1、阶段 8:制定保护策略:工程 B:选择保护策略158阶段 8:制定保护策略Process 8: Develop Protection Strategy工程 B:选择保护策略Workshop B: Protection Strategy Selection描述 Description目的 Purpose (Workshop B):与企业高级主管讨论上阶段制定的策略、方案和措施,决定如何实施并在评估后进行实施。人员 Whos Involved:风险评估项目组和企业高级管理者数据流程图 Data Flow Diagram阶段 8:制定保护策略工程 B输出 Outputs保护策略降低风险方案措施列表后
2、续工作输入 Inputs评估组和核心成员的现有知识高级管理者的现有知识保护策略建议降低风险方案建议措施建议列表整理过的信息 资产 安全需求 关心的范围 保护策略 企业漏洞调查表 Worksheets资产汇总调查表 (W8B.1)关键资产风险明细调查表 (W8B.2)企业保护策略调查表 (W8B.3)降低风险方案调查表(W8B.4)措施汇总调查表 (W8B.5)后续工作调查表(W8B.6)现行策略调查表 (W8A.1)现行措施调查表 (W8A.2)策略级的保护策略调查表(W8A.3)运营制度的保护 策略 调查表(W8A.4)措施清单列表(W8A.5)资产明细手册(WK)阶段 8:制定保护策略:工
3、程 B:选择保护策略159阶段指南 Process Guidelines阶段 8:制定保护策略Process 8: Develop Protection Strategy工程 B:选择保护策略Workshop B:Protection Strategy Selection Workshop 时间 Time2 hr 30 min 4 hr 30 min目标 Workshop Objectives 选择保护策略 选择降低关键资产风险的方案 选择短期措施 决定评估后的实施工程风险评估组职责 Analysis Team Roles项目负责人负责推动工程的实施,检查所需资料。书记员负责记录工程实施过程和
4、结果。项目组其他成员协同完成工程。合作者职责 Participants Roles合作者为企业的关键管理者。审核保护策略、降低风险方案、措施列表,进行必要的选择、改变和补充。所需资料 Materials Required 工作表- 现行策略调查表 (W8A.1)- 现行措施调查表 (W8A.2)- 策略级的保护策略调查表(W8A.3)- 运营制度的保护 策略 调查表(W8A.4)- 资产汇总调查表 (W8B.1)- 关键资产风险明细调查表 (W8B.2)- 企业保护策略调查表 (W8B.3)- 降低风险方案调查表(W8B.4)- 措施汇总调查表 (W8B.5)- 后续工作调查表(W8B.6)-
5、 各关键资产明细手册 (WK)阶段 8:制定保护策略:工程 B:选择保护策略160阶段指南 Process Guidelines实施结果 Summary of Workshop Outputs 资产汇总 (O8.7) 关键资产风险明细 (O8.8) 保护策略(O8.9) 降低风险方案 (O8.10) 措施列表(O8.11) 后续工作(O8.12)工程实施前期 Before the Workshop步骤 Activity 描述 Description 调查表WorksheetsD8B.1 整理资产 整理全部资产。 资产汇总调查表(W8B.1)D8B.2 整理风险明细 整理关键资产的风险明细。 关
6、键资产的风险明细调查表 (W8B.2)各关键资产明细手册(WK)D8B.3 整理企业保护策略 整理如下信息: 企业策略的保护策略 运营制度的保护策略 其他企业未实施的策略策略级的保护策略调查表(W8A.3)运营制度的保护 策略 调查表(W8A.4)企业保护策略调查表 (W8B.3)D8B.4 整理降低风险方案 整理降低各关键资产风险的方案。 降低风险方案调查表(W8B.4)各关键资产明细手册(WK)D8B.5 整理措施列表 整理措施列表。 措施清单列表(W8A.5)措施汇总调查表 (W8B.5)阶段 8:制定保护策略:工程 B:选择保护策略161工程实施 During the Workshop
7、步骤 Activity 描述 Description 调查表 Worksheets工程介绍 项目负责人向高级管理者介绍工程内容,推动工程的实施。-A8B.1 审核风险信息 关键管理者审核项目组得出的信息: 现有制定和企业漏洞 资产信息 关键资产的风险明细现行策略调查表 (W8A.1)现行措施调查表 (W8A.2)资产汇总调查表 (W8B.1)关键资产风险明细调查表 (W8B.2)A8B.2 审核并选择保护策略、降低风险方案、措施列表高级管理者审核保护策略、降低风险方案、措施列表,并对其进行选择、修改、补充和删除。企业保护策略调查表 (W8B.3)降低风险方案调查表(W8B.4)措施汇总调查表
