OCTAVEProcess8A

阶段8：制定保护策略：工程A：保护策略制定阶段8：制定保护策略Process 8: Develop Protection Strategy工程A：保护策略制定Workshop A: Protection Strategy Development描述Description目的Purpose（Workshop A）:为企业制定保护策略，降低关键资产风险的方案，以及短期内的措施清单。人员Whos Involved:风险评估组数据流程图Data Flow Diagram阶段8：制定保护策略工程A输出Outputs现有的保护策略 现有的企业漏洞建议的保护策略 建议的方案建议的措施输入Inputs项目组和核心成员现有的知识整理过的信息 资产 安全需求 关心的范围企业各个层面现有的保护策略企业各个层面现有的漏洞关键资产关键资产的安全需求关键资产的威胁关键资产分类 技术漏洞汇总调查表Worksheets现行策略调查表 (W8A.1)现行措施调查表 (W8A.2)策略级的保护策略调查表(W8A.3)运营制定的保护策略调查表(W8A.4)措施清单工作表 (W8A.5)资产明细手册 (WK)阶段指南Process Guidelines阶段8：制定保护策略Process 8: Develop Protection Strategy工程A：保护策略制定Workshop A：Protection Strategy Development时间Time5 hr 7 hr目标Workshop Objectives 为企业制定保护策略 制定关键资产的降低风险方案 制定短期内实施的措施项目组职责Analysis Team Roles项目组可以决定是否增加提供技术和知识支持的人员，负责人确保每个人明确相应的职责。同时，负责人负责推动工程的进展，并检查前期和后期工程是否完成。书记员负责工程实施过程和结果的记录工作。其他成员要参加工程的所有步骤。所需资料Materials Required 工作表- 现行策略调查表 (W8A.1)- 现行措施调查表 (W8A.2)- 策略级的保护策略调查表(W8A.3)- 运营制定的保护策略调查表(W8A.4)- 措施清单工作表 (W8A.5)- 各关键资产的明细手册(WK)实施结果Summary of Workshop Outputs 保护策略调查结果 (O8.1) 现有的保护策略措施 (O8.2) 现有的企业漏洞 (O8.3) 保护策略建议 (O8.4) 降低风险方案建议 (O8.5) 具体措施建议 (O8.6)工程实施前期Before the Workshop步骤Activity描述Description工作表WorksheetsD8A.1整理调查结果整理阶段13的调查结果现行策略调查表 (W8A.1)现行措施调查表 (W8A.2)D8A.2整理保护策略信息整理阶段13的调查结果现行策略调查表 (W8A.1)现行措施调查表 (W8A.2)工程实施During the Workshop步骤Activity描述Description工作表Worksheets工程介绍负责人明确每个成员的职责，检查所需资料是否齐备。-A8A.1审核前期信息项目组成员独立地审核前期得到的信息： 技术漏洞 保护策略措施 组织漏洞 安全需求 风险信息现行策略调查表 (W8A.1)现行措施调查表 (W8A.2)各关键资产的明细手册(WK)A8A.2制定保护策略项目组委企业制定保护策略建议，策略中定义了启动、执行、维护企业内部安全的策略。现行策略调查表 (W8A.1)现行措施调查表 (W8A.2)策略级的保护策略调查表(W8A.3)运营制定的保护策略调查表(W8A.4)各关键资产的明细手册(WK)A8A.3制定降低风险方案为企业的关键资产制定降低风险的方案。现行策略调查表 (W8A.1)现行措施调查表 (W8A.2)各关键资产的明细手册(WK)A8A.4制定措施清单为企业制定在短期内可以执行的不需专门训练或改变企业策略的措施。措施清单工作表 (W8A.5)工程总结项目负责人对这一阶段工程进行总结，制定下一阶段工作计划。-工程之前D8A.1整理调查结果活动中使用的工作表活动的输出活动时间 目前的策略实践工作表 (W8A.1) 目前的执行策略工作表 (W8A.2) 保护策略调查结果 (O8.1)-基本指南在本工作中，你将使用目前的策略实践工作表 (W8A.1)和目前的执行策略工作表 (W8A.2)，工作表使用来自第1、2和3阶段完成的调查的信息，工作表包括两个部分： 调查结果 前后关系信息 (保护策略实践和机构漏洞)在本工作中，使用下面的程序来整理调查结果：1. 选择一个机构级别并找到在OCTAVE前三个阶段完成的该级别的职员的调查表。调查表包括实践以及下面的回答： 认为该行为被机构采用 (“是”的回答) 认为该行为不被机构采用 ( “否”的回答) 不知道该行为有没有被机构采用( “不知道”的回答)D8A.1整理调查结果基本指南（续）2. 