OCTAVE Process 7风险分析 MSE安全攻防培训资料.docVIP

阶段7：风险分析Process 7: Conduct Risk Analysis 描述Description 目的Purpose: 定义威胁产生的影响（标识风险），制定评估标准，对每个风险进行分级（高、中、低）。 人员Who’s Involved: 风险评估组 数据流程图Data Flow Diagram  阶段指南Process Guidelines 阶段7：风险分析 Process 7: Conduct Risk Analysis 时间Time 4 hr 30 min – 6 hr 目标Workshop Objectives 记录企业的信息安全风险 制定风险评估的基准 评估企业的风险 风险评估组职责Analysis Team Roles 项目组可以决定是否增加提供技术和知识支持的人员，负责人确保每个人明确相应的职责。 同时，负责人负责推动工程的进展，并检查前期和后期工程是否完成。 书记员负责工程实施过程和结果的记录工作。 其他成员要参加工程的所有步骤。 所需资料Materials Required 调查表 每个关键资产的明细手册 (WK) 实施结果Summary of Workshop Outputs 关键资产所受威胁的影响(O7.1) 风险评估准则(O7.2) 影响价值(O7.3)  工程实施During the Workshop 步骤Activity 描述Description 调查表Worksheets 工程实施介绍 项目负责人确保所有成员明确各自的职责，并检查是否所有资料已准备齐全。 --- A7.1 标识关键资产所受威胁的影响 项目组定义威胁后果的描述（暴露、篡改、丢失、破坏、中断），使用叙述性的语言陈述威胁对企业任务的最终影响。企业的风险由威胁和其影响后果组成。 资产明细手册(WK) A7.2 制定风险评价准则 项目组制定适用于评估企业风险的标准，该标准定义了高、中、低影响的基准。 资产明细手册(WK) A7.3 评价关键资产所受威胁的影响 项目组评估每个风险，并赋予相应的影响值（高、中、低）。 资产明细手册(WK) 工程总结 项目负责人进行阶段工作总结并制定下一阶段工作计划。 --- 阶段7工程 介绍 活动中使用的工作表 活动的输出 活动的时间 --- --- 15 分钟 基本指南 本工作的参与者是核心的分析组成员以及附加的人员。 在本工作开始时，领导者要确保每个人明白自己的角色，此外，领导要查看已经完成的工作并确保已经收集准备好所有必需的材料。 在本工作中，要生成以下： 每种威胁结果对机构的影响的描述 一系列的评估准则 每种影响描述的价值  A7.1 标识关键资产所受威胁的影响 活动中使用的工作表 Outputs of this Activity Activity Time 每种关键资产的资产统计手册(WK) 关键资产所受的威胁的影响(O7.1) 1小时30分钟 – 2小时 基本指南 在本工作中，以小组的方式工作，为每种威胁结果定义影响的描述。你可以使用一些有助于你做决定的材料，有以下建议： 资产统计工作手册的关键资产的安全需求部分 资产统计工作手册的威胁与风险统计部分 资产统计工作手册的关注的范围部分 风险包括对关键资产的威胁和对机构的影响，因此，当你向机构增加威胁的影响时，需要创建风险，要为威胁统计的影响进行描述。 选择一种关键资产。转到资产统计手册的威胁与风险统计部分，查看关键资产的威胁统计。确保注意到在统计中标记过的结果，记得查看统计中所有的威胁树。你也应该查看在工作手册的关注范围部分记录的关注范围。其它关于威胁统计的指导参见阶段4的指导方针。 转到资产统计工作手册的影响描述部分，这部分包括四种威胁结果（暴露、修改、丢失/损坏、中断）中每一种的表格，在本活动中，要填充这些表格。 如果暴露、修改、丢失/损坏、中断是在统计中的一个或多个威胁的结果，分别完成工作手册中的各自的表格。 在对关键资产的威胁统计中的没有标记一次的威胁结果不必在表中填充。 对每个你填的表，考虑在表中列出的问题，为每个影响建立叙述性的描述，注意你已经有了每种威胁结果的多种影响。 在为一个威胁结果的影响描述达成一致后，抄写员应该在相应的表格进行记录。 为一种关键资产完成影响描述后，继续下一种资产，直到完成了所有关键资产。  A7.2 制定风险评价准则 活动中使用的工作表 活动的输出 活动时间 每种关键资产的资产统计工作手册(WK) 风险评估准则(O7.2) 1小时–1小时30分钟 基本指南 在本工作中，作为工作组进行创建评估准则的工作，你可以使用任何有帮助的材料，一个建议是资产统计工作手册的影响描述部分内容。 评估