OCTAVEProcess3

阶段1：明确员工层认识阶段3：明确员工层认识Process 3: Identify Staff Knowledge描述Description目的Purpose:明确员工层对企业重要资产的认识，对资产如何受到威胁的了解，以及资产的安全需求，现在已经采取得保护措施以及和保护该资产相关的问题。人员Whos Involved:风险评估小组以及企业的员工数据流程图Data Flow Diagram阶段3：明确员工层认识输出Outputs按优先级排列的员工层资产员工层关注的范围员工层资产的安全需求员工层现行的保护措施员工层组织的漏洞输入Inputs员工现在的认识企业的数据措施目录调查表Worksheets资产调查表 (W3.1)关注范围调查表 (W3.2)安全需求调查表 (W3.3)员工层调查表 (W3.4)保护措施调查表 (W3.5)阶段指南Process Guidelines阶段3：明确员工层认识Process 2: Identify Operational Area Management Knowledge时间2 hr 30 min 3 hr 30 min目标Objectives 确定员工层的资产； 确定最重要的员工层的资产； 确定员工层关心的范围； 确定员工层的资产的安全需求； 确定员工层对现有保护措施的观点； 确定员工层对企业薄弱点的认识。风险评估组职责Analysis Team Roles现场工作由风险评估组推动。项目负责人负责引导项目的实施，组织调查和讨论。书记员完成所有信息的录入工作。项目组其他成员负责协助项目负责人完成所有实施步骤。合作者职责Participants Roles合作者由企业的员工组成，负责提供相关信息。所需资料Materials Required 企业的策略和流程 组织结构图 企业必须遵守的相关法律、法规和相关制度 所需的调查表- 资产调查表(W3.1)- 关注范围调查表(W3.2)- 安全需求调查表(W3.3)- 员工层调查表 (W3.4)- IT员工调查表（W3.4 IT）- 保护措施调查表(W3.5)实施结果Summary of Workshop Outputs 按优先级排列的员工层资产(O3.1) 员工层关注的范围(O3.2) 员工层资产的安全需求(O3.3) 员工层调查结果(O3.4) 员工层现行的保护措施(O3.5) 员工层组织的漏洞(O3.6)工程实施During the Workshop步骤Activity描述Description调查表Worksheets调查表介绍项目负责人向员工介绍实施的目的和主要内容，并推动整个实施的运行。-A3.1确定员工层资产和优先级员工标识企业使用的资产，并选出最重要的资产，并对选取原则进行讨论。资产调查表 (W3.1)A3.2确定员工层关心的范围员工标识对重要资产可能的威胁以及威胁对企业的潜在影响。关心的范围调查表(W3.2)A3.3明确对重要资产的安全需求员工给出重要资产的安全需求，并且选出每一个重要资产的最重要的安全需求。安全需求调查表(W3.3)A3.4获得员工层对现行保护措施的观点和存在的漏洞员工完成如下调查：哪些制度已被员工执行了，哪些未被执行，并进行进一步对细节进行讨论。员工层调查(W3.4)保护措施调查表(W3.5)A3.6与第二阶段结果讨论和工作总结进行第三阶段工作总结。-Process 3 Workshop介绍本活动中使用的工作表活动的输出活动时间-15 min基本指南本工程的参与者是机构的员工层1. 描述你是谁以及工程目的，要求参与者自我介绍以及描述他们要做什么 2. 简要描述你所处的OCTAVE的工作阶段。3. 