課件風(fēng)險(xiǎn)管理

1、一、標(biāo)準(zhǔn)化組織二、風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)三、風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)四、風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)五、信息系統(tǒng)風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)按照地域劃分國際風(fēng)險(xiǎn)管理中國風(fēng)險(xiǎn)管理分會(huì)對應(yīng)關(guān)系要點(diǎn)習(xí)題國際標(biāo)準(zhǔn)化組織區(qū)域標(biāo)準(zhǔn)化組織標(biāo)準(zhǔn)化組織行業(yè)標(biāo)準(zhǔn)化組織 國際標(biāo)準(zhǔn)化組織（ISO） 國際電工委員會(huì)（IEC） 歐洲標(biāo)準(zhǔn)化委員會(huì)（CEN） 歐洲電工標(biāo)準(zhǔn)化委員會(huì)（CENELEC） 歐洲電信標(biāo)準(zhǔn)學(xué)會(huì)（ETSI） 太平洋地區(qū)標(biāo)準(zhǔn)大會(huì)（PASC） 泛美技術(shù)標(biāo)準(zhǔn)委員會(huì)（COPANT） 非洲地區(qū)標(biāo)準(zhǔn)化組織（ARSO） 美國標(biāo)準(zhǔn)學(xué)會(huì) 美國電氣電子工程師學(xué)會(huì)（IEEE）（ANSI） 英國標(biāo)準(zhǔn)學(xué)會(huì)（BSI） 德國標(biāo)準(zhǔn)化學(xué)會(huì)（DIN） 法國標(biāo)準(zhǔn)化學(xué)會(huì)（AFNOR） 美國航空航天

2、局 國際電信（ITU）（NASA） 美國國防部（DOD） 中國國防科學(xué)技術(shù)工業(yè)委員會(huì)（GJB） 互聯(lián)網(wǎng)工程特別工作組（IETF） 工業(yè)標(biāo)準(zhǔn)會(huì)（JISC） 中國標(biāo)準(zhǔn)化管理委員會(huì)（SAC） 地方標(biāo)準(zhǔn)企業(yè)標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)化組織（International Organization for Standardization， ISO）成立于1947年，總部設(shè)在日內(nèi)瓦，是一個(gè)全球性的非組織。ISO現(xiàn)有會(huì)員國162個(gè)，技術(shù)委員會(huì)（SC）611個(gè)，工作組（WG）2022 個(gè)，特別工作組38個(gè)。1978年中國加入ISO，2008年成為常任理事國，2013年當(dāng)選ISO。more國際標(biāo)準(zhǔn)國際電工委員會(huì)（Internat

3、ional Electrotechnical Commission，IEC） 成立于1906年，總部設(shè)在日內(nèi)瓦，是一個(gè)全球性的非組織。IEC 現(xiàn)有成員國60個(gè)，技術(shù)委員會(huì)（TC）97個(gè)，分技術(shù)委員會(huì)（SC）77個(gè)。1957年中國加入IEC，2011年中國成為常任理事國。more 國際標(biāo)準(zhǔn)化組織（ISO） 國際電工委員會(huì)（IEC） 國際電信（ITU） 國際互聯(lián)網(wǎng)工程任務(wù)工作組（IETF） 國際電信（Internationalmunication Union，ITU）成立于1865年，總部設(shè)在日內(nèi)瓦，1947年成為15個(gè)專門機(jī)構(gòu)之一。ITU現(xiàn)有成員國193個(gè)，部門成員700多個(gè)。1920年中國加入

4、ITU，1972年恢復(fù)合法席位，2014年，的5月17日是世界電信日（World當(dāng)選國際電信新一任長。每年munication Day）。moreISO/IEC國際標(biāo)準(zhǔn)化組織/國際電工委員會(huì)1.2.3.4.Joint TechnicalCommitteemitteeJTC 1/SC 27第一技術(shù)委員會(huì)TC 258項(xiàng)目、及組合管TC 262風(fēng)險(xiǎn)管理技術(shù)委員會(huì)/安全技術(shù)分技術(shù)委員會(huì)理技術(shù)委員會(huì)/1987年由ISO/TC97、IEC/TC47/SC47B、IEC/TC83合并成立， 處成員體是美國的ANSI。more2011年成立，處設(shè)在美國ANSI， 成員國36個(gè)，觀察員國11個(gè)， 已發(fā)布標(biāo)準(zhǔn)2個(gè)