对每一个调查的问题，增加“是”、“否”、“不知道”的回答并计算下面的百分比： 回答为“是”的百分比 回答为“否”的百分比 回答为“不知道”的百分比3. 有了这些百分比，需要解释这些数据，使用下面的解释： 绝大部分的某个机构级别的回答者都认为该行为被机构所采用，这就是“是”的回答 绝大部分的某个机构级别的回答者都认为该行为不被机构所采用，这就是“否”的回答 回答者对该行为是否被机构采用没有明确的倾向性，这就是“不清楚”的回答解释这些数据时使用下面的门限值： 是 75%或更多的回答者回答为“是”，这表明了该行为很可能被机构采用。 否 75%或更多的回答者回答为“否”，这表明了该行为很可能不被机构采用 不清楚 如果回答“是”或“否”没有达到75%的门限值，表明有些人采用该行为而有些人没有采用。基本指南（续）4. 在目前的策略实践和目前的执行实践工作表中记录该机构级别的所有行为的解释。5. 完成所有机构级别（高层管理者、执行层管理者、职员和IT职员）的任务额外的指南目前的策略实践和目前的执行实践工作表根据实践的种类进行组织，对每一个实践范围，工作表包括下面内容： 一页或多页概括调查行为的内容 保护策略和机构漏洞的表格完整的目录可在附录A中找到详细指南75%的门限值用来衡量调查结果的偏向性，也可以根据机构的需要进行改动。 通常，需要定义足够高的门限值。目前的策略实践和目前的执行实践工作表建立在OCTAVE使用的实践种类基础上，它可以根据机构的需求进行修改。通常，机构的实践种类应该尽量完整，不保留副本。目前的策略实践和目前的执行实践工作表应该根据应用在机构中的实践的种类进行修改。D8A.2整理保护策略信息活动中使用的工作表活动的输出活动时间 目前的策略实践工作表(W8A.1) 目前的执行策略实践工作表(W8A.2) 目前的保护策略实践 (O8.2) 目前的机构漏洞 (O8.3) -Basic Guidance本活动中，将使用目前的策略实践工作表(W8A.1)和目前的执行策略实践工作表(W8A.2)，工作表包括两个部分： 调查结果 前后关系信息(保护策略实践和机构漏洞)在本活动中，将在机构级别上巩固前后关系信息(保护策略实践和机构漏洞)1. 选择一个机构级别并找到在OCTAVE前三个阶段为该级别记录的信息2. 查看记录的前后关系信息，确定每一个保护策略实践和机构漏洞属于目前的策略实践和目前的执行实践工作表中的哪个实践区域达成一致意见后，在目前的策略实践和目前的执行实践工作表地适当实践区域记录机构级别的保护策略实践以及机构漏洞3. 为所有机构级别完成该项任务 (高级管理层、执行经理层、职员、IT职员)阶段8 工程A介绍活动中使用的工作表活动的输出活动时间-15 分钟基本指南参与本工程的是核心分析组成员以及附加人员 在工程的开始阶段，领导者要确保每个人知道自己的角色，此外，要查看完成的工作以及确保收集整理了需要的材料。本工程中应该生成： 机构的保护策略 关键资产的降低风险方案 行动的列表介绍降低风险计划行为列表保护策略机构资产近期行为额外的指南下面的表阐明了OCTAVE输出的主要关注点：保护策略定义了机构用来初始化、执行和维护内部安全的策略，保护策略关注点在于机构，保护策略倾向于过程长、范围广。在OCTAVE过程中，将制定执行策略；OCTAVE之后，机构中需要有人来制定执行细节来执行保护策略。降低风险方案是为了降低对关键资产的风险，降低风险方案的关注点在于资产，主要包括中等长度的行为。在OCTAVE过程中，将创建风险降低策略方案；OCTAVE之后，机构中需要有人来制定执行细节来执行方案。行为列表是近期的行为，它们跟保护策略和风险降低计划是一致的，不需要保护策略和降低风险方案需要的执行细节就可以快速执行。注意保护策略和风险降低方案之间没有等级关系。风险降低方案跟保护策略是一致的，都是建立在安全实践的基础之上。A8A.1审核前期信息：漏洞、保护策略、机构漏洞、安全需求和风险信息活动中使用的工作表活动的输出活动时间 目前的策略实践工作表 (W8A.1) 目前的执行实践工作表(W8A.2) 每种资产的资产统计工作表 (WK)-30分钟1小时基本指南1. 在本活动中，回顾下面的内容： 目前的策略实践工作表(W8A.1) 目前的执行实践工作表(W8A.2)2. 查看每种资产的资产统计工作手册的信息下一步是制定机构的保护策略以及每种关键资产的风险降低方案。需要理解和查看所有重要材料。额外的指南在下面的活动中，要求制定改进机构的保护策略以及降低机构关键资产风险的方案。 在查看资产统计工作手册的信息时，寻找资产的通用的项目以及特定的项目。 在查看机构目前安全实践和机构漏洞的相关信息时考虑这些信息如何与潜在的风险降低行为相关。