1、阶段 7:风险分析131阶段 7:风险分析Process 7: Conduct Risk Analysis描述 Description目的 Purpose: 定义威胁产生的影响(标识风险) ,制定评估标准,对每个风险进行分级(高、中、低) 。人员 Whos Involved: 风险评估组数据流程图 Data Flow Diagram阶段 7:风险分析输入 Inputs评估组和核心成员的现有知识 关键资产关键资产的安全需求 关键资产的威胁 关键资产的关心范围输出 Outputs关键资产所受威胁的影响风险评估标准影响价值调查表 Worksheets资产明细手册(WK)阶段 7:风险分析132阶段指
2、南 Process Guidelines阶段 7:风险分析Process 7: Conduct Risk Analysis时间 Time4 hr 30 min 6 hr目标 Workshop Objectives 记录企业的信息安全风险 制定风险评估的基准 评估企业的风险风险评估组职责 Analysis Team Roles项目组可以决定是否增加提供技术和知识支持的人员,负责人确保每个人明确相应的职责。同时,负责人负责推动工程的进展,并检查前期和后期工程是否完成。书记员负责工程实施过程和结果的记录工作。其他成员要参加工程的所有步骤。所需资料 Materials Required 调查表- 每个
3、关键资产的明细手册 (WK)实施结果 Summary of Workshop Outputs 关键资产所受威胁的影响(O7.1) 风险评估准则(O7.2) 影响价值(O7.3)阶段 7:风险分析133工程实施 During the Workshop步骤 Activity 描述 Description 调查表 Worksheets工程实施介绍 项目负责人确保所有成员明确各自的职责,并检查是否所有资料已准备齐全。-A7.1 标识关键资产所受威胁的影响项目组定义威胁后果的描述(暴露、篡改、丢失、破坏、中断) ,使用叙述性的语言陈述威胁对企业任务的最终影响。企业的风险由威胁和其影响后果组成。资产明细手
4、册(WK)A7.2 制定风险评价准则 项目组制定适用于评估企业风险的标准,该标准定义了高、中、低影响的基准。资产明细手册(WK)A7.3 评价关键资产所受威胁的影响项目组评估每个风险,并赋予相应的影响值(高、中、低) 。资产明细手册(WK)工程总结 项目负责人进行阶段工作总结并制定下一阶段工作计划。-阶段 7:风险分析134阶段 7 工程介绍活动中使用的工作表 活动的输出 活动的时间- - 15 分钟基本指南本工作的参与者是核心的分析组成员以及附加的人员。 在本工作开始时,领导者要确保每个人明白自己的角色,此外,领导要查看已经完成的工作并确保已经收集准备好所有必需的材料。在本工作中,要生成以下
5、: 每种威胁结果对机构的影响的描述 一系列的评估准则 每种影响描述的价值 阶段 7:风险分析135A7.1 标识关键资产所受威胁的影响活动中使用的工作表 Outputs of this Activity Activity Time 每种关键资产的 资产统计手册(WK) 关键资产所受的威胁的影响(O7.1) 1 小时 30 分钟 2 小时基本指南在本工作中,以小组的方式工作,为每种威胁结果定义影响的描述。你可以使用一些有助于你做决定的材料,有以下建议: 资产统计工作手册的 关键资产的安全需求 部分 资产统计工作手册的 威胁与风险统计 部分 资产统计工作手册的 关注的范围 部分风险包括对关键资产的
6、威胁和对机构的影响,因此,当你向机构增加威胁的影响时,需要创建风险,要为威胁统计的影响进行描述。1. 选择一种关键资产。转到资产统计手册的威胁与风险统计部分,查看关键资产的威胁统计。确保注意到在统计中标记过的结果,记得查看统计中所有的威胁树。你也应该查看在工作手册的关注范围部分记录的关注范围。其它关于威胁统计的指导参见阶段 4 的指导方针。2. 转到资产统计工作手册的影响描述部分,这部分包括四种威胁结果(暴露、修改、丢失/损坏、中断)中每一种的表格,在本活动中,要填充这些表格。如果暴露、修改、丢失/损坏、中断是在统计中的一个或多个威胁的结果,分别完成工作手册中的各自的表格。在对关键资产的威胁统
