信息安全产品测评认证中心风险评估概论.pptVIP

4 OCTAVE风险评估实施过程 OCTAVE的三个阶段 阶段一：建立基于资产的威胁概要文件 对组织层面进行评估 识别出重要的信息资产、这些资产所受的威胁、它们的安全需求、组织目前的资产保护措施、以及组织的脆弱性。 阶段二：识别基础设施的脆弱性 评估信息基础设施 检查IT基础设施关键组件，识别技术脆弱性 阶段三：制定安全策略与计划 进行风险分析 制订出针对最高优先级风险的保护策略和风险缓解计划。 4 OCTAVE风险评估实施过程 OCTAVE的特点 自主性 分析组 基于讨论会 标杆方法 4 OCTAVE风险评估实施过程 阶段一：建立基于资产的威胁概要文件 过程1：识别高级管理者的认识 过程2：识别运营领域的认识 过程3：识别员工的认识 过程4：创建威胁概要文件 阶段二：识别基础设施的脆弱性 过程5：识别关键部件 过程6：评估所选部件 阶段三：制定安全策略与计划 过程7：执行风险分析 过程8：制订保护策略 实施过程 4 OCTAVE风险评估实施过程 过程1：识别高层管理者的认识--该过程的参与者是该组 织的高层管理者； 过程2：识别运营领域管理者的认识--参与者是该组织的 运营管理者（中层管理者）； 过程3：识别员工的认识--参与者是该组织的普通员工。 IT人员通常要与普通员工分开讨论。 阶段一：建立基于资产的威胁概要文件 4 OCTAVE风险评估实施过程 识别资产及其优先级。 识别需关注的领域。 识别重要资产的安全需求。 获取对保护策略实施条例和组织脆弱性的认识。 过程1－3的活动 4 OCTAVE风险评估实施过程 将资产、安全需求和关注领域，按组织的层次进行分类 选择出关键资产 识别关键资产的安全需求 识别关键资产面临的威胁 过程4：创建威胁概要文件 4 OCTAVE风险评估实施过程 识别关键部件的种类。 识别需要检查的基础设施的部件。分析组和IT员工从关键的部件类型中选择特定的部件进行脆弱性评估，并确定评估方法 。 过程5：识别关键部件 4 OCTAVE风险评估实施过程 在选定的基础部件上运行脆弱性评估工具，执行 软件工具支持的技术脆弱性评估。 评审技术脆弱性并汇总结果。 过程6：评估所选部件 4 OCTAVE风险评估实施过程 识别威胁对关键资产的影响。对每个重要资产创建一 个风险概要文件，说明风险概要文件中的每一结果 （泄露、更改、损失或损坏、中断）造成的影响。 创建风险评估标准。 评估关键资产所受威胁的影响。分析组使用该评估标 准作为基准，为每项影响描述指派一个影响值。 过程7：执行风险分析 4 OCTAVE风险评估实施过程 归纳保护策略信息。 制定保护策略 制定风险缓解计划 建立行动表 过程8：制定保护策略 问题？ 9、有时候读书是一种巧妙地避开思考的方法。*** 10、阅读一切好书如同和过去最杰出的人谈话。**** 11、越是没有本领的就越加自命不凡。***** 12、越是无能的人，越喜欢挑剔别人的错儿。**** 13、知人者智，自知者明。胜人者有力，自胜者强。***** 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。**** 15、最具挑战性的挑战莫过于提升自我。。***** 16、业余生活要有意义，不要越轨。*** 17、一个人即使已登上顶峰，也仍要自强不息。**** 谢谢观赏 You made my day! 我们，还在路上…… Title 版本： 编号： 日期：2003年 中国信息安全产品测评认证中心（CNITSEC） 资产价值 可能胁迫资产的威胁和其发生的可能性 因脆弱点被威胁利用而造成冲击的容易度 目前或计划中可能降低脆弱点、威胁和冲击严重性的保护措施 换句话说，风险是以下事项的作用： 3.1 风险评估方法概述 要考虑影响和可能性 在决定所需控制方法时，对既有控制方法的评估是必须的 控制方法只能将风险降低到可接受的程度 百分之百的安全，并不是安全管理的目的。 3.1 风险评估方法概述 注意 定量分析 定性分析 综合方法 3.1 风险评估方法概述 风险评估的途径： 定量分析： 对后果和可能性进行分析 采用量化的数值描述后果（估计出可能损失的金额）和可能性（概率或频率） 分析的有效性取决于所用的数值精确度和完整性。 3.1 风险评估方法概述 定性分析适用于： 初始的筛选活动，以鉴定出需要更仔细分析的风险 风险程度和经济上的考虑 数据不足以进行定量分析的情况 定性分析： 对后果