为员工层描述成功的意义，讨论目标和工程的最终结果，需要他们生成： 对机构任务很重要的资产列表 五个最重要的资产的列表 对最重要资产造成威胁的情况列表 最重要资产的安全需求 当前机构用来保护重要资产的 保护策略 机构漏洞，缺少或不充分的保护策略行动4. 向员工层强调信息安全是各学科间的处理过程，不仅仅是信息技术问题。A3.1确定员工层资产和优先级本活动中使用的工作表活动的输出活动时间 资产表 (W3.1) 具有优先级的员工层资产 (O3.1)30-45 分钟基本指南资产是对机构有价值的东西，信息安全风险评估集中在鉴别信息对机构任务是否重要，辨别最有意义信息的唯一方法是询问机构的工作人员（所有级别的员工）1. 说明关键资产的重要性，例如，如果一个机构管理者知道关键资产是什么，就可以使用他的有限资源来保护关键资产。要强调的是机构中所有人能作的事就是保护关键资产（遵循策略、使用好的方法等）资产可以分为下列几类： 信息 记录的（纸质的或电子的）信息或智能资产 系统 存储和处理信息的信息系统。系统是信息、软件和硬件资产的结合，任何主机、客户机、服务器或者网络都可以被看作是系统。 软件 软件应用程序（操作系统、数据库应用程序、网络软件、办公应用程序等） 硬件 信息技术物理设备（工作站、服务器等） 人 机构中的人员，包括他们的技能、训练知识和实践2. 向员工层分发资产工作表(W3.1)。对以下问题进行解释说明： 你的重要资产是什么？ 还有其它资产需要保护吗？ 什么相关的信息是重要的？ 在你确定的资产中哪些是最重要的？你选择重要信息的基本原理是什么？3. 对前三个问题进行讨论，要求参与者在工作表上做记录，由抄写员记录下得出的资产供所有参与者参考。 你可以问以下三个问题用于提炼观点： 怎样才能成为资产？ 你考虑过你的整个机构吗？ 这些资产对你的机构任务来说关键吗？下一步，要求管理者考虑关于资产工作表的最后一个问题。 4. 要求选择五个最重要资产，并考虑下面的问题： 哪些资产对机构任务最为重要？ 在所有资产列表中，那一些时最重要的，哪些是最大的？由抄写员记录下得出的资产供所有参与者参考。人硬件软件信息系统额外的指南下面的图表示了OCTAVE 使用的资产种类的关系：系统资产代表一组信息、软件和硬件资产，大部分人认为系统是一个整体。信息资产是无形的，接近于系统资产，系统存储、处理和传输关键信息。因此当机构创建策略和保护系统资产计划时，也保护了关键信息（软件和硬件资产）。当人们确定软件资产时，应该明确是指的软件应用程序还是服务，或者系统。同样的，当人们识别硬件资产时，应该明确是否指的是物理硬件。人的资源是特殊的部分当人们被识别时，因为他们具有的特殊技能或者他们提供的服务。详细指南资产种类的列表可以被改编成适合你的机构的需要。大体上，资产种类应该尽量完整，具有适当长度（不必太长），不必保留副本。A3.2确定员工层关心的范围本活动中使用的工作表活动的输出活动时间 关注范围工作表（W3.2） 员工层关注的范围（O3.2）30-45 分钟基本指南威胁指的是某人进行不受欢迎的行为或者导致不受欢迎结果的事件。关注的范围指的是关注的对资产的威胁的状况。典型的，关注的范围有来源和结果 对机构造成影响的有因果关系的行为。OCTAVE探究的资源主要有下面几种： 有准备的行动 这一组包括可能实施有计划行动的机构内部和外部人员。 意外的行动 这一组包括可能对你的资产造成意外损害的机构内部和外部人员 系统问题 是你的信息技术系统的问题，例如，包括硬件问题、软件问题相关系统的不可用、病毒、有害代码和其它和系统相关的问题。 其它问题 是在你控制范围之外的问题。包括自然灾害（例如洪水和地震），由其它机构维护的系统的不可用和相互依赖的条目， 相互依赖的条目包括基础设施服务的问题，例如能源损耗、通信损耗等。