8、(W8B.5)A8B.3 制定后续工作 高级管理者决定如何实施保护策略和降低风险方案: 做什么 什么时候做 涉及的人员这是长期提供安全性的起点。后续工作调查表(W8B.6)工程总结 项目负责人对工程进行总结,并与高级管理者讨论如何结束评估。-工程实施后期 After the Workshop步骤 Activity 描述 Description 调查表WorksheetsX8B.1 记录保护策略、降低风险方案和后续工作书记员要确保所有的信息都被正确地记录下来,并将终稿提交高级管理者和项目组成员。企业保护策略调查表 (W8B.3)降低风险方案调查表(W8B.4)措施汇总调查表 (W8B.5)后续工
9、作调查表(W8B.6)阶段 8:制定保护策略:工程 B:选择保护策略162Before The WorkshopD8B.1 整理资产活动中使用的工作表 活动的输出 活动时间 资产总结工作表 (W8B.1) 资产总结摘要 (O8.7) -基本指南在本活动中,要向资产总结工作表(W8B.1)增加下列信息: 关键资产 在第 1、2 和 3 阶段确定的其它关键资产这些信息是在第 4 阶段中记录在资产分类工作表 (W4.1)上的信息。注意这些资产在工作表中没有按机构级别进行区分。向资产总结工作表增加所有资产的名称,确保将关键资产与不重要资产进行了区分。 阶段 8:制定保护策略:工程 B:选择保护策略16
10、3D8B.2 整理风险明细活动中使用的工作表 活动的输出 活动时间 关键资产的风险统计 工作表(W8B.2) 每种资产的 资产统计 工作表(WK) 关键资产的风险统计(O8.8) -基本指南在本活动中,要向关键资产的风险统计工作表(W8B.2) 中增加信息。每个工作表需要关键资产的下列信息: 风险树 带有相关影响值的影响的描述的总结摘要 感兴趣的系统和关键资产的重要组件 漏洞总结摘要可以在资产统计工作手册中找到每种关键资产的所有上述信息。1. 选择一种关键资产,从该资产的资产统计工作手册向关键资产风险统计工作表增加信息。 2. 继续此活动直到为所有关键资产增加了信息。阶段 8:制定保护策略:工
11、程 B:选择保护策略164D8B.3 整理企业保护策略活动中使用的工作表 活动的输出 活动时间 策略实践的保护策略 工作表(W8A.3) 执行实践的保护策略 工作表 (W8A.4) 机构保护策略 工作表 (W8B.3)- -基本指南在本活动中,要向机构保护策略工作表(W8B.3)增加保护策略信息,该工作表需要下面信息: 策略实践的保护策略 执行实践的保护策略 机构不能处理的事项你可以在策略实践的保护策略工作表(W8A.3) 和执行实践的保护策略工作表 (W8A.4)中找到上述信息 向策略实践的保护策略工作表(W8A.3) 增加策略实践的保护策略、执行实践的保护策略和机构不能处理的事项阶段 8:
12、制定保护策略:工程 B:选择保护策略165D8B.4 整理降低风险方案活动中使用的工作表 活动的输出 活动时间 降低风险方案工作表 (W8B.4) 每种关键组件的 资产统计 工作手册 (WK)- -基本指南在本活动中,要向降低风险方案工作表 (W8B.4)增加信息,该工作表需要为关键资产降低风险方案。你可以在资产统计工作手册找到每种资产的降低风险方案1. 选择一种关键资产,向降低风险方案工作表增加降低风险方案,在威胁种类基础上在适当位置记录降低风险措施。2. 继续此活动直到为所有关键资产增加了降低风险方案信息。阶段 8:制定保护策略:工程 B:选择保护策略166D8B.5 整理措施列表活动中使
13、用的工作表 活动的输出 活动时间 措施列表工作表(W8A.5) 措施列表总结工作表 (W8B.5)- -基本指南在本活动中,要向措施列表总结工作表 (W8B.5)增加信息,该工作表需要近期措施的列表。可以在措施列表工作表(W8A.5) 中找到上述信息向措施列表总结工作表(W8B.5)增加措施项阶段 8:制定保护策略:工程 B:选择保护策略167阶段 8 工程 B介绍活动中使用的工作表 活动的输出 活动时间- - 15 分钟基本指南参与本工程的是机构的高层管理者。描述本工程的目标。简要查看 OCTAVE 过程,指出你在本过程中所处的位置。向高层管理者描述成功后的情景,讨论工程的目标和最终结果,解
14、释将进行下面的工作: 查看和提炼机构的保护策略 查看和提炼对关键资产的风险降低方案 查看和提炼近期措施项目的列表 确定在贯彻评估结果之后要做的事情阶段 8:制定保护策略:工程 B:选择保护策略168A8B.1 审核风险信息活动中使用的工作表 活动的输出 活动时间 目前的策略实践 工作表 (W8A.1) 目前的执行实践 工作表 (W8A.2) 资产总结 工作表 (W8B.1) 关键资产的风险统计 工作表 (W8B.2)- 45 分钟1 小时 30 分钟基本指南在本活动中,审核下面的信息: 目前的策略实践 工作表 (W8A.1) 目前的执行实践 工作表 (W8A.2) 资产总结 工作表 (W8B.
