OCTAVEProcess8B选择保护策略MSE安全攻防培训资料

1、阶段 8：制定保护策略：工程B：选择保护策略阶段 8：制定保护策略Process 8: Develop Protection Strategy工程 B：选择保护策略Workshop B: Protection Strategy Selection描述 Description目的Purpose与企业高级主管讨论上阶段制定的策略、方案和措施， 决定如何实施（Workshop B ）:并在评估后进行实施。人员 Whos Involved:风险评估项目组和企业高级管理者输入 Inputs评估组和核心成员的现有知识高级管理者的现有知识保护策略建议降低风险方案建议措施建议列表整理过的信息资产安全需求关心的

2、范围保护策略企业漏洞数据流程图Data Flow Diagram阶段 8：制定保护策略工程 B输出 Outputs保护策略降低风险方案措施列表后续工作调查表 Worksheets资产汇总调查表(W8B.1)现行策略调查表(W8A.1)关键资产风险明细调查表现行措施调查表(W8A .2)(W8B.2)策略级的保护策略调查表企业保护策略调查表(W8B.3)(W8A.3)降低风险方案调查表(W8B.4)运营制度的保护策略调查表措施汇总调查表(W8B.5)(W8A.4)后续工作调查表 (W8B.6)措施清单列表 (W8A.5)资产明细手册(WK)158阶段 8：制定保护策略：工程B：选择保护策略阶段指

3、南 Process Guidelines阶段 8：制定保护策略时间 TimeProcess 8: Develop Protection Strategy2 hr30 min工程 B：选择保护策略4 hr30 minWorkshop B： Protection Strategy Selection Workshop目标 Workshop Objectives选择保护策略选择降低关键资产风险的方案选择短期措施决定评估后的实施工程风险评估组职责Analysis Team Roles项目负责人负责推动工程的实施，检查所需资料。书记员负责记录工程实施过程和结果。项目组其他成员协同完成工程。合作者职责Pa

4、rticipants Roles合作者为企业的关键管理者。审核保护策略、降低风险方案、措施列表，进行必要的选择、改变和补充。所需资料 Materials Required工作表- 现行策略调查表(W8A.1)- 现行措施调查表(W8A.2)- 策略级的保护策略调查表(W8A.3)- 运营制度的保护 策略 调查表 (W8A.4)- 资产汇总调查表 (W8B.1)- 关键资产风险明细调查表(W8B.2)- 企业保护策略调查表 (W8B.3)- 降低风险方案调查表 (W8B.4)- 措施汇总调查表 (W8B.5)- 后续工作调查表 (W8B.6)- 各关键资产明细手册 (WK)159阶段 8：制定保

5、护策略：工程B：选择保护策略阶段指南Process Guidelines实施结果 Summary of Workshop Outputs资产汇总(O8.7)关键资产风险明细(O8.8)保护策略 (O8.9)降低风险方案(O8.10)措施列表 (O8.11)后续工作 (O8.12)工程实施前期Before the Workshop步骤 Activity描述 DescriptionD8B.1整理资产整理全部资产。D8B.2整理风险明细整理关键资产的风险明细。D8B.3整理企业保护策略整理如下信息：企业策略的保护策略运营制度的保护策略其他企业未实施的策略D8B.4整理降低风险方案整理降低各关键资产风

6、险的方案。D8B.5整理措施列表整理措施列表。工程实施During the Workshop步骤 Activity描述 Description调查表 Worksheets资产汇总调查表(W8B.1)关键资产的风险明细调查表 (W8B.2)各关键资产明细手册 (WK)策略级的保护策略调查表 (W8A.3)运营制度的保护策略 调查表 (W8A.4)企业保护策略调查表(W8B.3)降低风险方案调查表(W8B.4)各关键资产明细手册 (WK)措施清单列表(W8A.5)措施汇总调查表(W8B.5)调查表 Worksheets160阶段 8：制定保护策略：工程B：选择保护策略工程实施During the

