1、阶段 1:明确执行经理层认识24阶段 2:明确执行经理层认识Process 2: Identify Operational Area Management Knowledge描述 Description目的 Purpose: 明确执行经理层对企业重要资产的认识,对资产如何受到威胁的了解,以及资产的安全需求,现在已经采取得保护措施以及和保护该资产相关的问题。人员 Whos Involved: 风险评估小组以及企业的执行经理数据流程图 Data Flow Diagram阶段 2:明确执行经理层认识输入 Inputs执行经理现在的认识企业的数据措施目录输出 Outputs按优先级排列的执行经理层资产
2、执行经理层关注的范围执行经理层资产的安全需求执行经理层现行的保护措施执行经理层组织的漏洞调查表 Worksheets资产调查表 (W2.1)关注范围调查表 (W2.2)安全需求调查表 (W2.3)执行经理层调查表 (W2.4)保护措施调查表 (W2.5)阶段 1:明确执行经理层认识25阶段指南 Process Guidelines阶段 2:明确执行经理层认识Process 2: Identify Operational Area Management Knowledge时间2 hr 45 min 3 hr 45 min目标 Objectives 确定执行经理层的资产; 确定最重要的执行经理层的
3、资产; 确定执行经理层关心的范围; 确定执行经理层的资产的安全需求; 确定执行经理层对现有保护措施的观点; 确定执行经理层对企业薄弱点的认识; 选择或确定评估涉及的员工。风险评估组职责 Analysis Team Roles现场工作由风险评估组推动。项目负责人负责引导项目的实施,组织调查和讨论。书记员完成所有信息的录入工作。项目组其他成员负责协助项目负责人完成所有实施步骤。合作者职责 Participants Roles合作者由企业的执行经理组成,负责提供相关信息。所需资料 Materials Required 企业的策略和流程 组织结构图 企业必须遵守的相关法律、法规和相关制度 所需的调查表
4、- 资产调查表(W2.1)- 关注范围调查表(W2.2)- 安全需求调查表(W2.3)- 执行经理层调查表 (W2.4)- 保护措施调查表(W2.5)实施结果 Summary of Workshop Outputs 按优先级排列的执行经理层资产(O2.1) 执行经理层关注的范围(O2.2) 执行经理层资产的安全需求(O2.3) 执行经理层调查结果(O2.4) 执行经理层现行的保护措施(O2.5) 执行经理层组织的漏洞(O2.6) 评估涉及的员工(O2.7)阶段 1:明确执行经理层认识26工程实施 During the WorkshopActivity Description Worksheet
5、s调查表介绍 项目负责人向执行经理介绍实施的目的和主要内容,并推动整个实施的运行。-A2.1 确定执行经理层资产和优先级执行经理标识企业使用的资产,并选出最重要的资产,并对选取原则进行讨论。资产调查表 (W2.1)A2.2 确定执行经理层关心的范围执行经理标识对重要资产可能的威胁以及威胁对企业的潜在影响。关心的范围调查表(W2.2)A2.3 明确对重要资产的安全需求执行经理给出重要资产的安全需求,并且选出每一个重要资产的最重要的安全需求。安全需求调查表(W2.3)A2.4 获得执行经理层对现行保护措施的观点和存在的漏洞执行经理完成如下调查:哪些制度已被员工执行了,哪些未被执行,并进行进一步对细
