1、阶段 8:制定保护策略:工程 A:保护策略制定141阶段 8:制定保护策略Process 8: Develop Protection Strategy工程 A:保护策略制定Workshop A: Protection Strategy Development描述 Description目的Purpose(Workshop A):为企业制定保护策略,降低关键资产风险的方案,以及短期内的措施清单。人员 Whos Involved: 风险评估组数据流程图 Data Flow Diagram阶段 8:制定保护策略工程 A输入 Inputs项目组和核心成员现有的知识整理过的信息 资产 安全需求 关心的范
2、围企业各个层面现有的保护策略企业各个层面现有的漏洞关键资产关键资产的安全需求关键资产的威胁关键资产分类 技术漏洞汇总输出 Outputs现有的保护策略 现有的企业漏洞建议的保护策略 建议的方案建议的措施调查表 Worksheets现行策略调查表 (W8A.1)现行措施调查表 (W8A.2)策略级的保护策略调查表(W8A.3)运营制定的保护策略调查表(W8A.4)措施清单工作表 (W8A.5)资产明细手册 (WK)阶段 8:制定保护策略:工程 A:保护策略制定142阶段指南 Process Guidelines阶段 8:制定保护策略Process 8: Develop Protection St
3、rategy工程 A:保护策略制定Workshop A:Protection Strategy Development时间 Time5 hr 7 hr目标 Workshop Objectives 为企业制定保护策略 制定关键资产的降低风险方案 制定短期内实施的措施项目组职责 Analysis Team Roles项目组可以决定是否增加提供技术和知识支持的人员,负责人确保每个人明确相应的职责。同时,负责人负责推动工程的进展,并检查前期和后期工程是否完成。书记员负责工程实施过程和结果的记录工作。其他成员要参加工程的所有步骤。所需资料 Materials Required 工作表- 现行策略调查表
4、(W8A.1)- 现行措施调查表 (W8A.2)- 策略级的保护策略调查表(W8A.3)- 运营制定的保护策略调查表(W8A.4)- 措施清单工作表 (W8A.5)- 各关键资产的明细手册(WK)实施结果 Summary of Workshop Outputs 保护策略调查结果 (O8.1) 现有的保护策略措施 (O8.2) 现有的企业漏洞 (O8.3) 保护策略建议 (O8.4) 降低风险方案建议 (O8.5) 具体措施建议 (O8.6)阶段 8:制定保护策略:工程 A:保护策略制定143工程实施前期 Before the Workshop步骤 Activity 描述 Description
5、 工作表WorksheetsD8A.1 整理调查结果 整理阶段 13 的调查结果 现行策略调查表 (W8A.1)现行措施调查表 (W8A.2)D8A.2 整理保护策略信息 整理阶段 13 的调查结果 现行策略调查表 (W8A.1)现行措施调查表 (W8A.2)工程实施 During the Workshop步骤 Activity 描述 Description 工作表Worksheets工程介绍 负责人明确每个成员的职责,检查所需资料是否齐备。-A8A.1 审核前期信息 项目组成员独立地审核前期得到的信息: 技术漏洞 保护策略措施 组织漏洞 安全需求 风险信息现行策略调查表 (W8A.1)现行措
6、施调查表 (W8A.2)各关键资产的明细手册(WK)A8A.2 制定保护策略 项目组委企业制定保护策略建议,策略中定义了启动、执行、维护企业内部安全的策略。现行策略调查表 (W8A.1)现行措施调查表 (W8A.2)策略级的保护策略调查表(W8A.3)运营制定的保护策略调查表(W8A.4)各关键资产的明细手册(WK)阶段 8:制定保护策略:工程 A:保护策略制定144工程实施 During the Workshop步骤 Activity 描述 Description 工作表WorksheetsA8A.3 制定降低风险方案 为企业的关键资产制定降低风险的方案。 现行策略调查表 (W8A.1)现行
