风险分析MSE安全攻防培训资料

1、阶段7：风险分析Process 7: Conduct Risk Analysis描述Description目的Purpose:定义威胁产生的影响（标识风险），制定评估标准，对每个风险进行分级（高、中、低）。人员Whos Involved:风险评估组数据流程图Data Flow Diagram阶段7:风险分析输入Inputs评估组和核心成员的现有知识 关键资产关键资产的安全需求 关键资产的威胁 关键资产的关心范围输出Outputs关键资产所受威胁的影响风险评估标准影响价值调查表Worksheets资产明细手册（WK）阶段指南Process Guidelines阶段7：风险分析Process 7:

2、 Conduct Risk Analysis时间Time4 hr 30 min 6 hr目标Workshop Objectives 记录企业的信息安全风险 制定风险评估的基准 评估企业的风险风险评估组职责Analysis Team Roles项目组可以决定是否增加提供技术和知识支持的人员，负责人确保每个人明确相应的职责。同时，负责人负责推动工程的进展，并检查前期和后期工程是否完成。书记员负责工程实施过程和结果的记录工作。其他成员要参加工程的所有步骤。所需资料Materials Required 调查表- 每个关键资产的明细手册 (WK)实施结果Summary of Workshop Outpu

3、ts 关键资产所受威胁的影响(O7.1) 风险评估准则(O7.2) 影响价值(O7.3)工程实施During the Workshop步骤Activity描述Description调查表Worksheets工程实施介绍项目负责人确保所有成员明确各自的职责，并检查是否所有资料已准备齐全。-A7.1标识关键资产所受威胁的影响项目组定义威胁后果的描述（暴露、篡改、丢失、破坏、中断），使用叙述性的语言陈述威胁对企业任务的最终影响。企业的风险由威胁和其影响后果组成。资产明细手册(WK)A7.2制定风险评价准则项目组制定适用于评估企业风险的标准，该标准定义了高、中、低影响的基准。资产明细手册(WK)A7.

4、3评价关键资产所受威胁的影响项目组评估每个风险，并赋予相应的影响值（高、中、低）。资产明细手册(WK)工程总结项目负责人进行阶段工作总结并制定下一阶段工作计划。-阶段7工程介绍活动中使用的工作表活动的输出活动的时间-15 分钟基本指南本工作的参与者是核心的分析组成员以及附加的人员。 在本工作开始时，领导者要确保每个人明白自己的角色，此外，领导要查看已经完成的工作并确保已经收集准备好所有必需的材料。在本工作中，要生成以下： 每种威胁结果对机构的影响的描述 一系列的评估准则 每种影响描述的价值 A7.1标识关键资产所受威胁的影响活动中使用的工作表Outputs of this ActivityAc

5、tivity Time 每种关键资产的资产统计手册(WK) 关键资产所受的威胁的影响(O7.1)1小时30分钟 2小时基本指南在本工作中，以小组的方式工作，为每种威胁结果定义影响的描述。你可以使用一些有助于你做决定的材料，有以下建议： 资产统计工作手册的关键资产的安全需求部分 资产统计工作手册的威胁与风险统计部分 资产统计工作手册的关注的范围部分风险包括对关键资产的威胁和对机构的影响，因此，当你向机构增加威胁的影响时，需要创建风险，要为威胁统计的影响进行描述。1. 选择一种关键资产。转到资产统计手册的威胁与风险统计部分，查看关键资产的威胁统计。确保注意到在统计中标记过的结果，记得查看统计中所有

6、的威胁树。你也应该查看在工作手册的关注范围部分记录的关注范围。其它关于威胁统计的指导参见阶段4的指导方针。2. 转到资产统计工作手册的影响描述部分，这部分包括四种威胁结果（暴露、修改、丢失/损坏、中断）中每一种的表格，在本活动中，要填充这些表格。如果暴露、修改、丢失/损坏、中断是在统计中的一个或多个威胁的结果，分别完成工作手册中的各自的表格。在对关键资产的威胁统计中的没有标记一次的威胁结果不必在表中填充。对每个你填的表，考虑在表中列出的问题，为每个影响建立叙述性的描述，注意你已经有了每种威胁结果的多种影响。在为一个威胁结果的影响描述达成一致后，抄写员应该在相应的表格进行记录。 3. 为一种关键