影响的结果分为下面几种： 揭露或查看敏感信息 修改重要或敏感信息 重要信息、硬件或软件的破坏或损失 对重要信息、软件、应用或服务的访问的中断OCTAVE识别关键威胁，应该关注员工层关注范围的原始资料和结果（或影响）1. 分发关注范围工作表 (W2.2)，解释如何使用该工作表以及为员工层举例示范。下面是关注范围的例子： 正在向系统XYZ加入错误数据 职员经常离开终端/PC这可能造成对这些系统的信息未授权访问。2. 要求参与者思考和讨论关注的事件，焦点在工作表中包含的提示和已经识别的重要资产。 3. 要求管理者在工作表上做记录，由抄写员记录下得出的资产供所有参与者参考。 对每个得出的情节，问下面的几类问题： 如果该情况出现会发生什么？对你的机构会发生什么影响？由抄写员记录下得出的影响供所有参与者参考。详细指南威胁原始资源和结果的列表是OCTAVE 处理的一个基本集合，这些列表必需按顺序定义来执行有意义的评估，原始资源和结果的列表可以被改编成适合你的机构的需要。大体上，威胁分类原始资源和结果应该尽量完整，具有适当长度（不必太长），不必保留副本。A3.3明确对重要资产的安全需求本活动中使用的工作表活动的输出活动时间 安全需求工作表(W3.3) 员工层资产的安全需求（O3.3）30-45 分钟基本指南安全需求指出了要保护资产重要性，帮助建立基本的保护策略，下面是OCTAVE期间的安全策略： 机密性 完整性 可用性1. 分发安全需求工作表(W3.3)给参与者，应该向参与者解释以下问题： 每种信息资产的重要安全需求是什么？ 每种信息资产的安全需求的相关等级，哪种安全需求是最重要的？2. 对工作表的问题进行讨论，要求管理者在工作表上做记录，由抄写员记录下得出的资产供所有参与者参考。 3. 参与者明确最重要的安全需求。额外的指南通常试图描述资产的安全需求时要理解资产的什么方面是重要的，尤其对比较复杂的资产（系统）。对信息资产，安全需求集中在信息的机密性、完整性和可用性。 信息不被未授权人员查看(机密性). 信息仅被授权的人修改(完整性). 信息在任何需要的时候可以使用(可用性).信息资产代表信息、软件和软件资产的分组，系统的重要的特殊方面和性质会驱动安全需求，如果存储、处理和传输的信息是重要的方面，下面的例子描述了安全需求： 在系统XYZ不能被未授权的人员查看 (机密性) 系统XYZ 的信息只能被授权的人修改(完整性) 系统XYZ 的信息在任何需要的时候可以使用。系统XYZ每24小时仅有15分钟停工时间。如果系统提供的服务是最重要的方面，下面的例子描述了安全需求： 系统XYZ提供的服务完整和正确（完整性） 系统XYZ提供的服务在任何需要的时候必须可用(availability).注意没有机密性需求被列出，机密性依靠提供的服务，在很多情况下，服务是标准的，不提供机密性。对软件资产，你应该在明确安全需求时关注软件应用和服务。下面是软件资产拥有者的例子： 应用程序ABC不能被未授权的人查看(机密性). 应用程序ABC只能被授权的人修改(完整性). 应用程序ABC在正常工作时间必须可用(可用性).对于硬件资产，应该在明确安全需求的时候关注物理硬件。下面是硬件资产的方针： 硬件只能被授权的人修改(完整性). 硬件在正常工作时间必须可用(可用性).对人资源，应该关注于可用性需求，下面是方针： IT职员必须提供正在进行地系统和网络管理服务(可用性).当人被看作资产时，要确定是否还有相关资产。详细指南安全需求的列表是OCTAVE 处理的一个基本集合，这些列表必需按顺序定义来执行有意义的评估，安全需求的列表可以被改编成适合你的机构的需要。大体上安全需求的分类应该尽量完整，具有适当长度（不必太长），不必保留副本。