【正文】 OCTAVE方法是一種具體的風(fēng)險評估方法，根據(jù)它你可以執(zhí)行一次實際的風(fēng)險評估?？剖邑撠?zé)人是中層領(lǐng)導(dǎo)。 風(fēng)險評估的準備 ? 設(shè)置合適的評估范圍（涉及的業(yè)務(wù)區(qū)域） ?OCTAVE評估要覆蓋全部的組織重要資產(chǎn)。天 過程 4 一名具備熟練分析技巧的員工增援評估組（可選） 1天 …… …… …… 風(fēng)險評估的準備 ? 建立適當(dāng)?shù)暮笄诒ＷC（主要是研討會的會務(wù)準備工作） ?評估日程表 ? 前期準備、各個任務(wù)以及研討會的時間安排 ?提供會議室和設(shè)備 ? 白板、投影儀 ?? ?處理計劃外事件 ? 根據(jù)需要臨時決定召開額外的研討會 MedSite的風(fēng)險評估準備 ? 正副院長都同意評估并允諾給予支持 ? 評估組的組成： ?Lee（外科主任），評估組負責(zé)人； ?Susan（檔案科職員），書記員； ?Sunny（ IT人員）； ?Kris（后勤處副處長），負責(zé)后勤工作，兼職； ?Ruis（ IT職員），作為 Sunny的替補。參加過程 4中研討會的人員主要是風(fēng)險評估小組的分析人員。而且，災(zāi)難恢復(fù)時要消耗大量資源確定哪些信息丟失或損壞了 業(yè)務(wù)中斷 PIDS罷工，醫(yī)院就沒法有效運作了。 ? 確定重要資產(chǎn)所面臨的威脅 ； 過程 4：創(chuàng)建威脅文件（ MedSite ） ? 確認重要資產(chǎn) ?紙制藥單， 選中原因 ?PIDS， 選中原因 ?個人電腦， 選中原因 ?ECDS，急診護理數(shù)據(jù)系統(tǒng) ? 候選的重要資產(chǎn)來源于前三個階段與各階層領(lǐng)導(dǎo)和員工的研討 ? 建議確定 5個左右的重要資產(chǎn) 過程 4：創(chuàng)建威脅文件（ MedSite ） ? PIDS系統(tǒng)的資產(chǎn)威脅文件 ? 以標準的格式給出，在 OCTAVE中叫做“普通威脅文件”，是一種樹狀的表格 PIDS 網(wǎng)絡(luò)訪問 內(nèi)部 外部 偶然的 蓄意的 數(shù)據(jù)泄露 數(shù)據(jù)篡改 數(shù)據(jù)丟失、破壞 業(yè)務(wù)中斷 數(shù)據(jù)篡改 數(shù)據(jù)丟失、破壞 業(yè)務(wù)中斷 數(shù)據(jù)泄露 偶然的 蓄意的 數(shù)據(jù)篡改 數(shù)據(jù)丟失、破壞 業(yè)務(wù)中斷 數(shù)據(jù)篡改 數(shù)據(jù)丟失、破壞 業(yè)務(wù)中斷 數(shù)據(jù)泄露 資產(chǎn) 訪問方式 威脅源 動機 威脅后果 PIDS ABC Systems貨源不足 數(shù)據(jù)泄露 數(shù)據(jù)篡改 數(shù)據(jù)丟失、破壞 業(yè)務(wù)中斷 數(shù)據(jù)篡改 數(shù)據(jù)丟失、破壞 業(yè)務(wù)中斷 資產(chǎn) 威脅源 威脅后果 斷電 洪水、火災(zāi) …… 數(shù)據(jù)泄露 數(shù)據(jù)篡改 數(shù)據(jù)丟失、破壞 業(yè)務(wù)中斷 OCTAVE 方法（ Method） ? 風(fēng)險評估的準備 ? 階段 1：建立基于資產(chǎn)的威脅文件 ? 階段 2：識別基礎(chǔ)設(shè)施脆弱性 ? 階段 3：制定安全戰(zhàn)略和（風(fēng)險控制）計劃 階段 2：識別基礎(chǔ)設(shè)施脆弱性 ? 過程 5：標識關(guān)鍵組件 ? 過程 6：評估所選組件 過程 5：標識關(guān)鍵組件 ? 依據(jù)過程 4中給出的威脅信息，決定怎樣評估與重要資產(chǎn)相關(guān)的信息系統(tǒng)基礎(chǔ)設(shè)施，如計算機、網(wǎng)絡(luò)設(shè)備等。 OCTAVE 方法（ Method） ? 風(fēng)險評估的準備 ? 階段 1：建立基于資產(chǎn)的威脅文件 ? 階段 2：識別基礎(chǔ)設(shè)施脆弱性 ? 階段 3：制定安全戰(zhàn)略和（風(fēng)險控制）計劃 階段 1：建立基于資產(chǎn)的威脅文件 ? 過程 1：標識高層管理知識； ? 過程 2：標識業(yè)務(wù)區(qū)域知識； ? 過程 3：標識一般員工知識； ? 過程 4：創(chuàng)建威脅文件； 過程 3 ? 前三過程，評估組分別與高層領(lǐng)導(dǎo)、中層領(lǐng)導(dǎo)和一般員工進行研討會，聽取他們對什么是重要的信息資產(chǎn)，以及當(dāng)前保護狀況的看法。如果評估范圍選的過大評估小組獲取和分析風(fēng)險相關(guān)的信息將會變的非常困難。還鏈接若干小型數(shù)據(jù)庫，保存患者信息、診斷記錄、檢查結(jié)果、帳單等信息 ?一個獨立的提供商： ABC Systems，提供MedSite的大部分 IT設(shè)備，并對 MedSite的 IT人員給予培訓(xùn)。 ? 遵從 OCTAVE準則的方法不只一種。 務(wù) 的目錄 向前看 用發(fā)展的眼光看待問題，要考慮隨著時間和環(huán)境變化而引起的當(dāng)前不確定的風(fēng)險 中關(guān)注風(fēng)險 集中精力在少數(shù)關(guān)鍵資產(chǎn)上 不可能面面俱到，什么都保護。 ? 原則共有 10條，分成 3類 ?信息安全風(fēng)險評估原則 ? 自評估、可適應(yīng)措施、已定義的過程、 評估過程連續(xù)性 ?風(fēng)險管理原則 ? 向前看、集中精力在少數(shù)關(guān)鍵資產(chǎn)上、整體管理 ?組織和文化原則 ? 開放交流、全局觀念、集體合作 OCTAVE 的原則、屬性和輸出 OCTAVE 的原則、屬性和輸出 ? 什么是屬性（ Attribute）？ ? 屬性：評估的一些顯著特點和特征 ? 是對評估的一些要求 。信息安全工程學(xué) 六、 OCTAVE風(fēng)險評估方法 需要大家知道的 ? 什么是 OCTAVE？ ?什么是 OCTAVE準則（ Criterion） ? ?什么是 OCTAVE方法（ Method）？ ?二者的關(guān)系？