OCTAVEProcess8B

阶段8：制定保护策略：工程B：选择保护策略阶段8：制定保护策略Process 8: Develop Protection Strategy工程B：选择保护策略Workshop B: Protection Strategy Selection描述Description目的Purpose （Workshop B）:与企业高级主管讨论上阶段制定的策略、方案和措施，决定如何实施并在评估后进行实施。人员Whos Involved:风险评估项目组和企业高级管理者数据流程图Data Flow Diagram阶段8：制定保护策略工程B输出Outputs保护策略降低风险方案措施列表后续工作输入Inputs评估组和核心成员的现有知识高级管理者的现有知识保护策略建议降低风险方案建议措施建议列表整理过的信息 资产 安全需求 关心的范围 保护策略 企业漏洞调查表Worksheets资产汇总调查表 (W8B.1)关键资产风险明细调查表 (W8B.2)企业保护策略调查表 (W8B.3)降低风险方案调查表(W8B.4)措施汇总调查表 (W8B.5)后续工作调查表(W8B.6)现行策略调查表 (W8A.1)现行措施调查表 (W8A.2)策略级的保护策略调查表(W8A.3)运营制度的保护策略调查表(W8A.4)措施清单列表(W8A.5)资产明细手册(WK) 阶段指南Process Guidelines阶段8：制定保护策略Process 8: Develop Protection Strategy工程B：选择保护策略Workshop B：Protection Strategy Selection Workshop 时间 Time2 hr 30 min 4 hr 30 min目标Workshop Objectives 选择保护策略 选择降低关键资产风险的方案 选择短期措施 决定评估后的实施工程风险评估组职责Analysis Team Roles项目负责人负责推动工程的实施，检查所需资料。书记员负责记录工程实施过程和结果。项目组其他成员协同完成工程。合作者职责Participants Roles合作者为企业的关键管理者。审核保护策略、降低风险方案、措施列表，进行必要的选择、改变和补充。所需资料Materials Required 工作表- 现行策略调查表 (W8A.1)- 现行措施调查表 (W8A.2)- 策略级的保护策略调查表(W8A.3)- 运营制度的保护策略调查表(W8A.4)- 资产汇总调查表 (W8B.1)- 关键资产风险明细调查表 (W8B.2)- 企业保护策略调查表 (W8B.3)- 降低风险方案调查表(W8B.4)- 措施汇总调查表 (W8B.5)- 后续工作调查表(W8B.6)- 各关键资产明细手册 (WK)实施结果Summary of Workshop Outputs 资产汇总 (O8.7) 关键资产风险明细 (O8.8) 保护策略(O8.9) 降低风险方案 (O8.10) 措施列表(O8.11) 后续工作(O8.12)工程实施前期Before the Workshop步骤Activity描述Description调查表WorksheetsD8B.1整理资产整理全部资产。资产汇总调查表(W8B.1)D8B.2整理风险明细整理关键资产的风险明细。关键资产的风险明细调查表 (W8B.2)各关键资产明细手册(WK)D8B.3整理企业保护策略整理如下信息： 企业策略的保护策略 运营制度的保护策略 其他企业未实施的策略策略级的保护策略调查表(W8A.3)运营制度的保护策略调查表(W8A.4)企业保护策略调查表 (W8B.3)D8B.4整理降低风险方案整理降低各关键资产风险的方案。降低风险方案调查表(W8B.4)各关键资产明细手册(WK)D8B.5整理措施列表整理措施列表。措施清单列表(W8A.5)措施汇总调查表 (W8B.5)工程实施During the Workshop步骤Activity描述Description调查表Worksheets工程介绍项目负责人向高级管理者介绍工程内容，推动工程的实施。-A8B.1审核风险信息关键管理者审核项目组得出的信息： 现有制定和企业漏洞 资产信息 关键资产的风险明细现行策略调查表 (W8A.1)现行措施调查表 (W8A.2)资产汇总调查表 (W8B.1)关键资产风险明细调查表 (W8B.2)A8B.2审核并选择保护策略、降低风险方案、措施列表高级管理者审核保护策略、降低风险方案、措施列表，并对其进行选择、修改、补充和删除。企业保护策略调查表 (W8B.3)降低风险方案调查表(W8B.4)措施汇总调查表 (W8B.5)A8B.3制定后续工作高级管理者决定如何实施保护策略和降低风险方案： 做什么 什么时候做 涉及的人员这是长期提供安全性的起点。