5) 实施结果Summary of Workshop Outputs 按优先级排列的执行经理层资产(O2.1) 执行经理层关注的范围(O2.2) 执行经理层资产的安全需求(O2.3) 执行经理层调查结果(O2.4) 执行经理层现行的保护措施(O2.5) 执行经理层组织的漏洞(O2.6) 评估涉及的员工(O2.7) 工程实施During the Workshop Activity Description Worksheets 调查表介绍 项目负责人向执行经理介绍实施的目的和主要内容，并推动整个实施的运行。 --- A2.1 确定执行经理层资产和优先级 执行经理标识企业使用的资产，并选出最重要的资产，并对选取原则进行讨论。 资产调查表 (W2.1) A2.2 确定执行经理层关心的范围 执行经理标识对重要资产可能的威胁以及威胁对企业的潜在影响。 关心的范围调查表(W2.2) A2.3 明确对重要资产的安全需求 执行经理给出重要资产的安全需求，并且选出每一个重要资产的最重要的安全需求。 安全需求调查表(W2.3) A2.4 获得执行经理层对现行保护措施的观点和存在的漏洞 执行经理完成如下调查：哪些制度已被员工执行了，哪些未被执行，并进行进一步对细节进行讨论。 执行经理层调查(W2.4) 保护措施调查表(W2.5) A2.5 确定评估涉及的员工 讨论在阶段3中评估涉及的员工。 --- A2.6 与第一阶段结果讨论和工作总结 进行第二阶段工作总结。 --- 阶段2 工程 介绍 本活动中使用的工作表 活动的输出 活动时间 --- --- 15 min 基本指南 本工程的参与者是机构的执行经理层 描述你是谁以及工程目的，要求参与者自我介绍以及描述他们要做什么 简要描述你所处的OCTAVE的工作阶段。 为执行层经理描述成功的意义，讨论目标和工程的最终结果，需要他们生成： 对机构任务很重要的资产列表 五个最重要的资产的列表 对最重要资产造成威胁的情况列表 最重要资产的安全需求 当前机构用来保护重要资产的 保护策略 机构漏洞，缺少或不充分的保护策略行动 向执行层经理强调信息安全是各学科间的处理过程，不仅仅是信息技术问题。  A2.1 确定执行经理层资产和优先级 本活动中使用的工作表 活动的输出 活动时间 资产表 (W2.1) 具有优先级的执行层经理资产 (O2.1) 30-45 分钟 基本指南 资产是对机构有价值的东西，信息安全风险评估集中在鉴别信息对机构任务是否重要，辨别最有意义信息的唯一方法是询问机构的工作人员（所有级别的员工） 说明关键资产的重要性，例如，如果一个机构管理者知道关键资产是什么，就可以使用他的有限资源来保护关键资产。要强调的是机构中所有人能作的事就是保护关键资产（遵循策略、使用好的方法等） 资产可以分为下列几类： 信息 – 记录的（纸质的或电子的）信息或