5、。more2011年成立，處設(shè)在英國BSI， 參加國45個(gè)，觀察員國11個(gè)， 已發(fā)布標(biāo)準(zhǔn)4個(gè)。moremore美國標(biāo)準(zhǔn)學(xué)會(huì)（American National Standards Institute，ANSI）成立于1918年，總部設(shè)在紐約，是一個(gè)非贏利性質(zhì)的民間標(biāo)準(zhǔn)化團(tuán)體。ANSI現(xiàn)有學(xué)會(huì)、ANSI由執(zhí)行董事會(huì)會(huì)和處。等團(tuán)體會(huì)員約200個(gè)，公司（企業(yè)）會(huì)員約1400個(gè)。，下設(shè)四個(gè)委員會(huì)：學(xué)術(shù)委員會(huì)、董事會(huì)、成員議more標(biāo)準(zhǔn)英國標(biāo)準(zhǔn)學(xué)會(huì)（British Standards Institution，BSI）成立于1901年，總部設(shè)在，是一個(gè)非機(jī)SI有五大業(yè)務(wù)部門（標(biāo)準(zhǔn)部等），四 美國標(biāo)準(zhǔn)學(xué)會(huì)大

6、業(yè)務(wù)（商務(wù)信息服務(wù)、管理體系認(rèn)證服務(wù)、服務(wù)業(yè)務(wù)、驗(yàn)證檢驗(yàn)服務(wù)），管理著24萬個(gè)現(xiàn)行英國標(biāo)準(zhǔn)和2500個(gè)專業(yè)標(biāo)準(zhǔn)委員會(huì)，參加標(biāo)準(zhǔn)委（ANSI） 英國標(biāo)準(zhǔn)學(xué)會(huì)（BSI） 德國標(biāo)準(zhǔn)化學(xué)會(huì)（DIN） 法國標(biāo)準(zhǔn)化學(xué)會(huì)（AFNOR）員會(huì)成員達(dá)23萬多名，BSI正在進(jìn)行著7000多個(gè)標(biāo)準(zhǔn)項(xiàng)目的研發(fā)。more中國標(biāo)準(zhǔn)化管理委員會(huì)（Standardization Administration of the工業(yè)標(biāo)準(zhǔn)會(huì)Peoples，SAC）成立于2001年10月，總部設(shè)在北（JISC）京，為管理的直屬事業(yè)，履行的行政管理職 中國標(biāo)準(zhǔn)化管理委員會(huì)（SAC）能，統(tǒng)一管理標(biāo)準(zhǔn)化工作。SAC現(xiàn)有技術(shù)委員會(huì)537個(gè)，管理著

7、現(xiàn)行標(biāo)準(zhǔn)32727個(gè)。more中國標(biāo)準(zhǔn)化管理委員會(huì)SAC：Standardization Administration of the Peoples1.2.3.4.TC 343/SC1項(xiàng)目管理 標(biāo)準(zhǔn)化技術(shù)委員會(huì)/成熟度評估分技術(shù)委 員會(huì)2008 年5 月30 日成立，處設(shè)在中國標(biāo)準(zhǔn)化，由40名委員、2 名顧問組成。SC1由20 名委員組成， 處設(shè) 在上海市院。國際電信ITU：International munication Union1865國際電工委員會(huì)IEC：International Electrotechnical Commission1906國際標(biāo)準(zhǔn)化組織ISO：Internatio

8、nal Organizationfor Standardization 1947電氣和電子工程師學(xué)會(huì)IEEE：Institute of Electrical and Electronics Engineers1963中國標(biāo)準(zhǔn)化管理委員會(huì)2001SAC：StandardizationAdministration of the Peoples1GB/T 23694-2013 風(fēng)險(xiǎn)管理 術(shù)語 ISO Guide 73：2009，Risk Management VocabularyGB/T 24353-2009 風(fēng)險(xiǎn)管理 原則與實(shí)施指南 ISO 31000：2009，Risk management P