6、节进行讨论。执行经理层调查(W2.4)保护措施调查表(W2.5)A2.5 确定评估涉及的员工讨论在阶段 3 中评估涉及的员工。 -A2.6 与第一阶段结果讨论和工作总结进行第二阶段工作总结。 -阶段 1:明确执行经理层认识27阶段 2 工程介绍本活动中使用的工作表 活动的输出 活动时间- - 15 min基本指南本工程的参与者是机构的执行经理层1. 描述你是谁以及工程目的,要求参与者自我介绍以及描述他们要做什么 2. 简要描述你所处的 OCTAVE 的工作阶段。3. 为执行层经理描述成功的意义,讨论目标和工程的最终结果,需要他们生成:对机构任务很重要的资产列表五个最重要的资产的列表对最重要资产
7、造成威胁的情况列表最重要资产的安全需求当前机构用来保护重要资产的 保护策略机构漏洞,缺少或不充分的保护策略行动4. 向执行层经理强调信息安全是各学科间的处理过程,不仅仅是信息技术问题。阶段 1:明确执行经理层认识28A2.1 确定执行经理层资产和优先级本活动中使用的工作表 活动的输出 活动时间 资产表 (W2.1) 具有优先级的执行层经理资产 (O2.1)30-45 分钟基本指南资产是对机构有价值的东西,信息安全风险评估集中在鉴别信息对机构任务是否重要,辨别最有意义信息的唯一方法是询问机构的工作人员(所有级别的员工)1. 说明关键资产的重要性,例如,如果一个机构管理者知道关键资产是什么,就可以
8、使用他的有限资源来保护关键资产。要强调的是机构中所有人能作的事就是保护关键资产(遵循策略、使用好的方法等)资产可以分为下列几类:信息 记录的(纸质的或电子的)信息或智能资产系统 存储和处理信息的信息系统。系统是信息、软件和硬件资产的结合,任何主机、客户机、服务器或者网络都可以被看作是系统。软件 软件应用程序(操作系统、数据库应用程序、网络软件、办公应用程序等)硬件 信息技术物理设备(工作站、服务器等)人 机构中的人员,包括他们的技能、训练知识和实践2. 向执行层经理分发资产工作表(W2.1) 。对以下问题进行解释说明:你的重要资产是什么?还有其它资产需要保护吗? 什么相关的信息是重要的?在你确
9、定的资产中哪些是最重要的?你选择重要信息的基本原理是什么?3. 对前三个问题进行讨论,要求管理者在工作表上做记录,由抄写员记录下得出的资产供所有参与者参考。 你可以问以下三个问题用于提炼观点:怎样才能成为资产?你考虑过你的整个机构吗?这些资产对你的机构任务来说关键吗?下一步,要求管理者考虑关于资产工作表的最后一个问题。 4. 要求选择五个最重要资产,并考虑下面的问题:哪些资产对机构任务最为重要?在所有资产列表中,那一些时最重要的,哪些是最大的?由抄写员记录下得出的资产供所有参与者参考。阶段 1:明确执行经理层认识29A2.1 确定执行经理层资产和优先级额外的指南下面的图表示了 OCTAVE 使
10、用的资产种类的关系:系统资产 代表一组信息、软件和硬件资产,大部分人认为系统是一个整体。信息资产 是无形的,接近于系统资产,系统存储、处理和传输关键信息。因此当机构创建策略和保护系统资产计划时,也保护了关键信息(软件和硬件资产) 。当人们确定 软件资产 时,应该明确是指的软件应用程序还是服务,或者系统。同样的,当人们识别 硬件资产 时,应该明确是否指的是物理硬件。人的资源 是特殊的部分当人们被识别时,因为他们具有的特殊技能或者他们提供的服务。详细指南资产种类的列表可以被改编成适合你的机构的需要。大体上,资产种类应该尽量完整,具有适当长度(不必太长) ,不必保留副本。硬件 软件 信息系统人阶段