A3.4获得员工层对现行保护措施的观点和存在的漏洞本活动中使用的工作表活动的输出活动时间 员工层调查表(W3.4) 保护策略工作表(W3.5) 员工层调查结果(O3.4) 当前员工层保护策略行动(O3.5) 员工层组织的漏洞(O3.6)30-45 分钟保护策略的目标对未来信息安全提供了方向，它定义了机构用来开始、执行和维护内部安全的策略1. 分发员工层调查表(W2.4)并要求他们花一点时间填表；向IT层员工分发IT员工调查表 (W3.4 IT) 并要求他们花一点时间填表2. 要求他们循环每个实践最好的响应，向他们解释调查表，解释他们考虑哪一个实践在机构中使用，有如下选项： 是 否 不知道 允许管理者在下一步讨论中保持调查表，不要忘记收集在工程结论的调查。3. 分发保护策略工作表 (W3.5). 解释在工作表中的每个问题，下面的问题应该涉及： 调查表中哪些问题应该详细讨论？ 调查表中哪些问题没有涉及？ 有对特殊资产的特殊方针、过程和实践吗？他们是什么？ 你认为你的机构的保护策略有效吗？你怎么知道的？4. 对工作表上的每个问题进行讨论，应该提供调查表覆盖的范围更多细节并且得出调查表上没有覆盖的唯一的保护策略实践和组织的漏洞。 讨论第一个问题时，应该使用实践范围以及调查的问题作为聚焦管理者注意力的提示。 讨论会关注于机构正在什么进展顺利（目前的保护策略）以及什么进展不顺利（机构的漏洞）。要求管理者需要的时候在工作表上做记录，由抄写员记录下保护策略行动和机构的漏洞，信息必须展示给所有参与者，抄写员与参与者查对看是否措词正确，然后将措词进行修改。 5. 抄写员必须接下来记录每个是否代表保护策略实践或是否代表组织的漏洞的状态。下面是保护策略实践的例子：+ 技术强制口令改变和规则选择+ 所有雇员接收安全培训下面是组织漏洞的例子：- 存在的方针没有被广泛认识- 人们不理解他们的安全角色和职责上面的例子中，“+”表示该项是保护策略实践； “”表示该项是组织漏洞 额外指南员工层调查表(W2.4)和IT员工调查表(W3.4 IT)建立在良好实践的已知目录，调查表的结果会在第八阶段编译然后创建保护策略。详细指南员工层调查表和IT员工调查表建立在OCTAVE使用的实践分类基础上，可以被改编成适合你的机构的需要并跟你的标准一致。 大体上，实践的分类应该尽量完整并不要保留副本。A3.5获得员工层对现行保护措施的观点和存在的漏洞本活动中使用的工作表活动的输出活动时间-15 分钟基本指南1. 应该提醒员工高级管理层和执行层经理参与了前一阶段的工作，原因是通信对于信息安全风险评估很重要。2. 你应该指出在工程中已经与他人开始的对话，应该继续直到评估结束，应该与员工层和工作在机构任何其它级别的人讨论信息技术问题。 3. 应该向参与者介绍高层管理者和执行经理层工程结果的总结，问他们下面几类问题： 跟你的结果有什么类似的地方？ 跟你的结果有什么不同？4. 与参与者讨论该阶段的剩余问题，告诉他们信息如何在OCTAV中移动。指出你将在信息基础设施中寻找对弱点的更好理解，并且告诉他们你将分析所有数据来确定最重要资产的风险，创建保护策略和风险缓解计划。5. 最后，回顾工作表中的内容，应该关注下面的内容： 信息资产 关注的范围 安全需求 保护策略实践和组织的漏洞资产调查表（W3.1）资产1. 你的重要资产是什么？考虑： 信息 系统 软件 硬件 人2. 有其他你必需保护的资产吗 (例如，依靠法律或者规则)?3. 有什么重要的相关资产？考虑： 信息 系统 软件 硬件 人4. 在你已经确定的资产中，哪些是最重要的？你选择这些重要资产的基本原则是什么？ 59 Asset人的故意行为考虑： 你的机构内的人 你的机构外的人人的无意行为考虑： 你的机构内的人 你的机构外的人 你自己系统问题考虑： 硬件错误 软件错误 相关系统的不可用 恶意代码（病毒、蠕虫、特洛伊木马、后门） 其它其它问题考虑： 能源损耗 水资源不可用 长途通讯不可用 ISP不可用 洪水 地震 其它揭露或观察敏感信息修改重要或敏感信息毁坏或遗失重要信息、硬件或软件访问重要信息、软件应用程序或服务（电子邮件、Web等）威胁源结果关心的范围调查表（W3.2）哪些方面会威胁你的重要资产？