9、rinciples and guidelinesGB/T 24420-2009 供應(yīng)鏈風(fēng)險(xiǎn)管理指南 風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系中的2風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)化技術(shù)委員會(huì)SAC TC 310國際標(biāo)準(zhǔn)化組織風(fēng)險(xiǎn)管理技術(shù)委員會(huì)ISO TC 2623GB/T 26317-2010 公司治理風(fēng)險(xiǎn)管理指南 4重要基礎(chǔ)類標(biāo)準(zhǔn)5GB/T 27914-2011 企業(yè)法律風(fēng)險(xiǎn)管理指南 GB/T 27921-2011 風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)評估技術(shù) IEC 31010：2009，Risk management Risk assessment techniques ISO/TR 31004：2013， Risk management Guidan

10、ce for the implementation ofISO 310006第5課項(xiàng)目啟動(dòng)第6風(fēng)第風(fēng)原Monitoring and reviewCommunication and consultation7明確狀況第威（Establishing the監(jiān)識context）第9險(xiǎn)第1第1風(fēng)險(xiǎn)處置過程風(fēng)險(xiǎn)應(yīng)對（Risk treatment）風(fēng)險(xiǎn)評估風(fēng)風(fēng)險(xiǎn)評價(jià)（Risk evaluation）風(fēng)險(xiǎn)分析（Risk analysis）風(fēng)險(xiǎn)識別（Risk identification）12課測評審監(jiān)測和評審（0課險(xiǎn)評價(jià)）1課8課脅溝脆別通和協(xié)調(diào)（課分析）資產(chǎn)弱性3課第4課險(xiǎn)管理風(fēng)險(xiǎn)管理則框架框架框架的檢測

11、和評審（Monitoring and review of the framework）實(shí)施風(fēng)險(xiǎn)管理（Implementing Risk management）框架的持續(xù)改進(jìn)（Continual improvement of the framework）風(fēng)險(xiǎn)管理框架設(shè)計(jì)（Design of framework for managing risk）指令和承諾（Mandate and commitment）1. 創(chuàng)造價(jià)值（Creates value）2. 融入組織管理過程（Integral part of organizational processes）3. 支持決策過程（Part of deci

12、sion making）4. 明晰解決不確定問題（Explicitly addresses uncertainty）5. 系統(tǒng)性、結(jié)構(gòu)化和及時(shí)性的方法（Systematic, structured and timely）6. 基于最可用信息（Based on the best available information）7. 量體裁衣（Tailored）8. 考慮人文因素（Takes human and cultural factors into account）9. 透明和包容（Transparent and inclusive）10. 動(dòng)態(tài)、迭代和應(yīng)對變化（Dynamic, iterati

13、ve and responsive to change）11. 實(shí)現(xiàn)組織的持續(xù)改進(jìn)和強(qiáng)化（Facilitates continual improvement and enhancement of the organization）原則2004 Management of information and communications technologyTR： TechnicalReportsecurity Part 1: Concepts and ms for Information andGB/T 19715.1-2005安全概念和模型 安全管理指南第Co1m部mu分ni：cations T

14、echnology1(ICT) security managementISO/IEC TR 13335. 1：1996Information technology Guidelines for themanagement of IT security Part 1：Concepts and ms of IT security國際標(biāo)準(zhǔn)化組織 第一技術(shù)委員會(huì)/安全技術(shù)分技術(shù)委員會(huì)GB/T 19715.2-2005安全管理指南 第2部分： 2標(biāo)準(zhǔn)化技術(shù)委員會(huì)SAC TC 260管理和安全I(xiàn)SO/IEC TR 13335. 2：1997 Information technology Guideline

15、s for the management of IT security - Part 2：Managing and planning IT securityISOJTC 1/SC 27Z：指導(dǎo)GB/Z 24364-2009技術(shù)風(fēng)險(xiǎn)管理指南 3ISO /IEC 27005：2011 Information Technology - Securit替y 代techniques -Information security risk managementISO/IEC TR 13335. 3：1998 Information technology GuidelinIenIsSOf/oIrECt1h8e