11、1:明确执行经理层认识30A2.2确定执行经理层关心的范围本活动中使用的工作表 活动的输出 活动时间 关注范围工作表(W2.2) 执行层经理关注的范围(O2.2 ) 30-45 分钟基本指南威胁指的是某人进行不受欢迎的行为或者导致不受欢迎结果的事件。关注的范围指的是关注的对资产的威胁的状况。典型的,关注的范围有来源和结果 对机构造成影响的有因果关系的行为。OCTAVE 探究的资源主要有下面几种: 有准备的行动 这一组包括可能实施有计划行动的机构内部和外部人员。 意外的行动 这一组包括可能对你的资产造成意外损害的机构内部和外部人员 系统问题 是你的信息技术系统的问题,例如,包括硬件问题、软件问题
12、相关系统的不可用、病毒、有害代码和其它和系统相关的问题。 其它问题 是在你控制范围之外的问题。包括自然灾害(例如洪水和地震) ,由其它机构维护的系统的不可用和相互依赖的条目, 相互依赖的条目包括基础设施服务的问题,例如能源损耗、通信损耗等。影响的结果分为下面几种: 揭露或查看敏感信息 修改重要或敏感信息 重要信息、硬件或软件的破坏或损失 对重要信息、软件、应用或服务的访问的中断OCTAVE 识别关键威胁,应该关注执行层经理关注范围的原始资料和结果(或影响)1. 分发关注范围工作表 (W2.2),解释如何使用该工作表以及为执行层经理举例示范。下面是关注范围的例子:正在向系统 XYZ 加入错误数据
13、职员经常离开终端/PC 这可能造成对这些系统的信息未授权访问。2. 要求参与者思考和讨论关注的事件,焦点在工作表中包含的提示和已经识别的重要资产。 3. 要求管理者在工作表上做记录,由抄写员记录下得出的资产供所有参与者参考。 对每个得出的情节,问下面的几类问题:如果该情况出现会发生什么?对你的机构会发生什么影响?由抄写员记录下得出的影响供所有参与者参考。详细指南威胁原始资源和结果的列表是 OCTAVE 处理的一个基本集合,这些列表必需按顺序定义来执行有意义的评估,原始资源和结果的列表可以被改编成适合你的机构的需要。大体上,威胁分类原始资源和结果应该尽量完整,具有适当长度(不必太长) ,不必保留
14、副本。阶段 1:明确执行经理层认识31A2.3 明确对重要资产的安全需求本活动中使用的工作表 活动的输出 活动时间 安全需求 工作表(W2.3) 执行层经理资产的安全需求(O2.3)30-45 分钟基本指南安全需求指出了要保护资产重要性,帮助建立基本的保护策略,下面是 OCTAVE 期间的安全策略: 机密性 完整性 可用性1. 分发安全需求工作表(W2.3) 给参与者,应该向参与者解释以下问题:每种信息资产的重要安全需求是什么?每种信息资产的安全需求的相关等级,哪种安全需求是最重要的?2. 对工作表的问题进行讨论,要求管理者在工作表上做记录,由抄写员记录下得出的资产供所有参与者参考。 3. 参
15、与者明确最重要的安全需求。阶段 1:明确执行经理层认识32A2.3 明确对重要资产的安全需求额外的指南通常试图描述资产的安全需求时要理解资产的什么方面是重要的,尤其对比较复杂的资产(系统) 。对 信息资产 ,安全需求集中在信息的机密性、完整性和可用性。 信息不被未授权人员查看(机密性). 信息仅被授权的人修改(完整性 ). 信息在任何需要的时候可以使用(可用性).信息资产代表信息、软件和软件资产的分组,系统的重要的特殊方面和性质会驱动安全需求,如果存储、处理和传输的信息是重要的方面,下面的例子描述了安全需求: 在系统 XYZ 不能被未授权的人员查看 (机密性) 系统 XYZ 的信息只能被授权的
16、人修改 (完整性) 系统 XYZ 的信息在任何需要的时候可以使用。系统 XYZ 每 24 小时仅有 15 分钟停工时间。如果系统提供的服务是最重要的方面,下面的例子描述了安全需求: 系统 XYZ 提供的服务完整和正确(完整性) 系统 XYZ 提供的服务在任何需要的时候必须可用 (availability).注意没有机密性需求被列出,机密性依靠提供的服务,在很多情况下,服务是标准的,不提供机密性。对 软件资产 ,你应该在明确安全需求时关注软件应用和服务。下面是软件资产拥有者的例子: 应用程序 ABC 不能被未授权的人查看( 机密性). 应用程序 ABC 只能被授权的人修改( 完整性). 应用程序