安全需求调查表（W3.3）安全需求1. 每种信息资产的重要的安全需求是什么？考虑： 机密性 完整性 可用性 其它2. 每种信息资产的安全需求的相关级别是什么？ 哪种安全需求最重要？ OCTAVE Method Implementation Guide v2.0Worksheet W3.4员工层调查表（W3.4）名字 (可选)： _职位： _员工调查制度这个制度被你的机构执行了吗？安全意识和培训机构成员对他们的安全角色和职责的理解。记录和验证。是 否 不知道 有足够多的为所有支持的服务、机制和技术（例如日志、监视或加密）设置的内部专家，包括他们的安全操作。记录和验证。是 否 不知道 为所有职员提供的安全意识、培训和周期性提醒。全体职员的理解被记录，一致性被定期验证。是 否 不知道 安全管理管理层为信息安全行为分配足够的资金和资源。是 否 不知道 为机构中的所有职员定义安全角色和职责。是 否 不知道 机构对员工的雇用和解雇行为考虑到信息安全问题。是 否 不知道 机构管理信息安全风险，包括： 对信息安全的风险评估 采取步骤降低信息安全风险是 否 不知道 安全方针和规则机构有一系列完整记录的、目前被周期性回顾和更新的方针。 是 否 不知道 安全方针管理的过程，包括： 创建 管理(包括周期性回顾和更新) 通信是 否 不知道 机构统一执行安全方针。是 否 不知道 协作的安全管理在与外部机构合作时机构有保护信息的方针和处理程序(例如，第三方、合作者、转包商或合伙人)，包括：- 保护属于其它机构的信息 理解外部机构的安全方针和处理 通过终止外部人员来停止对信息的访问是 否 不知道 意外计划/灾难恢复所有职员 注意意外事故、灾难恢复和交易连续性计划 理解和执行他们的职责是 否 不知道 物理安全计划和处理程序维护房屋、建筑和任何受限区域的设备安全计划和程序被记录和测试。是 否 不知道 有管理来访者的记录的方针和程序。是 否 不知道 有记录下的对硬件和软件的物理控制的方针和程序。是 否 不知道 物理访问控制有记录下的控制对工作区域和硬件（计算机、通信设备等）以及软件媒体的物理访问的方针和程序。是 否 不知道 对工作站和其它允许访问敏感信息的组件进行物理保护以防止未授权访问。是 否 不知道 系统和网络管理有记录和测试的备份软件和数据的数据备份计划。所有员工在备份计划下理解他们的职责。是 否 不知道 事件管理存在记录下的过程来识别、报告和响应可疑的安全事件和妨害。是 否 不知道 周期性的测试、验证和更新事件管理过程。是 否 不知道 有记录下的方针和过程来与法律执行中介一起工作。是 否 不知道 General Staff Practices全体职员遵循安全制度，例如：a. 保护可靠信息b. 不向他人泄漏敏感信息（抵抗社会工程学）c. 拥有足够能力使用信息技术硬件和软件d. 使用好的口令制度e. 理解和遵循安全方针和规则f. 承认和报告事件是 否 不知道 在所有职责级别上的全体职员为信息安全贯彻他们分配的角色和职责。是 否 不知道 有记录下的处理过程来批准和检查与敏感信息有关的或者在信息所在区域工作的所有员工（包括来自第三方机构的个人）。是 否 不知道 2001 Carnegie Mellon UniversityW3-70OCTAVE Method Implementation Guide v2.0Worksheet W3.4 ITIT职员调查表（W3.4 IT）名字 (可选)： _职位： _IT职员调查制度这个制度被你的机构执行了吗？