后续工作调查表(W8B.6)工程总结项目负责人对工程进行总结，并与高级管理者讨论如何结束评估。-工程实施后期After the Workshop步骤Activity描述Description调查表WorksheetsX8B.1记录保护策略、降低风险方案和后续工作书记员要确保所有的信息都被正确地记录下来，并将终稿提交高级管理者和项目组成员。企业保护策略调查表 (W8B.3)降低风险方案调查表(W8B.4)措施汇总调查表 (W8B.5)后续工作调查表(W8B.6)Before The WorkshopD8B.1整理资产活动中使用的工作表活动的输出活动时间 资产总结工作表(W8B.1) 资产总结摘要 (O8.7)-基本指南在本活动中，要向资产总结工作表(W8B.1)增加下列信息： 关键资产 在第1、2和3阶段确定的其它关键资产这些信息是在第4阶段中记录在资产分类工作表 (W4.1)上的信息。注意这些资产在工作表中没有按机构级别进行区分。向资产总结工作表增加所有资产的名称，确保将关键资产与不重要资产进行了区分。 D8B.2整理风险明细活动中使用的工作表活动的输出活动时间 关键资产的风险统计工作表(W8B.2) 每种资产的资产统计工作表(WK) 关键资产的风险统计(O8.8)-基本指南在本活动中，要向关键资产的风险统计工作表(W8B.2)中增加信息。每个工作表需要关键资产的下列信息： 风险树 带有相关影响值的影响的描述的总结摘要 感兴趣的系统和关键资产的重要组件 漏洞总结摘要可以在资产统计工作手册中找到每种关键资产的所有上述信息。1. 选择一种关键资产，从该资产的资产统计工作手册向关键资产风险统计工作表增加信息。 2. 继续此活动直到为所有关键资产增加了信息。D8B.3整理企业保护策略活动中使用的工作表活动的输出活动时间 策略实践的保护策略工作表(W8A.3) 执行实践的保护策略工作表 (W8A.4) 机构保护策略工作表 (W8B.3)-基本指南在本活动中，要向机构保护策略工作表(W8B.3)增加保护策略信息，该工作表需要下面信息： 策略实践的保护策略 执行实践的保护策略 机构不能处理的事项你可以在策略实践的保护策略工作表(W8A.3)和执行实践的保护策略工作表(W8A.4)中找到上述信息 向策略实践的保护策略工作表(W8A.3)增加策略实践的保护策略、执行实践的保护策略和机构不能处理的事项D8B.4整理降低风险方案活动中使用的工作表活动的输出活动时间 降低风险方案工作表 (W8B.4) 每种关键组件的资产统计工作手册 (WK)-基本指南在本活动中，要向降低风险方案工作表 (W8B.4)增加信息，该工作表需要为关键资产降低风险方案。你可以在资产统计工作手册找到每种资产的降低风险方案1. 选择一种关键资产，向降低风险方案工作表增加降低风险方案，在威胁种类基础上在适当位置记录降低风险措施。2. 继续此活动直到为所有关键资产增加了降低风险方案信息。D8B.5整理措施列表活动中使用的工作表活动的输出活动时间 措施列表工作表(W8A.5) 措施列表总结工作表 (W8B.5)-基本指南在本活动中，要向措施列表总结工作表 (W8B.5)增加信息，该工作表需要近期措施的列表。可以在措施列表工作表(W8A.5)中找到上述信息向措施列表总结工作表(W8B.5)增加措施项阶段8 工程B介绍活动中使用的工作表活动的输出活动时间-15 分钟基本指南参与本工程的是机构的高层管理者。描述本工程的目标。简要查看OCTAVE过程，指出你在本过程中所处的位置。向高层管理者描述成功后的情景，讨论工程的目标和最终结果，解释将进行下面的工作： 查看和提炼机构的保护策略 查看和提炼对关键资产的风险降低方案 查看和提炼近期措施项目的列表 确定在贯彻评估结果之后要做的事情A8B.1审核风险信息活动中使用的工作表活动的输出活动时间 目前的策略实践工作表 (W8A.1) 目前的执行实践工作表 (W8A.2) 资产总结工作表 (W8B.1) 关键资产的风险统计工作表 (W8B.2)-45分钟1小时30分钟基本指南在本活动中，审核下面的信息： 目前的策略实践工作表 (W8A.1) 目前的执行实践工作表 (W8A.2) 资产总结工作表 (W8B.1) 关键资产的风险统计工作表 (W8B.2) 1. 审核与资产相关的概念和术语，向高级管理层分发资产总结摘要工作表(W8B.1)，将他们的注意力集中在第四阶段确定的关键资产上。要求管理者审核工作表的信息并请他们提出问题。 2. 接下来，与管理者审核下面的概念和术语：威胁、风险和风险统计。此外，介绍实践目录的基本结构以及它如何构造第1、2、3阶段使用的调查。解释在制定保护策略时使用的实践目录，从保护策略框架中指出实践区域。 3. 