16、028-4:2005 -management of IT security Part 3： Techniques for the manafgoermmaetinotnotef cIhTnsoelocguyritySecurity techniques - ITISO/IEC TR 13335. 4：2000 Information technology Guidelinneestwfoorrk stehceurity - Part 4:management of IT security Part 4： Selection of safeguards Securing remote acces

17、sISO/IEC TR 13335. 5：2001 Information technology Guidelines for the management of IT security Part 5： Management guidance on network security利用增加increase增加increase防止降低reduce增加increase指出indicate增加increase被滿足擁有價(jià)值（因而有潛在的業(yè)務(wù)影響）（IMPACTS）保護(hù)要求（PROTECTION REQUEREMENT）資產(chǎn)（ASSETS）風(fēng)險(xiǎn)（RISKS）防護(hù)措施（SAFEGUARDS）脆弱性（VU

18、LNERABILITIES）威脅（THREATS）No風(fēng)險(xiǎn)評估是否滿足要求？YesNo風(fēng)險(xiǎn)處置是否滿足要求？Yes風(fēng)險(xiǎn)接受（Risk acceptance）Risk monitoring and reviewRisk communication7. 確定范疇7.1. 總則7.2. 基本準(zhǔn)則7.3. 范圍和邊界7.4. 的組織架構(gòu)8.風(fēng)險(xiǎn)評估8.1.風(fēng)險(xiǎn)評估綜述8.2.風(fēng)險(xiǎn)分析8.2.1. 風(fēng)險(xiǎn)識別8.2.2. 風(fēng)險(xiǎn)估算8.3.風(fēng)險(xiǎn)評價(jià)9. 風(fēng)險(xiǎn)處置9.1.風(fēng)險(xiǎn)處置綜述9.2.風(fēng)險(xiǎn)降低9.3. 風(fēng)險(xiǎn)保持9.4. 風(fēng)險(xiǎn)回避9.5. 風(fēng)險(xiǎn)轉(zhuǎn)移10. 風(fēng)險(xiǎn)的接受11.風(fēng)險(xiǎn)的12.監(jiān)視和評審輸入活動(dòng)實(shí)施

19、指南輸出風(fēng)險(xiǎn)評價(jià)準(zhǔn)則則風(fēng)險(xiǎn)接受準(zhǔn)則范圍和邊界組織架構(gòu)a) 支持ISMSb) 符合法律和盡職的證據(jù)c) 準(zhǔn)備業(yè)務(wù)連續(xù)性計(jì)劃d) 準(zhǔn)備響應(yīng)計(jì)劃e) 描述某個(gè)、服務(wù)或機(jī)制對的要求7. 確定范疇7.1. 總則7.2. 基本準(zhǔn)則7.3. 范圍和邊界7.4. 的組織架構(gòu)8.風(fēng)險(xiǎn)評估8.1.風(fēng)險(xiǎn)評估綜述8.2.風(fēng)險(xiǎn)分析8.2.1. 風(fēng)險(xiǎn)識別8.2.2. 風(fēng)險(xiǎn)估算8.3.風(fēng)險(xiǎn)評價(jià)9. 風(fēng)險(xiǎn)處置9.1.風(fēng)險(xiǎn)處置綜述9.2.風(fēng)險(xiǎn)降低9.3. 風(fēng)險(xiǎn)保持9.4. 風(fēng)險(xiǎn)回避9.5. 風(fēng)險(xiǎn)轉(zhuǎn)移10. 風(fēng)險(xiǎn)的接受11.風(fēng)險(xiǎn)的12.監(jiān)視和評審活動(dòng)實(shí)施指南輸出輸入資產(chǎn)識別威脅識別已有措施識別脆弱性識別后果的識別風(fēng)險(xiǎn)估算辦法后果