7、Workshop步骤 Activity描述 Description工程介绍项目负责人向高级管理者介绍工程内容，推动工程的实施。A8B.1审核风险信息关键管理者审核项目组得出的信息：现有制定和企业漏洞资产信息关键资产的风险明细A8B.2 审核并选择保护高级管理者审核保护策略、降低风险方案、策略、降低风险措施列表，并对其进行选择、修改、补充和方案、措施列表删除。A8B.3制定后续工作高级管理者决定如何实施保护策略和降低风险方案：做什么什么时候做涉及的人员这是长期提供安全性的起点。工程总结项目负责人对工程进行总结，并与高级管理者讨论如何结束评估。工程实施后期After the Workshop步骤

8、Activity描述 DescriptionX8B.1记录保护策略、 降低书记员要确保所有的信息都被正确地记录风险方案和后续工下来，并将终稿提交高级管理者和项目组成作员。调查表 Worksheets-现行策略调查表(W8A.1)现行措施调查表 (W8A .2)资产汇总调查表(W8B.1)关键资产风险明细调查表 (W8B.2)企业保护策略调查表(W8B.3)降低风险方案调查表(W8B.4)措施汇总调查表(W8B.5)后续工作调查表 (W8B.6)-调查表 Worksheets企业保护策略调查表(W8B.3)降低风险方案调查表(W8B.4)措施汇总调查表(W8B.5)后续工作调查表(W8B.6)1

9、61阶段 8：制定保护策略：工程B：选择保护策略Before The WorkshopD8B.1整理资产活动中使用的工作表活动的输出活动时间资产总结工作表 (W8B.1)资产总结摘要(O8.7)-基本指南在本活动中，要向资产总结工作表(W8B.1) 增加下列信息：关键资产在第 1、 2 和 3 阶段确定的其它关键资产这些信息是在第4 阶段中记录在资产分类工作表(W4.1) 上的信息。注意这些资产在工作表中没有按机构级别进行区分。向资产总结工作表增加所有资产的名称，确保将关键资产与不重要资产进行了区分。162阶段 8：制定保护策略：工程B：选择保护策略D8B.2整理风险明细活动中使用的工作表活动

10、的输出活动时间关 键 资 产 的 风 险 统 计 工 作 表关键资产的风险统计(O8.8)-(W8B.2)每种资产的 资产统计 工作表 (WK)基本指南在本活动中，要向关键资产的风险统计工作表(W8B.2) 中增加信息。每个工作表需要关键资产的下列信息：风险树带有相关影响值的影响的描述的总结摘要感兴趣的系统和关键资产的重要组件漏洞总结摘要可以在资产统计工作手册中找到每种关键资产的所有上述信息。1. 选择一种关键资产，从该资产的资产统计工作手册向关键资产风险统计工作表增加信息。2. 继续此活动直到为所有关键资产增加了信息。163阶段 8：制定保护策略：工程B：选择保护策略D8B.3整理企业保护策

11、略活动中使用的工作表活动的输出活动时间策略实践的保护策略工作表-(W8A.3)执行实践的保护策略工作表(W8A.4)机构保护策略 工作表(W8B.3)基本指南在本活动中，要向机构保护策略工作表(W8B.3) 增加保护策略信息，该工作表需要下面信息：策略实践的保护策略执行实践的保护策略机构不能处理的事项你可以在策略实践的保护策略工作表(W8A.3) 和执行实践的保护策略工作表(W8A.4) 中找到上述信息向策略实践的保护策略工作表(W8A.3) 增加策略实践的保护策略、执行实践的保护策略和机构不能处理的事项164阶段 8：制定保护策略：工程B：选择保护策略D8B.4整理降低风险方案活动中使用的工

12、作表活动的输出活动时间降低风险方案工作表(W8B.4)-每种关键组件的 资产统计 工作手册(WK)基本指南在本活动中， 要向降低风险方案工作表 (W8B.4) 增加信息， 该工作表需要为关键资产降低风险方案。你可以在资产统计工作手册找到每种资产的降低风险方案1. 选择一种关键资产，向降低风险方案工作表增加降低风险方案，在威胁种类基础上在适当位置记录降低风险措施。2. 继续此活动直到为所有关键资产增加了降低风险方案信息。165阶段 8：制定保护策略：工程B：选择保护策略D8B.5整理措施列表活动中使用的工作表活动的输出活动时间措施列表工作表 (W8A.5)-措施列表总结工作表(W8B.5)基本指