7、措施调查表 (W8A.2)各关键资产的明细手册(WK)A8A.4 制定措施清单 为企业制定在短期内可以执行的不需专门训练或改变企业策略的措施。措施清单工作表 (W8A.5)工程总结 项目负责人对这一阶段工程进行总结,制定下一阶段工作计划。-阶段 8:制定保护策略:工程 A:保护策略制定145工程之前D8A.1 整理调查结果活动中使用的工作表 活动的输出 活动时间 目前的策略实践工作表 (W8A.1) 目前的执行策略 工作表 (W8A.2) 保护策略调查结果 (O8.1) -基本指南在本工作中,你将使用 目前的策略实践工作表 (W8A.1)和 目前的执行策略 工作表 (W8A.2),工作表使用来
8、自第 1、2 和 3 阶段完成的调查的信息,工作表包括两个部分: 调查结果 前后关系信息 (保护策略实践和机构漏洞)在本工作中,使用下面的程序来整理调查结果:1. 选择一个机构级别并找到在 OCTAVE 前三个阶段完成的该级别的职员的调查表。调查表包括实践以及下面的回答:认为该行为被机构采用 (“是”的回答)认为该行为不被机构采用 ( “否”的回答)不知道该行为有没有被机构采用( “不知道”的回答)阶段 8:制定保护策略:工程 A:保护策略制定146D8A.1 整理调查结果基本指南(续)2. 对每一个调查的问题,增加“是” 、 “否” 、 “不知道”的回答并计算下面的百分比:回答为“是”的百分
9、比回答为“否”的百分比回答为“不知道”的百分比3. 有了这些百分比,需要解释这些数据,使用下面的解释:绝大部分的某个机构级别的回答者都认为该行为被机构所采用,这就是“是”的回答绝大部分的某个机构级别的回答者都认为该行为不被机构所采用,这就是“否”的回答回答者对该行为是否被机构采用没有明确的倾向性,这就是“不清楚”的回答解释这些数据时使用下面的门限值:是 75%或更多的回答者回答为“是”,这表明了该行为很可能被机构采用。否 75%或更多的回答者回答为“否”,这表明了该行为很可能不被机构采用不清楚 如果回答“是”或“否”没有达到 75%的门限值,表明有些人采用该行为而有些人没有采用。基本指南(续)
10、4. 在目前的策略实践和目前的执行实践工作表中记录该机构级别的所有行为的解释。5. 完成所有机构级别(高层管理者、执行层管理者、职员和 IT 职员)的任务额外的指南目前的策略实践和目前的执行实践工作表根据实践的种类进行组织,对每一个实践范围,工作表包括下面内容: 一页或多页概括调查行为的内容 保护策略和机构漏洞的表格完整的目录可在附录 A 中找到详细指南75%的门限值用来衡量调查结果的偏向性,也可以根据机构的需要进行改动。 通常,需要定义足够高的门限值。目前的策略实践和目前的执行实践工作表建立在 OCTAVE 使用的实践种类基础上,它可以根据机构的需求进行修改。通常,机构的实践种类应该尽量完整
11、,不保留副本。目前的策略实践和目前的执行实践工作表应该根据应用在机构中的实践的种类进行修改。阶段 8:制定保护策略:工程 A:保护策略制定147D8A.2 整理保护策略信息活动中使用的工作表 活动的输出 活动时间 目前的策略实践工作表 (W8A.1) 目前的执行策略实践工作表(W8A.2) 目前的保护策略实践 (O8.2) 目前的机构漏洞 (O8.3) -Basic Guidance本活动中,将使用 目前的策略实践工作表 (W8A.1)和 目前的执行策略实践工作表 (W8A.2),工作表包括两个部分: 调查结果 前后关系信息(保护策略实践和机构漏洞)在本活动中,将在机构级别上巩固前后关系信息(
12、保护策略实践和机构漏洞)1. 选择一个机构级别并找到在 OCTAVE 前三个阶段为该级别记录的信息2. 查看记录的前后关系信息,确定每一个保护策略实践和机构漏洞属于目前的策略实践和目前的执行实践工作表中的哪个实践区域达成一致意见后,在目前的策略实践和目前的执行实践工作表地适当实践区域记录机构级别的保护策略实践以及机构漏洞3. 为所有机构级别完成该项任务 (高级管理层、执行经理层、职员、IT 职员)阶段 8:制定保护策略:工程 A:保护策略制定148阶段 8 工程 A介绍活动中使用的工作表 活动的输出 活动时间- - 15 分钟基本指南参与本工程的是核心分析组成员以及附加人员 在工程的开始阶段,
13、领导者要确保每个人知道自己的角色,此外,要查看完成的工作以及确保收集整理了需要的材料。本工程中应该生成: 机构的保护策略 关键资产的降低风险方案 行动的列表阶段 8:制定保护策略:工程 A:保护策略制定149介绍额外的指南下面的表阐明了 OCTAVE 输出的主要关注点:保护策略定义了机构用来初始化、执行和维护内部安全的策略,保护策略关注点在于机构,保护策略倾向于过程长、范围广。在 OCTAVE 过程中,将制定执行策略;OCTAVE 之后,机构中需要有人来制定执行细节来执行保护策略。降低风险方案是为了降低对关键资产的风险,降低风险方案的关注点在于资产,主要包括中等长度的行为。在 OCTAVE 过