17、 ABC 在正常工作时间必须可用( 可用性).对于 硬件资产 ,应该在明确安全需求的时候关注物理硬件。下面是硬件资产的方针: 硬件只能被授权的人修改(完整性). 硬件在正常工作时间必须可用(可用性).对人资源,应该关注于可用性需求,下面是方针: IT 职员必须提供正在进行地系统和网络管理服务(可用性 ).当人被看作资产时,要确定是否还有相关资产。详细指南安全需求的列表是 OCTAVE 处理的一个基本集合,这些列表必需按顺序定义来执行有意义的评估,安全需求的列表可以被改编成适合你的机构的需要。大体上安全需求的分类应该尽量完整,具有适当长度(不必太长) ,不必保留副本。阶段 1:明确执行经理层认识
18、33A2.4 获得执行经理层对现行保护措施的观点和存在的漏洞本活动中使用的工作表 活动的输出 活动时间 执行层经理调查表 (W2.4) 保护策略 工作表(W2.5) 执行层经理调查结果(O2.4) 当前执行层经理保护策略行动(O2.5) 执行层经理组织的漏洞(O2.6)30-45 分钟基本指南保护策略的目标对未来信息安全提供了方向,它定义了机构用来开始、执行和维护内部安全的策略1. 分发执行层经理调查表(W2.4) 并要求他们花一点时间填表 2. 要求他们循环每个实践最好的响应,向他们解释调查表,解释他们考虑哪一个实践在机构中使用,有如下选项:是否不知道 允许管理者在下一步讨论中保持调查表,不
19、要忘记收集在工程结论的调查。3. 分发 保护策略 工作表 (W2.5). 解释在工作表中的每个问题,下面的问题应该涉及:调查表中哪些问题应该详细讨论?调查表中哪些问题没有涉及?有对特殊资产的特殊方针、过程和实践吗?他们是什么?你认为你的机构的保护策略有效吗?你怎么知道的?4. 对工作表上的每个问题进行讨论,应该提供调查表覆盖的范围更多细节并且得出调查表上没有覆盖的唯一的保护策略实践和组织的漏洞。 讨论第一个问题时,应该使用实践范围以及调查的问题作为聚焦管理者注意力的提示。 讨论会关注于机构正在什么进展顺利(目前的保护策略)以及什么进展不顺利(机构的漏洞) 。要求管理者需要的时候在工作表上做记录
20、,由抄写员记录下保护策略行动和机构的漏洞,信息必须展示给所有参与者,抄写员与参与者查对看是否措词正确,然后将措词进行修改。 5. 抄写员必须接下来记录每个是否代表保护策略实践或是否代表组织的漏洞的状态。下面是保护策略实践的例子:技术强制口令改变和规则选择所有雇员接收安全培训下面是组织漏洞的例子:- 存在的方针没有被广泛认识- 人们不理解他们的安全角色和职责上面的例子中, “+”表示该项是保护策略实践; “”表示该项是组织漏洞阶段 1:明确执行经理层认识34A2.4 获得执行经理层对现行保护措施的观点和存在的漏洞额外指南执行层经理调查表(W2.4)建立在良好实践的已知目录,调查表的结果会在第八阶
21、段编译然后创建保护策略。详细指南执行层经理调查表建立在 OCTAVE 使用的实践分类基础上,可以被改编成适合你的机构的需要并跟你的标准一致。 大体上,实践的分类应该尽量完整并不要保留副本。A2.5 确定评估涉及的员工本活动中使用的工作表 活动的输出 活动时间- 包括的职员(O2.7) 15 分钟基本指南与管理者讨论包含机构其他人的重要性,参与的下一组是全体职员。向执行层经理显示参加过程的职员列表,问执行层经理以下问题: 我们将与适当的员工交谈吗? 还应该包括什么其他人吗?如果加入新的人,应该确保参加适当工程的人员。阶段 1:明确执行经理层认识35A2.6 与第一阶段结果讨论和工作总结本活动中使