A8A.2制定保护策略活动中使用的工作表活动的输出活动时间 目前的策略实践工作表(W8A.1) 目前的执行实践工作表(W8A.2) 战略措施的保护策略工作表 (W8A.3) 执行措施的保护策略工作表(W8A.4) 资产统计工作手册 (WK) 建议的保护策略 (O8.4)1小时30分钟2小时基本指南在本活动中，将为机构制定建议的保护策略，可以使用下面建议的内容： 目前的策略实践工作表 (W8A.1) 目前的执行实践工作表(W8A.2) 资产统计工作手册的关键资产安全需求部分 资产统计工作手册的威胁与风险统计部分 资产统计手册的关注的范围部分本活动中，将制定一个策略来维护目前机构中使用情况良好的实践并关注机构漏洞。保护策略定义了机构用来保护策略定义了机构用来初始化、执行和维护内部安全的策略，保护策略关注点在于机构。在本工程的迟些时候，将创建降低风险方案，它直接关注降低关键资产的风险，比保护策略有更多的执行关注点。 基本指南（续）保护策略组织了实践的种类，关注下面范围： 安全意识和培训 安全策略 安全管理 安全方针和规则 合作安全管理 意外计划/灾难恢复 物理安全 信息技术安全 员工安全1. 你将分两部分制定策略，首先，使用战略实践的保护策略工作表(W8A.3)为下面的领域制定策略： 安全意识和培训 安全策略 安全管理 安全方针和规则 合作安全管理 意外计划/灾难恢复 对每个领域，工作表会在下面的方面进行提示： 机构应该继续使用本范围的目前的实践 机构应该采用的新的实践工作表也在每个范围提供了大量需要在制定策略的时候考虑的问题，这些问题建立在是实践种类一部分的实践的基础之上。使用战略实践的保护策略工作表制定策略，在达成一致时，抄写员进行记录。基本指南（续）2. 下面，应该使用执行实践的保护策略工作表来为下面范围制定策略： 物理安全 信息技术安全 职员安全在制定保护策略的这一部分时，要考虑使得机构进行执行实践的策略，工作表提供了你要考虑的问题，集中在下面的策略： 培训和训练 资金 方针和程序 角色和职责 同其它机构和外部专家合作在为每个范围制定策略时要考虑工作表的这些问题。在达成一致时，抄写员在工作表上记录下策略。3. 在制定保护策略时，应该考虑有助于你制定或执行保护策略的近期行为。抄写员应该记录这些行为项目。额外的指南战略实践的保护策略工作表和执行实践的保护策略工作表建立在已知良好的实践的种类的基础之上，附录A有完整的种类：考虑下面的信息： 所有机构级别的调查结果 前后关系信息 (所有机构级别的保护策略实践和机构漏洞)你可能会在不同机构级别的调查结果中发现矛盾的内容，也可能在保护策略实践与机构漏洞中发现矛盾，可能发现一个机构级别的调查结果与同一级别的前后关系信息矛盾。你的任务就是搞清信息的含义。详细指南战略实践的保护策略工作表和执行实践的保护策略工作表建立在OCTAVE中使用的实践种类基础上，该种类应该同机构必须遵循的标准一致，可以按照机构的需要进行修改。 通常，实践的种类应该尽量完整并不保留副本。战略实践的保护策略工作表和执行实践的保护策略工作表应该根据机构中应用的实践的种类进行修改。A8A.3制定降低风险方案活动中使用的工作表活动的输出活动时间 目前的策略实践工作表(W8A.1) 目前的执行实践工作表(W8A.2) 每种关键资产的资产统计工作手册(WK) 提议的风险降低方案 (O8.5)2小时2小时30分钟基本指南在本活动中，将为关键资产创建风险降低方案，可以使用下面建议的有用材料： 目前的策略实践工作表(W8A.1) 目前的执行实践工作表(W8A.2) 资产统计工作手册的关键资产安全需求部分 资产统计工作手册的威胁与风险统计部分 资产统计工作手册的关注范围风险降低方案定义了降低风险/威胁需要的行为，集中在如下行为： 在威胁发生时察觉和侦察 抵抗和防止威胁发生 威胁发生后的恢复工作1. 选择一种关键资产，转到资产统计手册的风险降低方案部分。本部分有四个表格，有下面的威胁种类： 使用网络访问的人类参与者 使用物理访问的人类参与者 系统问题 其它问题注意“其它问题”威胁种类包括任何附加的或惯用的在第4阶段定义的威胁源。基本指南（续）2. 在制定风险降低方案之前查看风险统计、安全需求和关注的范围，在工作手册的下面部分可以找到： 关键资产的安全需求 威胁和风险统计 关注的范围3. 为关键资产选择一个威胁种类。在确定降低风险行为时每个威胁种类的表格包括下面需要考虑的问题： 威胁发生时需要采取什么行动来识别和侦察其类型？ 需要采取什么行为来抵抗和防止这些类型的威胁发生？ 威胁发生时采取什么行动来进行恢复？ 需要采取什么其它行为来处理这些威胁？ 怎样测试和校验降低风险方案工作的有效性？4. 为选择的威胁种类制定降低风险的措施，考虑可能执行风险降低方案的管理、物理、技术的实践。当达成一致意见时，抄写员在工作表上进行记录。为所有影响关键资产的威胁种类完成降低风险的方案。5. 对下一个关键资产进行同样工作，在资产统计工作手册的适当位置进行记录6. 应该考虑有助于制定或执行降低风险方案的近期行为详细指南资产统计工作手册的降低风险方案部分建立在OCTAVE使用的威