14、程中,将创建风险降低策略方案;OCTAVE 之后,机构中需要有人来制定执行细节来执行方案。行为列表是近期的行为,它们跟保护策略和风险降低计划是一致的,不需要保护策略和降低风险方案需要的执行细节就可以快速执行。注意保护策略和风险降低方案之间没有等级关系。 风险降低方案跟保护策略是一致的,都是建立在安全实践的基础之上。降低风险计划行为列表保护策略 机构资产近期行为阶段 8:制定保护策略:工程 A:保护策略制定150A8A.1 审核前期信息:漏洞、保护策略、机构漏洞、安全需求和风险信息活动中使用的工作表 活动的输出 活动时间 目前的策略实践 工作表 (W8A.1) 目前的执行实践 工作表(W8A.2
15、) 每种资产的 资产统计 工作表 (WK)- 30 分钟1 小时基本指南1. 在本活动中,回顾下面的内容:目前的策略实践 工作表(W8A.1)目前的执行实践 工作表(W8A.2)2. 查看每种资产的资产统计工作手册的信息下一步是制定机构的保护策略以及每种关键资产的风险降低方案。需要理解和查看所有重要材料。额外的指南在下面的活动中,要求制定改进机构的保护策略以及降低机构关键资产风险的方案。 在查看资产统计工作手册的信息时,寻找资产的通用的项目以及特定的项目。 在查看机构目前安全实践和机构漏洞的相关信息时考虑这些信息如何与潜在的风险降低行为相关。阶段 8:制定保护策略:工程 A:保护策略制定151
16、A8A.2 制定保护策略活动中使用的工作表 活动的输出 活动时间 目前的策略实践工作表 (W8A.1) 目前的执行实践工作表 (W8A.2) 战略措施的保护策略工作表 (W8A.3) 执行措施的保护策略工作表(W8A.4) 资产统计工作手册 (WK) 建议的保护策略 (O8.4) 1 小时 30 分钟2 小时基本指南在本活动中,将为机构制定建议的保护策略,可以使用下面建议的内容: 目前的策略实践工作表 (W8A.1) 目前的执行实践工作表 (W8A.2) 资产统计工作手册的关键资产安全需求部分 资产统计工作手册的威胁与风险统计部分 资产统计手册的关注的范围部分本活动中,将制定一个策略来维护目前
17、机构中使用情况良好的实践并关注机构漏洞。保护策略定义了机构用来保护策略定义了机构用来初始化、执行和维护内部安全的策略,保护策略关注点在于机构。在本工程的迟些时候,将创建降低风险方案,它直接关注降低关键资产的风险,比保护策略有更多的执行关注点。阶段 8:制定保护策略:工程 A:保护策略制定152A8A.2 制定保护策略基本指南(续)保护策略组织了实践的种类,关注下面范围: 安全意识和培训 安全策略 安全管理 安全方针和规则 合作安全管理 意外计划/灾难恢复 物理安全 信息技术安全 员工安全1. 你将分两部分制定策略,首先,使用战略实践的保护策略工作表(W8A.3)为下面的领域制定策略:安全意识和
18、培训安全策略安全管理安全方针和规则合作安全管理意外计划/灾难恢复 对每个领域,工作表会在下面的方面进行提示:机构应该继续使用本范围的目前的实践机构应该采用的新的实践工作表也在每个范围提供了大量需要在制定策略的时候考虑的问题,这些问题建立在是实践种类一部分的实践的基础之上。使用战略实践的保护策略工作表制定策略,在达成一致时,抄写员进行记录。阶段 8:制定保护策略:工程 A:保护策略制定153A8A.2 制定保护策略基本指南(续)2. 下面,应该使用执行实践的保护策略工作表来为下面范围制定策略:物理安全信息技术安全职员安全在制定保护策略的这一部分时,要考虑使得机构进行执行实践的策略,工作表提供了你
19、要考虑的问题,集中在下面的策略:培训和训练资金方针和程序角色和职责同其它机构和外部专家合作在为每个范围制定策略时要考虑工作表的这些问题。在达成一致时,抄写员在工作表上记录下策略。3. 在制定保护策略时,应该考虑有助于你制定或执行保护策略的近期行为。抄写员应该记录这些行为项目。额外的指南战略实践的保护策略工作表和执行实践的保护策略工作表建立在已知良好的实践的种类的基础之上,附录 A 有完整的种类:考虑下面的信息: 所有机构级别的调查结果 前后关系信息 (所有机构级别的保护策略实践和机构漏洞)你可能会在不同机构级别的调查结果中发现矛盾的内容,也可能在保护策略实践与机构漏洞中发现矛盾,可能发现一个机