20、的評估評估可能性風(fēng)險(xiǎn)級別的估算風(fēng)險(xiǎn)評價(jià)措施效果的一個(gè)方式是看 措施怎樣降低威脅發(fā)生的可能性、消除 的脆弱點(diǎn)或降低的影響。7. 確定范疇7.1. 總則7.2. 基本準(zhǔn)則7.3. 范圍和邊界7.4. 的組織架構(gòu)8.風(fēng)險(xiǎn)評估8.1.風(fēng)險(xiǎn)評估綜述8.2.風(fēng)險(xiǎn)分析8.2.1. 風(fēng)險(xiǎn)識別8.2.2. 風(fēng)險(xiǎn)估算8.3.風(fēng)險(xiǎn)評價(jià)9.風(fēng)險(xiǎn)處置9.1. 風(fēng)險(xiǎn)處置綜述9.2. 風(fēng)險(xiǎn)降低9.3. 風(fēng)險(xiǎn)保持9.4. 風(fēng)險(xiǎn)回避9.5. 風(fēng)險(xiǎn)轉(zhuǎn)移10.風(fēng)險(xiǎn)的接受11.風(fēng)險(xiǎn)的12.監(jiān)視和評審風(fēng)險(xiǎn)評估結(jié)果（Risk Assessment Results）令人滿意的評估（Satisfactory assessment）令人滿意的

21、處置（Satisfactorytreatment）風(fēng)險(xiǎn)處置Risk treatment殘余風(fēng)險(xiǎn)（Residual Risks）風(fēng)險(xiǎn)轉(zhuǎn)移（Risk transfer）風(fēng)險(xiǎn)回避（Risk avoidance）風(fēng)險(xiǎn)保持（Risk retention）風(fēng)險(xiǎn)降低（Risk reduction）風(fēng)險(xiǎn)處置選項(xiàng)（Risk treatment options）前言介紹 1.范圍2. 規(guī)范性文件3. 術(shù)語和定義4. 本國際標(biāo)準(zhǔn)的結(jié)構(gòu)5. 背景6. 風(fēng)險(xiǎn)管理過程概述7. 確定范疇7.1. 總則7.2. 基本準(zhǔn)則7.3. 范圍和邊界7.4. 的組織架構(gòu)8. 風(fēng)險(xiǎn)評估8.1. 風(fēng)險(xiǎn)評估綜述8.2.風(fēng)險(xiǎn)分析8.2.1.

22、風(fēng)險(xiǎn)識別8.2.2. 風(fēng)險(xiǎn)估算8.3.風(fēng)險(xiǎn)評價(jià)10.風(fēng)險(xiǎn)的接受11.風(fēng)險(xiǎn)的12.監(jiān)視和評審9. 風(fēng)險(xiǎn)處置9.1.風(fēng)險(xiǎn)處置綜述9.2.風(fēng)險(xiǎn)降低9.3. 風(fēng)險(xiǎn)保持9.4. 風(fēng)險(xiǎn)回避9.5. 風(fēng)險(xiǎn)轉(zhuǎn)移輸入活動(dòng)實(shí)施指南輸出輸入活動(dòng)實(shí)施指南輸出風(fēng)險(xiǎn)管理監(jiān)視、評審和改進(jìn)監(jiān)視和評審風(fēng)險(xiǎn)因子a) 法律和環(huán)境范疇b) 競爭范疇c) 風(fēng)險(xiǎn)評估方法d) 資產(chǎn)價(jià)值和分類e) 則f) 風(fēng)險(xiǎn)評價(jià)準(zhǔn)則g) 風(fēng)險(xiǎn)接受準(zhǔn)則h) 整體擁有成本i) 所需要的a) 新的資產(chǎn)被包含到風(fēng)險(xiǎn)管理范圍內(nèi)b) 資產(chǎn)價(jià)值的必要變更， 如因業(yè)務(wù)要求的變化c) 未被評估的、能夠在組織內(nèi)部和外部發(fā)生作用的新的威脅d) 新的或增加的脆弱點(diǎn)，以及威脅利用