15、1) 关键资产的风险统计 工作表 (W8B.2) 1. 审核与资产相关的概念和术语,向高级管理层分发资产总结摘要工作表(W8B.1) ,将他们的注意力集中在第四阶段确定的关键资产上。要求管理者审核工作表的信息并请他们提出问题。 2. 接下来,与管理者审核下面的概念和术语:威胁、风险和风险统计。此外,介绍实践目录的基本结构以及它如何构造第 1、2、3 阶段使用的调查。解释在制定保护策略时使用的实践目录,从保护策略框架中指出实践区域。 3. 向管理者分发下面的工作表:目前的策略实践 工作表 (W8A.1)目前的执行实践 工作表 (W8A.2)关键资产风险统计 工作表 (W8B.2)阶段 8:制定保
16、护策略:工程 B:选择保护策略169A8B.1 审核风险信息基本指南(续)向高层管理者提出工作表信息的摘要,这些工作表包括下面的信息:调查表的复合分析结果保护策略实践和按实践区域分类的机构的漏洞每种关键资产的威胁、风险和漏洞信息4. 问管理者是否还有问题,让他们知道在下一步将审核已经创建的策略和风险降低方案。额外的指南当你介绍调查结果的总结、保护策略实践、机构漏洞、威胁、风险和机构漏洞等信息时,确定你对这些信息进行了总结。你要确保高级管理层理解了这些信息,但是不想花费太多时间。记得目标是为管理者设定前后关系详细指南你可能想要为提出调查结果的总结建立、保护策略实践、机构漏洞、威胁、风险和漏洞信息
17、建立良好的格式,注意下面的表格提出了大量的详细信息: 目前的策略实践 工作表 (W8A.1) 目前的执行实践 工作表 (W8A.2) 关键资产的风险统计 工作表 (W8B.2)良好的格式可以不必所有的细节来引入信息的总结,如果要选择另一个格式,则不需要使用上面列出的工作表。 阶段 8:制定保护策略:工程 B:选择保护策略170A8B.2 审核并选择保护策略、降低风险方案、措施列表活动中使用的工作表 活动的输出 活动时间 机构保护策略工作表 (W8B.3) 风险降低方案工作表 (W8B.4) 措施列表总结工作表 (W8B.5) 保护策略 (O8.9) 风险降低方案 (O8.10) 措施列表 (O
18、8.11)45 分钟1 小时 30 分钟基本指南在本活动中,领导推动者将引入保护策略、风险降低方案和措施列表的信息,将同高层管理者审核下面的内容: 机构保护策略 工作表 (W8B.3) 风险降低方案 工作表 (W8B.4) 措施列表总结 工作表 (W8B.5)让高级管理者知道你将要求他们审核保护策略、风险降低方案和措施列表,之后他们有机会进行精简、修改、增加和删除这些内容。1. 同保护策略定义的参与者进行讨论。 保护策略的集中点在机构,保护策略包括可能被你的机构使用的策略。 2. 向高层管理者分发机构保护策略工作表并让他们审核,询问他们还有没有问题。3. 同风险降低方案定义的参与者进行讨论。
19、风险降低方案关注于这些行为:在威胁发生时承认或察觉抵抗或组织威胁发生如果威胁发生,对其进行恢复向高层管理者指出保护策略与风险降低方案没有等级关系。 完成评估之后的一个行为将是向保护策略和风险降低方案增加执行细节。阶段 8:制定保护策略:工程 B:选择保护策略171A8B.2 审核并选择保护策略、降低风险方案、措施列表基本指南(续)4. 向高层管理者分发风险降低方案工作表并要求他们进行审核。5. 同措施列表定义的参与者进行讨论。 措施列表中行为的例子包括下面:一个 IT 职员可能分配一个行为,修复在 OCTAVE 第 2 步中确定的高严重级的漏洞 分析组合机构管理层可能被分配一个行为,定义保护策