7、资产完成影响描述后，继续下一种资产，直到完成了所有关键资产。A7.2制定风险评价准则活动中使用的工作表活动的输出活动时间 每种关键资产的资产统计工作手册(WK) 风险评估准则(O7.2)1小时1小时30分钟基本指南在本工作中，作为工作组进行创建评估准则的工作，你可以使用任何有帮助的材料，一个建议是资产统计工作手册的影响描述部分内容。评估准则是针对在前面活动描述的影响进行评估的基准或量度标准，在OCTAVE中为下面类型的影响建立评估准则： 名望/消费者信心 消费者生命/健康 罚款/合法的处罚 财政 其它注意，对所有关键组件评估准则都是相同的。 在本工作中，将对每种影响类别制定高、中、低影响，确保

8、查看在前面的活动中记录的影响信息，它可能对定义评估准则有用处。1. 选择一种关键资产。转到一种关键资产的资产统计工作手册的评估准则部分。 2. 对表格中的每个影响范围，考虑将为高、中、低风险使用的特定准则，如果需要一个评估准则的例子，可以查看前面的示例结果或者第17卷的附录C。在达成一致后，抄写员应该在工作手册中进行记录。如果一种影响范围对你的机构不适用，抄写员应该在表格中进行记录。不要定义没有在你的机构中应用的准则，对于对你的机构唯一的影响区域，在“其它”目录增加这些准则。3. 在完成评估准则后，抄写员应该确保包含在所有资产统计工作手册中的信息。额外的指南风险的评估对于制定决定的人有额外的辅

9、助作用。一个机构会因为资金、职员和时间表的约束而无法减缓风险，因此，需要确定相关的优先级。在许多风险管理过程中，影响和可能性的评估可以当作确定哪些风险首先进行处理的依据。 举一个简单的例子。管理者选择只处理高影响高可能性的地风险；密切注视中影响中可能性的风险；忽略低影响低可能性的风险。因此管理者使用的是影响和可能性来指导他（她）的选择。在OCTAVE中，只评估风险的影响。信息安全风险比起其它风险管理领域的风险的可能性更复杂和不精确。高、中、低风险的定性的准则提供了为风险影响分配值的最简单方法，这些方法对所有关键资产的风险比较提供了足够的基准。 评估准则根据情况的不同会有所变化，这也是为什么每个

10、机构必须定义自己准则的原因。详细指南影响区域和影响测度（高、中、低）的列表是OCTAVE 处理中使用的基本集合，这些列表根据情况不同会有所变化必须按照机构具体情况进行定义。 通常，影响区域和影响测度的列表应该尽量完整，具有适当的长度，不保留副本。A7.3评价关键资产所受威胁的影响活动中使用的工作表活动的输出活动时间 每种关键资产的资产统计工作手册(WK) 影响价值impact values (O7.3)1小时30分钟2小时基本指南在本工作中，以小组的形式进行风险评估。可以使用有帮助的材料，有以下建议： 资产统计工作手册的影响描述部分 资产统计工作手册的评估准则部分 资产统计工作手册的威胁和风险

11、部分1. 选择一种关键资产。转到资产统计工作手册的影响描述部分，该部分包括了四种威胁结果（暴露、修改、损坏/丢失、中断）的每一种的表格。在本工程的第一步工作，向表格中增加了叙述性描述。2. 查看在表格中列出的影响描述，对其中每一种，对其进行评估并为其赋一个值（高、中、低）。使用前面创建的定性评估准则（参看工作手册的评估准则部分），记得对每种影响的评估使用这些评估准则作为基准。在对影响价值得出一致结论时，抄写员在工作手册的影响描述部分的适当表格中进行记录。为关键资产的所有影响进行评估。抄写员应该在手册的威胁与风险统计部分中威胁结果之后记录影响的价值 3. 如果一种结果相关的影响有超过一种价值，记录下所有的值。额外的指南如果在评估影响描述时使用评估准则有困难，可能有下面的情况发生： 评估准则可能不是特别详细、精确 影响的描述可能太含糊总结活动中使用的工作表活动的输出活动时间-1