20、构级别的调查结果与同一级别的前后关系信息矛盾。你的任务就是搞清信息的含义。详细指南战略实践的保护策略工作表和执行实践的保护策略工作表建立在 OCTAVE 中使用的实践种类基础上,该种类应该同机构必须遵循的标准一致,可以按照机构的需要进行修改。 通常,实践的种类应该尽量完整并不保留副本。战略实践的保护策略工作表和执行实践的保护策略工作表应该根据机构中应用的实践的种类进行修改。阶段 8:制定保护策略:工程 A:保护策略制定154A8A.3 制定降低风险方案活动中使用的工作表 活动的输出 活动时间 目前的策略实践工作表 (W8A.1) 目前的执行实践工作表 (W8A.2) 每种关键资产的资产统计工作
21、手册(WK) 提议的风险降低方案 (O8.5) 2 小时2 小时30 分钟基本指南在本活动中,将为关键资产创建风险降低方案,可以使用下面建议的有用材料: 目前的策略实践工作表(W8A.1) 目前的执行实践工作表(W8A.2) 资产统计工作手册的关键资产安全需求部分 资产统计工作手册的威胁与风险统计部分 资产统计工作手册的关注范围风险降低方案定义了降低风险/威胁需要的行为,集中在如下行为: 在威胁发生时察觉和侦察 抵抗和防止威胁发生 威胁发生后的恢复工作1. 选择一种关键资产,转到资产统计手册的风险降低方案部分。本部分有四个表格,有下面的威胁种类:使用网络访问的人类参与者使用物理访问的人类参与者
22、系统问题其它问题注意“其它问题”威胁种类包括任何附加的或惯用的在第 4 阶段定义的威胁源。阶段 8:制定保护策略:工程 A:保护策略制定155A8A.3 制定降低风险方案基本指南(续)2. 在制定风险降低方案之前查看风险统计、安全需求和关注的范围,在工作手册的下面部分可以找到:关键资产的安全需求威胁和风险统计关注的范围3. 为关键资产选择一个威胁种类。在确定降低风险行为时每个威胁种类的表格包括下面需要考虑的问题:威胁发生时需要采取什么行动来识别和侦察其类型?需要采取什么行为来抵抗和防止这些类型的威胁发生?威胁发生时采取什么行动来进行恢复?需要采取什么其它行为来处理这些威胁?怎样测试和校验降低风
23、险方案工作的有效性?4. 为选择的威胁种类制定降低风险的措施,考虑可能执行风险降低方案的管理、物理、技术的实践。当达成一致意见时,抄写员在工作表上进行记录。为所有影响关键资产的威胁种类完成降低风险的方案。5. 对下一个关键资产进行同样工作,在资产统计工作手册的适当位置进行记录6. 应该考虑有助于制定或执行降低风险方案的近期行为详细指南资产统计工作手册的降低风险方案部分建立在 OCTAVE 使用的威胁统计基础上,必须对威胁统计进行定义来执行有意义的评估,可以根据机构需要进行修改。 通常,威胁统计应该尽量完整并且不保留副本,资产统计工作手册的降低风险方案部分应该使用应用到机构的威胁统计的种类来建立
24、。阶段 8:制定保护策略:工程 A:保护策略制定156A8A.4 制定措施清单活动中使用的工作表 活动的输出 活动时间 措施列表 (W8A.5) 提议的措施列表 (O8.6) 30 分钟1 小时基本指南本活动中要创建措施列表。 措施列表定义了在机构中的人在近期采用的不需要特殊培训、方针改变等的行为,它是潜在行为的列表。下面列出了一些措施列表中的行为的例子: 一个 IT 职员可能被分配一个行为进行高严重级漏洞的修复 分析组合机构管理者可能被分配一个行为对执行保护策略的细节进行定义1. 查看行为项目,确定是否恰当。达成一致时,抄写员在措施列表工作表(W8A.5) 中进行记录 . 2. 也应该考虑帮
25、助执行策略和计划的额外的近期行为,考虑下面的问题:需要采取什么近期行为:谁对该行为负责?该行为到什么时间之前进行?管理层需要采取推动该行为的措施吗?达成一致时,抄写员在措施列表工作表(W8A.5) 中进行记录。 阶段 8:制定保护策略:工程 A:保护策略制定157总结摘要活动中使用的工作表 活动的输出 活动时间- - 15 分钟基本指南你已经完成了制定保护策略和降低风险方案的工作,下一步工作是与高层管理者审核和修订本工作中制定的保护策略、降低风险方案和措施列表。 1. 本工作的领导应该审核整个工作的进程,此外,应该向措施列表增加本工作中确定的事件/措施。 在本工作中,你应该确定下面内容: 对机构的保护策略关键资产的降低风险方案行为的列表2. 下一步工作的领导应该确保每个人知道工作何时进行。