20、略的执行的细节。6. 向高层管理者分发措施列表总结工作表并要求他们进行审核。询问高级管理者是否对保护策略、风险降低方案和措施列表进行精简、修改、增加或定义。同高层管理者讨论建议的改变,在达成一致时,抄写员在适当的工作表上进行记录。额外的指南下面的图阐明了 OCTAVE 输出的主要关注点注意保护策略的关注点在于机构,它倾向于长期、整个机构范围。在 OCTAVE 期间,你将制定保护策略,在 OCTAVE 完成后机构中有人将对执行策略生成执行细节。风险降低方案目的在于降低对关键资产的风险,注意它的关注点在于资产,主要包括中期行动。在 OCTAVE 期间,你将创建风险降低方案,在 OCTAVE 完成后
21、机构中有人将对执行每个方案生成执行细节。措施列表是近期行为,其中的项目同保护策略和风险降低方案具有一致性,它们通常没有特殊知识,不需要方针上的改变,因此不需要执行细节。风险降低方案措施列表保护策略 机构资产近期行为阶段 8:制定保护策略:工程 B:选择保护策略172A8B.2 审核并选择保护策略、降低风险方案、措施列表额外的指南(续)当开始向管理者提交保护策略时,常常需要开始立刻选择。应该要求他们等待直到看见改变前的风险降低方案。阶段 8:制定保护策略:工程 B:选择保护策略173A8B.3 制定后续工作活动中使用的工作表 活动的输出 活动时间 后续 工作表 (W8B.6) 后续工作 (O8.
22、12) 30 分钟1 小时基本指南在本活动中,高层管理者要考虑下一步执行保护策略和降低风险方案,在决定下一步工作时将使用后续工作表 (W8B.6) 1. 向高级管理者分发后续工作表并要求他们仔细查看,下面的问题是工作表提出的问题:关于这次评估的结果机构要作什么工作?为了机构改善信息安全你还需要做什么工作?你能作什么工作来支持信息安全的改进?机构中的其它管理者能作什么工作?对于进行安全评估你有什么计划?2. 对工作表的每个问题进行讨论,当管理者达成一致时,抄写员写下下一步工作提供给所有人参考。额外的指南本活动中确定的后续工作集中在特定的策略和计划的执行上,执行本类型的评估暴露了长期改进和持续的信
23、息安全改进的需要。有些工作被看作帮助建立作为持续活动的信息安全的后续工作,为了评估之后的后续工作,需要查看第 13 卷。创建作为连续处理过程的安全改进是一个长期的(总共 6 个月或者 1 年)checklist 。阶段 8:制定保护策略:工程 B:选择保护策略174总结活动中使用的工作表 活动的输出 活动时间- - 15 分钟基本指南1. 与高层管理者审核工程的结果,要做下面事情: 审核和提炼机构的保护策略审核和提炼关键资产的风险降低方案审核和提炼近期行为项目的列表确定下一步要进行的工作2. 提醒他们考虑评估结果,审核机构将进行的下一步行动。3. 让高层管理者指导这是整个 OCTAVE 过程中
24、的最后一步,分析组将正式的记录评估结果。 4. 询问高级管理者是否希望有对评估参与者或其它职员的结果简报,强调成功的关键是良好的沟通。5. 抄写员应该确保在工程完成后记录下保护策略、风险降低方案、措施列表和后续工作。阶段 8:制定保护策略:工程 B:选择保护策略175工程之后X8B.1 记录保护策略、降低风险方案和后续工作活动中使用的工作表 活动的输出 活动时间 机构保护策略 工作表 (W8B.3) 风险降低方案 工作表 (W8B.4) 措施列表总结 工作表 (W8B.5) 后续 工作表 (W8B.6)- -基本指南1. 在工程之后,抄写员需要确保保护策略、风险降低方案、措施列表和后续工作进行了正式的记录存档,原因是要创建评估结果的正式的记录。抄写员可以使用下面的工作表来记录评估结果:机构保护策略 工作表 (W8B.3)风险降低方案 工作表 (W8B.4)措施列表总结 工作表 (W8B.5)后续 工作表 (W8B.6)2. 抄写员应该向高层管理者、分析组成员和其它适当的职员发送最终的保护策略、风险降低方案、措施列表和后续工作的拷贝。详细指南所有 OCTAVE 结果的记录格式应该适合机构的正常文件指导,可以根据机构的需要进行修改。机构需要正式的报告记录所有的风险信息,使用符合机构需要的格式。