7、计中的没有标记一次的威胁结果不必在表中填充。对每个你填的表,考虑在表中列出的问题,为每个影响建立叙述性的描述,注意你已经有了每种威胁结果的多种影响。在为一个威胁结果的影响描述达成一致后,抄写员应该在相应的表格进行记录。 3. 为一种关键资产完成影响描述后,继续下一种资产,直到完成了所有关键资产。阶段 7:风险分析136A7.2 制定风险评价准则活动中使用的工作表 活动的输出 活动时间 每种关键资产的 资产统计工作手册(WK) 风险评估准则(O7.2) 1 小时1 小时 30 分钟基本指南在本工作中,作为工作组进行创建评估准则的工作,你可以使用任何有帮助的材料,一个建议是资产统计工作手册的影响描
8、述部分内容。评估准则是针对在前面活动描述的影响进行评估的基准或量度标准,在 OCTAVE 中为下面类型的影响建立评估准则: 名望/消费者信心 消费者生命/健康 罚款/合法的处罚 财政 其它注意,对所有关键组件评估准则都是相同的。 在本工作中,将对每种影响类别制定高、中、低影响,确保查看在前面的活动中记录的影响信息,它可能对定义评估准则有用处。1. 选择一种关键资产。转到一种关键资产的资产统计工作手册的评估准则部分。 2. 对表格中的每个影响范围,考虑将为高、中、低风险使用的特定准则,如果需要一个评估准则的例子,可以查看前面的示例结果或者第 17 卷的附录 C。在达成一致后,抄写员应该在工作手册
9、中进行记录。如果一种影响范围对你的机构不适用,抄写员应该在表格中进行记录。不要定义没有在你的机构中应用的准则,对于对你的机构唯一的影响区域,在“其它”目录增加这些准则。3. 在完成评估准则后,抄写员应该确保包含在所有资产统计工作手册中的信息。阶段 7:风险分析137A7.2 制定风险评价准则额外的指南风险的评估对于制定决定的人有额外的辅助作用。一个机构会因为资金、职员和时间表的约束而无法减缓风险,因此,需要确定相关的优先级。在许多风险管理过程中,影响和可能性的评估可以当作确定哪些风险首先进行处理的依据。 举一个简单的例子。管理者选择只处理高影响高可能性的地风险;密切注视中影响中可能性的风险;忽
10、略低影响低可能性的风险。因此管理者使用的是影响和可能性来指导他(她)的选择。在 OCTAVE 中,只评估风险的影响。信息安全风险比起其它风险管理领域的风险的可能性更复杂和不精确。高、中、低风险的定性的准则提供了为风险影响分配值的最简单方法,这些方法对所有关键资产的风险比较提供了足够的基准。 评估准则根据情况的不同会有所变化,这也是为什么每个机构必须定义自己准则的原因。详细指南影响区域和影响测度(高、中、低)的列表是 OCTAVE 处理中使用的基本集合,这些列表根据情况不同会有所变化必须按照机构具体情况进行定义。 通常,影响区域和影响测度的列表应该尽量完整,具有适当的长度,不保留副本。阶段 7:
11、风险分析138A7.3 评价关键资产所受威胁的影响活动中使用的工作表 活动的输出 活动时间 每种关键资产的 资产统计工作手册(WK) 影响价值 impact values (O7.3) 1 小时 30 分钟2 小时基本指南在本工作中,以小组的形式进行风险评估。可以使用有帮助的材料,有以下建议: 资产统计工作手册的影响描述部分 资产统计工作手册的评估准则部分 资产统计工作手册的威胁和风险部分1. 选择一种关键资产。转到资产统计工作手册的影响描述部分,该部分包括了四种威胁结果(暴露、修改、损坏/丢失、中断)的每一种的表格。在本工程的第一步工作,向表格中增加了叙述性描述。2. 查看在表格中列出的影响
12、描述,对其中每一种,对其进行评估并为其赋一个值(高、中、低) 。使用前面创建的定性评估准则(参看工作手册的评估准则部分) ,记得对每种影响的评估使用这些评估准则作为基准。在对影响价值得出一致结论时,抄写员在工作手册的影响描述部分的适当表格中进行记录。为关键资产的所有影响进行评估。抄写员应该在手册的威胁与风险统计部分中威胁结果之后记录影响的价值 3. 如果一种结果相关的影响有超过一种价值,记录下所有的值。额外的指南如果在评估影响描述时使用评估准则有困难,可能有下面的情况发生: 评估准则可能不是特别详细、精确 影响的描述可能太含糊阶段 7:风险分析139总结活动中使用的工作表 活动的输出 活动时间- - 15 分钟基本指南你已经完成了风险评估的工作。下一步,你要为你的机构创建保护策略以及风险回避计划。1. 本工作的领导应该查看在工作中包含的内容,此外,在工作中确定的任何事件/行为应该被关注。 在本工作中,你确定了下面的内容: 每种威胁结果对机构的影响的描述一系列评估准则每种影响的描述的影响的价值 2. 下一步工作的领导者应该确保每个人知道工作何时进行。