13、南在本活动中，要向措施列表总结工作表 (W8B.5) 增加信息，该工作表需要近期措施的列表。可以在措施列表工作表 (W8A.5) 中找到上述信息向措施列表总结工作表 (W8B.5) 增加措施项166阶段 8：制定保护策略：工程B：选择保护策略阶段8工程B介绍活动中使用的工作表活动的输出活动时间-15 分钟基本指南参与本工程的是机构的高层管理者。描述本工程的目标。简要查看OCTAVE 过程，指出你在本过程中所处的位置。向高层管理者描述成功后的情景，讨论工程的目标和最终结果，解释将进行下面的工作：查看和提炼机构的保护策略查看和提炼对关键资产的风险降低方案查看和提炼近期措施项目的列表确定在贯彻评估结

14、果之后要做的事情167阶段 8：制定保护策略：工程B：选择保护策略A8B.1 审核风险信息活动中使用的工作表活动的输出活动时间目前的策略实践 工作表 (W8A.1)-45 分钟1 小目前的执行实践 工作表 (W8A.2)时 30分钟资产总结 工作表 (W8B.1)关键资产的风险统计工作表(W8B.2)基本指南在本活动中，审核下面的信息：目前的策略实践 工作表(W8A.1)目前的执行实践 工作表(W8A.2)资产总结 工作表(W8B.1)关键资产的风险统计 工作表(W8B.2)1.审核与资产相关的概念和术语，向高级管理层分发资产总结摘要工作表(W8B.1) ，将他们的注意力集中在第四阶段确定的关

15、键资产上。要求管理者审核工作表的信息并请他们提出问题。2. 接下来，与管理者审核下面的概念和术语：威胁、风险和风险统计。此外，介绍实践目录的基本结构以及它如何构造第 1、2、3 阶段使用的调查。解释在制定保护策略时使用的实践目录，从保护策略框架中指出实践区域。3. 向管理者分发下面的工作表：目前的策略实践 工作表(W8A.1)目前的执行实践 工作表(W8A.2)关键资产风险统计 工作表(W8B.2)168阶段 8：制定保护策略：工程B：选择保护策略A8B.1审核风险信息基本指南（续）向高层管理者提出工作表信息的摘要，这些工作表包括下面的信息：调查表的复合分析结果保护策略实践和按实践区域分类的机

16、构的漏洞每种关键资产的威胁、风险和漏洞信息4. 问管理者是否还有问题，让他们知道在下一步将审核已经创建的策略和风险降低方案。额外的指南当你介绍调查结果的总结、保护策略实践、机构漏洞、威胁、风险和机构漏洞等信息时，确定你对这些信息进行了总结。你要确保高级管理层理解了这些信息，但是不想花费太多时间。记得目标是为管理者设定前后关系详细指南你可能想要为提出调查结果的总结建立、保护策略实践、机构漏洞、威胁、风险和漏洞信息建立良好的格式，注意下面的表格提出了大量的详细信息：目前的策略实践 工作表(W8A.1)目前的执行实践 工作表(W8A.2)关键资产的风险统计 工作表(W8B.2)良好的格式可以不必所有

17、的细节来引入信息的总结， 如果要选择另一个格式， 则不需要使用上面列出的工作表。169阶段 8：制定保护策略：工程B：选择保护策略A8B.2 审核并选择保护策略、降低风险方案、措施列表活动中使用的工作表活动的输出活动时间机构保护策略工作表 (W8B.3)保护策略(O8.9)45 分钟1 小风险降低方案工作表 (W8B.4)风险降低方案 (O8.10)时 30分钟措施列表总结工作表 (W8B.5)措施列表(O8.11)基本指南在本活动中， 领导推动者将引入保护策略、 风险降低方案和措施列表的信息， 将同高层管理者审核下面的内容：机构保护策略 工作表(W8B.3)风险降低方案 工作表(W8B.4)