22、用的工作表 活动的输出 活动时间- 15 分钟基本指南1. 应该提醒执行层经理,职员应该包括在下一步工程中,原因是通信对于信息安全风险评估很重要。2. 你应该指出在工程中已经与他人开始的对话,应该继续直到评估结束,应该与执行层经理和工作在机构任何其它级别的人讨论信息技术问题。 3. 应该向参与者介绍高层管理者工程结果的总结,问他们下面几类问题: 跟你的结果有什么类似的地方? 跟你的结果有什么不同?4. 与参与者讨论该阶段的剩余问题,告诉他们信息如何在 OCTAV 中移动。指出你将在信息基础设施中寻找对弱点的更好理解,并且告诉他们你将分析所有数据来确定最重要资产的风险,创建保护策略和风险缓解计划
23、。5. 最后,回顾工作表中的内容,应该关注下面的内容: 信息资产 关注的范围 安全需求 保护策略实践和组织的漏洞阶段 1:明确执行经理层认识36资产调查表(W2.1)资产1. 你的重要资产是什么?考虑: 信息 系统 软件 硬件 人2. 有其他你必需保护的资产吗 (例如,依靠法律或者规则)?3. 有什么重要的相关资产?考虑: 信息 系统 软件 硬件 人4. 在你已经确定的资产中,哪些是最重要的?你选择这些重要资产的基本原则是什么?阶段 1:明确执行经理层认识37阶段 1:明确执行经理层认识38关心的范围调查表(W2.2)哪些方面会威胁你的重要资产?资产人的故意行为考虑: 你的机构内的人 你的机构
24、外的人人的无意行为考虑: 你的机构内的人 你的机构外的人 你自己系统问题考虑: 硬件错误 软件错误 相关系统的不可用 恶意代码(病毒、蠕虫、特洛伊木马、后门) 其它其它问题考虑: 能源损耗 水资源不可用 长途通讯不可用 ISP 不可用 洪水 地震 其它揭露或观察敏感信息修改重要或敏感信息毁坏或遗失重要信息、硬件或软件访问重要信息、软件应用程序或服务(电子邮件、 Web 等)威胁源 结果阶段 2:明确执行经理层认识39安全需求调查表(W2.3)安全需求1. 每种信息资产的重要的安全需求是什么?考虑: 机密性 完整性 可用性 其它2. 每种信息资产的安全需求的相关级别是什么? 哪种安全需求最重要?
25、 阶段 2:明确执行经理层认识40执行经理层调查(W2.4)名字 (可选) : _职位: _执行经理层调查制度 这个制度被你的机构执行了吗?安全意识和培训机构成员对他们的安全角色和职责的理解。记录和验证。 是 否 不知道 有足够多的为所有支持的服务、机制和技术(例如日志、监视或加密)设置的内部专家,包括他们的安全操作。记录和验证。是 否 不知道 为所有职员提供的安全意识、培训和周期性提醒。全体职员的理解被记录,一致性被定期验证。是 否 不知道安全策略机构的交易策略与安全考虑相结合。 是 否 不知道 安全策略和方针考虑到机构的交易策略和目标。 是 否 不知道 安全策略、目的、目标被证明和回顾、更
26、新,以及与机构进行沟通。 是 否 不知道 安全管理管理层为信息安全行为分配足够的资金和资源。 是 否 不知道 为机构中的所有职员定义安全角色和职责。 是 否 不知道 机构对员工的雇用和解雇行为考虑到信息安全问题。 是 否 不知道 The organizations hiring and termination practices for staff take information security issues into account.Yes No DontKnow阶段 2:明确执行经理层认识41执行经理层调查制度 这个制度被你的机构执行了吗?机构管理信息安全风险,包括: 对信息安全的风险