向管理者分发下面的工作表： 目前的策略实践工作表 (W8A.1) 目前的执行实践工作表 (W8A.2) 关键资产风险统计工作表 (W8B.2)基本指南（续）向高层管理者提出工作表信息的摘要，这些工作表包括下面的信息： 调查表的复合分析结果 保护策略实践和按实践区域分类的机构的漏洞 每种关键资产的威胁、风险和漏洞信息4. 问管理者是否还有问题，让他们知道在下一步将审核已经创建的策略和风险降低方案。额外的指南当你介绍调查结果的总结、保护策略实践、机构漏洞、威胁、风险和机构漏洞等信息时，确定你对这些信息进行了总结。你要确保高级管理层理解了这些信息，但是不想花费太多时间。记得目标是为管理者设定前后关系详细指南你可能想要为提出调查结果的总结建立、保护策略实践、机构漏洞、威胁、风险和漏洞信息建立良好的格式，注意下面的表格提出了大量的详细信息： 目前的策略实践工作表 (W8A.1) 目前的执行实践工作表 (W8A.2) 关键资产的风险统计工作表 (W8B.2)良好的格式可以不必所有的细节来引入信息的总结，如果要选择另一个格式，则不需要使用上面列出的工作表。 A8B.2审核并选择保护策略、降低风险方案、措施列表活动中使用的工作表活动的输出活动时间 机构保护策略工作表 (W8B.3) 风险降低方案工作表 (W8B.4) 措施列表总结工作表 (W8B.5) 保护策略 (O8.9) 风险降低方案 (O8.10) 措施列表 (O8.11)45分钟1小时30分钟基本指南在本活动中，领导推动者将引入保护策略、风险降低方案和措施列表的信息，将同高层管理者审核下面的内容： 机构保护策略工作表 (W8B.3) 风险降低方案工作表 (W8B.4) 措施列表总结工作表 (W8B.5)让高级管理者知道你将要求他们审核保护策略、风险降低方案和措施列表，之后他们有机会进行精简、修改、增加和删除这些内容。1. 同保护策略定义的参与者进行讨论。 保护策略的集中点在机构，保护策略包括可能被你的机构使用的策略。 2. 向高层管理者分发机构保护策略工作表并让他们审核，询问他们还有没有问题。3. 同风险降低方案定义的参与者进行讨论。 风险降低方案关注于这些行为： 在威胁发生时承认或察觉 抵抗或组织威胁发生 如果威胁发生，对其进行恢复向高层管理者指出保护策略与风险降低方案没有等级关系。完成评估之后的一个行为将是向保护策略和风险降低方案增加执行细节。基本指南（续）4. 向高层管理者分发风险降低方案工作表并要求他们进行审核。5. 同措施列表定义的参与者进行讨论。 措施列表中行为的例子包括下面： 一个IT职员可能分配一个行为，修复在OCTAVE第2步中确定的高严重级的漏洞 分析组合机构管理层可能被分配一个行为，定义保护策略的执行的细节。6. 向高层管理者分发措施列表总结工作表并要求他们进行审核。询问高级管理者是否对保护策略、风险降低方案和措施列表进行精简、修改、增加或定义。 同高层管理者讨论建议的改变，在达成一致时，抄写员在适当的工作表上进行记录。风险降低 方案措施列表保护策略机构资产近期行为额外的指南下面的图阐明了OCTAVE输出的主要关注点注意保护策略的关注点在于机构，它倾向于长期、整个机构范围。在OCTAVE期间，你将制定保护策略，在OCTAVE完成后机构中有人将对执行策略生成执行细节。风险降低方案目的在于降低对关键资产的风险，注意它的关注点在于资产，主要包括中期行动。在OCTAVE期间，你将创建风险降低方案，在OCTAVE完成后机构中有人将对执行每个方案生成执行细节。措施列表是近期行为，其中的项目同保护策略和风险降低方案具有一致性，它们通常没有特殊知识，不需要方针上的改变，因此不需要执行细节。额外的指南（续）当开始向管理者提交保护策略时，常常需要开始立刻选择。应该要求他们等待直到看见改变前的风险降低方案。A8B.3制定后续工作活动中使用的工作表活动的输出活动时间 后续工作表 (W8B.6) 后续工作 (O8.12)30分钟1小时基本指南在本活动中，高层管理者要考虑下一步执行保护策略和降低风险方案，在决定下一步工作时将使用后续工作表 (W8B.6) 1. 向高级管理者分发后续工作表并要求他们仔细查看，下面的问题是工作表提出的问题： 关于这次评估的结果机构要作什么工作？ 为了机构改善信息安全你还需要做什么工作？ 你能作什么工作来支持信息安全的改进？机构中的其它管理者能作什么工作？ 对于进行安全评估你有什么计划？2. 对工作表的每个问题进行讨论，当管理者达成一致时，抄写员写下下一步工作提供给所有人参考。额外的指南本活动中确定的后续工作集中在特定的策略和计划的执行上，执行本类型的评估暴露了长期改进和持续的信息安全改进的需要。有些工作被看作帮助建立作为持续活动的信息安全的后续工作，为了评估之后的后续工作，需要查看第13卷。创建作为连续处理过程的安全改进是一个长期的（总共6个月或者1年）checklist。总结活动中使用的工