18、措施列表总结 工作表(W8B.5)让高级管理者知道你将要求他们审核保护策略、 风险降低方案和措施列表， 之后他们有机会进行精简、修改、增加和删除这些内容。1. 同保护策略定义的参与者进行讨论。保护策略的集中点在机构，保护策略包括可能被你的机构使用的策略。2. 向高层管理者分发机构保护策略工作表并让他们审核，询问他们还有没有问题。3. 同风险降低方案定义的参与者进行讨论。风险降低方案关注于这些行为：在威胁发生时承认或察觉抵抗或组织威胁发生如果威胁发生，对其进行恢复向高层管理者指出保护策略与风险降低方案没有等级关系。完成评估之后的一个行为将是向保护策略和风险降低方案增加执行细节。170阶段 8：制

19、定保护策略：工程B：选择保护策略A8B.2审核并选择保护策略、降低风险方案、措施列表基本指南（续）4. 向高层管理者分发风险降低方案工作表并要求他们进行审核。5. 同措施列表定义的参与者进行讨论。措施列表中行为的例子包括下面：一个 IT 职员可能分配一个行为，修复在 OCTAVE 第 2 步中确定的高严重级的漏洞分析组合机构管理层可能被分配一个行为，定义保护策略的执行的细节。6. 向高层管理者分发措施列表总结工作表并要求他们进行审核。询问高级管理者是否对保护策略、风险降低方案和措施列表进行精简、修改、增加或定义。同高层管理者讨论建议的改变，在达成一致时，抄写员在适当的工作表上进行记录。额外的指

20、南下面的图阐明了OCTAVE 输出的主要关注点保护机构策略风险降低资产方案措施近期行为列表注意保护策略的关注点在于机构，它倾向于长期、整个机构范围。在OCTAVE 期间，你将制定保护策略，在OCTAVE 完成后机构中有人将对执行策略生成执行细节。风险降低方案目的在于降低对关键资产的风险，注意它的关注点在于资产，主要包括中期行动。在 OCTAVE 期间，你将创建风险降低方案，在 OCTAVE 完成后机构中有人将对执行每个方案生成执行细节。措施列表是近期行为， 其中的项目同保护策略和风险降低方案具有一致性， 它们通常没有特殊知识，不需要方针上的改变，因此不需要执行细节。171阶段 8：制定保护策略

21、：工程B：选择保护策略A8B.2审核并选择保护策略、降低风险方案、措施列表额外的指南（续）当开始向管理者提交保护策略时， 常常需要开始立刻选择。 应该要求他们等待直到看见改变前的风险降低方案。172阶段 8：制定保护策略：工程B：选择保护策略A8B.3制定后续工作活动中使用的工作表活动的输出活动时间后续 工作表(W8B.6)后续工作(O8.12)30 分钟 1 小时基本指南在本活动中， 高层管理者要考虑下一步执行保护策略和降低风险方案，在决定下一步工作时将使用后续工作表(W8B.6)1. 向高级管理者分发后续工作表并要求他们仔细查看，下面的问题是工作表提出的问题：关于这次评估的结果机构要作什么工作？为了机构改善信息安全你还需要做什么工作？你能作什么工作来支持信息安全的改进？机构中的其它管理者能作什么工作？对于进行安全评估你有什么计划？2. 对工作表的每个问题进行讨论，当管理者达成一致时，抄写员写下下一步工作提供给所有人参考。额外的指南本活动中确定的后续工作集中在特定的策略和计划的执行上， 执行本类型的评估暴露了长期改进和持续的信息安全改进的需要。有些工作被看作帮助建立作为持续活动的信息安全的后续工作，为了评估之后的后续工作，需要查看第 13 卷。创建作为连续处理过程的安全改进是一个长期的（总共 6 个月或者 1 年） che