27、评估 采取步骤降低信息安全风险是 否 不知道管理层收到和遵照例行报告总结安全相关信息(例如,审计、日志、风险和漏洞评估) 是 否 不知道 安全方针和规则机构有一系列完整记录的、目前被周期性回顾和更新的方针。 是 否 不知道 安全方针管理的过程,包括: 创建 管理(包括周期性回顾和更新 ) 通信是 否 不知道机构有服从信息安全方针的评估和保证的处理过程,可应用的法律和规则以及保险需求。 是 否 不知道机构统一执行安全方针。 是 否 不知道 协作的安全管理在与外部机构合作时机构有保护信息的方针和处理程序(例如,第三方、合作者、转包商或合伙人),包括: 保护属于其它机构的信息 理解外部机构的安全方针
28、和处理 通过终止外部人员来停止对信息的访问是 否 不知道机构验证符合自身要求的来自外部的安全服务、机制和技术。 是 否 不知道 阶段 2:明确执行经理层认识42执行经理层调查制度 这个制度被你的机构执行了吗?意外计划/ 灾难恢复操作系统、应用程序和数据危险程度的分析已经执行。 是 否 不知道 机构已被记录、回顾和测试 交易连续性或紧急情况操作计划 灾难恢复计划 响应紧急情况的意外事故计划 是 否 不知道意外事故、灾难恢复和交易连续性计划考虑物理和电子访问需求和控制。 是 否 不知道 所有职员 注意意外事故、灾难恢复和交易连续性计划 理解和执行他们的职责是 否 不知道物理安全计划和处理程序维护房
29、屋、建筑和任何受限区域的设备安全计划和程序被记录和测试。 是 否 不知道 有管理来访者的记录的方针和程序。 是 否 不知道 有记录下的对硬件和软件的物理控制的方针和程序。 是 否 不知道 物理访问控制有记录下的控制对工作区域和硬件(计算机、通信设备等)以及软件媒体的物理访问的方针和程序。是 否 不知道对工作站和其它允许访问敏感信息的组件进行物理保护以防止未授权访问。 是 否 不知道 监视和审计物理安全对审计和监视记录进行例行的异常检查,在需要的时候引入矫正行为。 是 否 不知道 阶段 2:明确执行经理层认识43执行经理层调查制度 这个制度被你的机构执行了吗?系统和网络管理有维护系统和网络的记录
30、和测试的安全计划。 是 否 不知道 有记录和测试的备份软件和数据的数据备份计划。所有员工在备份计划下理解他们的职责。是 否 不知道 认证和授权 有建立和终止对个人或组的信息访问权限的记录的方针和程序。 是 否 不知道 事件管理存在记录下的过程来识别、报告和响应可疑的安全事件和妨害。 是 否 不知道 周期性的测试、验证和更新事件管理过程。 是 否 不知道 有记录下的方针和过程来与法律执行中介一起工作。 是 否 不知道 General Staff Practices全体职员遵循安全制度,例如: 保护可靠信息 不向他人泄漏敏感信息(抵抗社会工程学) 拥有足够能力使用信息技术硬件和软件 使用好的口令制度 理解和遵循安全方针和规则 承认和报告事件是 否 不知道在所有职责级别上的全体职员为信息安全贯彻他们分配的角色和职责。 是 否 不知道有记录下的处理过程来批准和检查与敏感信息有关的或者在信息所在区域工作的所有员工(包括来自第三方机构的个人) 。是 否 不知道阶段 2:明确执行经理层认识44阶段 2:明确执行经理层认识45保护策略调查表(W2.5)保护策略1. 你愿意深入讨论调查中的哪些问题?2. 有哪些重要问题是调查中没有涉及的? 3. 有对某种资产唯一的特殊安全策略、处理和实践吗?它们是什么?阶段 2:明确执行经理层认识46保护策略4. 你认为你的机构的保护策略有效吗?你是怎么认识的?