安全意识和培训机构成员对他们的安全角色和职责的理解。记录和验证。是 否 不知道 有足够多的为所有支持的服务、机制和技术（例如日志、监视或加密）设置的内部专家，包括他们的安全操作。记录和验证。是 否 不知道 为所有职员提供的安全意识、培训和周期性提醒。全体职员的理解被记录，一致性被定期验证。是 否 不知道 安全策略机构的交易策略与安全考虑相结合。是 否 不知道 安全策略和方针考虑到机构的交易策略和目标。是 否 不知道 安全策略、目的、目标被证明和回顾、更新，以及与机构进行沟通。是 否 不知道 安全管理管理层为信息安全行为分配足够的资金和资源。是 否 不知道 为机构中的所有职员定义安全角色和职责。是 否 不知道 机构对员工的雇用和解雇行为考虑到信息安全问题。是 否 不知道 机构管理信息安全风险，包括： 对信息安全的风险评估 采取步骤降低信息安全风险是 否 不知道 管理层收到和遵照例行报告总结安全相关信息(例如，审计、日志、风险和漏洞评估)是 否 不知道 安全方针和规则机构有一系列完整记录的、目前被周期性回顾和更新的方针。 是 否 不知道 安全方针管理的过程，包括： 创建 管理(包括周期性回顾和更新) 通信是 否 不知道 机构有服从信息安全方针的评估和保证的处理过程，可应用的法律和规则以及保险需求。是 否 不知道 机构统一执行安全方针。是 否 不知道 协作的安全管理在与外部机构合作时机构有保护信息的方针和处理程序(例如，第三方、合作者、转包商或合伙人)，包括：- 保护属于其它机构的信息- 理解外部机构的安全方针和处理- 通过终止外部人员来停止对信息的访问是 否 不知道 机构验证符合自身要求的来自外部的安全服务、机制和技术。是 否 不知道 意外计划/灾难恢复操作系统、应用程序和数据危险程度的分析已经执行。 是 否 不知道 机构已被记录、回顾和测试a. 交易连续性或紧急情况操作计划b. 灾难恢复计划 响应紧急情况的意外事故计划 是 否 不知道 意外事故、灾难恢复和交易连续性计划考虑物理和电子访问需求和控制。是 否 不知道 所有职员 注意意外事故、灾难恢复和交易连续性计划 理解和执行他们的职责是 否 不知道 物理安全计划和处理程序维护房屋、建筑和任何受限区域的设备安全计划和程序被记录和测试。是 否 不知道 有管理来访者的记录的方针和程序。是 否 不知道 有记录下的对硬件和软件的物理控制的方针和程序。是 否 不知道 物理访问控制有记录下的控制对工作区域和硬件（计算机、通信设备等）以及软件媒体的物理访问的方针和程序。是 否 不知道 对工作站和其它允许访问敏感信息的组件进行物理保护以防止未授权访问。是 否 不知道 监视和审计物理安全维护记录用来记载设备的物理组件的修理和更改。是 否 不知道 关于所有物理控制媒体的个人或组的行为可以被说明。是 否 不知道 审计和监视记录定期的进行异常检查，需要的时候进行纠正行为。是 否 不知道 系统和网络管理有存档的经过测试的安全计划来保护系统和网络。是 否 不知道 敏感信息被安全存储保护（站点外的备份存储，敏感信息的丢弃处理）。是 否 不知道 安装的软件的完整性被有规律的验证。是 否 不知道 所有系统都是最新的，修订、补丁和安全建议是 否 不知道 有存档地经过测试的备份软件和数据的数据备份计划，所有职员都清楚他们在数据备份计划中的职责。是 否 不知道 计划、控制和记录向IT硬件和软件的改变。是 否 不知道 IT职员在发布、改变和终止用户口令、帐户和权限时遵循下面的程序：. 所有信息系统用户，包括第三方用户都有唯一的用户标识。 系统中没有默认的帐户和口令。是 否 不知道 系统中仅有必需的服务所有不需要的服务从系统中移除。是 否 不知道 系统管理工具使用安全系统和网络的工具和机制，而且定期的进行回顾、更新或者代