23、這些新的或變化的脆弱點(diǎn)的可能性e) 確定被新的或再現(xiàn)的威脅所利用的已識別的脆弱點(diǎn)f) 已評估威脅、脆弱點(diǎn)的影響或后果的增大和風(fēng)險(xiǎn)的，形成令人無法接受的風(fēng)險(xiǎn)級別g)對組織風(fēng)險(xiǎn)管理過結(jié)果的持續(xù)的理解a) 為組織的風(fēng)險(xiǎn)管理成果提供信心b) 收集風(fēng)險(xiǎn)信息c) 風(fēng)險(xiǎn)評估的結(jié)果和展示風(fēng)險(xiǎn)處置計(jì)劃d) 為了避免或減少由于決策者和利益相關(guān)方之間缺乏相互理解，而導(dǎo)致的違背事項(xiàng)的發(fā)生和后果e) 為決策提供支持f) 獲得新的知識g) 與其它各方進(jìn)行協(xié)調(diào)，并計(jì)劃應(yīng)對措施以降低任何的可能性h) 為了讓決策者和利益相關(guān)方關(guān)于風(fēng)險(xiǎn)的責(zé)任i) 提高意識應(yīng)該在決策者和其他利益相關(guān)方之間進(jìn)行交換和/或共享有關(guān)風(fēng)險(xiǎn)的信息從風(fēng)險(xiǎn)管理

24、活動(dòng)中獲得的所有風(fēng)險(xiǎn)信息未能滿足正常風(fēng)險(xiǎn)接受準(zhǔn)則的，但被接受的風(fēng)險(xiǎn)，并附帶接受的理由風(fēng)險(xiǎn)處置計(jì)劃應(yīng)該描述怎樣處置被評估的風(fēng)險(xiǎn)以滿足風(fēng)險(xiǎn)接受準(zhǔn)則。承擔(dān)責(zé)任的管理者對被提議的風(fēng)險(xiǎn)處置計(jì)劃和隨之而來的殘余風(fēng)險(xiǎn)的評審和批準(zhǔn)，并記錄與批準(zhǔn)相關(guān)的任何先決條件。正式 風(fēng)險(xiǎn)接受決策的出臺(tái)和相關(guān)的決策責(zé)任將風(fēng)險(xiǎn)處置計(jì)劃和殘余風(fēng)險(xiǎn)的評估提交給組織的管理者以進(jìn)行接受風(fēng)險(xiǎn)的決策前言介紹 1.范圍2. 規(guī)范性文件3. 術(shù)語和定義4. 本國際標(biāo)準(zhǔn)的結(jié)構(gòu)5. 背景6. 風(fēng)險(xiǎn)管理過程概述7.4.的組織架構(gòu)7. 確定范疇7.1. 總則7.2. 基本準(zhǔn)則7.3. 范圍和邊界8.風(fēng)險(xiǎn)評估8.1.風(fēng)險(xiǎn)評估綜述8.2.風(fēng)險(xiǎn)分析8.2.

25、1. 風(fēng)險(xiǎn)識別8.2.2. 風(fēng)險(xiǎn)估算8.3.風(fēng)險(xiǎn)評價(jià)9. 風(fēng)險(xiǎn)處置9.1.風(fēng)險(xiǎn)處置綜述9.2.風(fēng)險(xiǎn)降低9.3. 風(fēng)險(xiǎn)保持9.4. 風(fēng)險(xiǎn)回避9.5. 風(fēng)險(xiǎn)轉(zhuǎn)移10.風(fēng)險(xiǎn)的接受11.風(fēng)險(xiǎn)的12.監(jiān)視和評審GB/T 18336.1-2008則 第1部分：簡介和一般模型安全技術(shù)安全性評估準(zhǔn)12009版ISO/IEC 15408-1：2005 Information technology Security techniques - Evaluation criteria for IT security - Part 1： Introduction and general mGB/T 18336.2-20

26、08則 第2部分：安全功能要求安全技術(shù)安全性評估準(zhǔn)國際標(biāo)準(zhǔn)化組織 第一技術(shù)委員會(huì)/安全技術(shù)分技術(shù)委員會(huì)ISO JTC 1/SC 272標(biāo)準(zhǔn)化技術(shù)委員會(huì)SAC TC 260ISO/IEC 15408-2：2005 Information technology Security techniques - Evaluation criteria for IT security Part 2： Security functional componentsGB/T 18336.3-2008則 第3部分：安全保證要求安全技術(shù)安全性評估準(zhǔn)2008版3ISO /IEC 15408-3：2005 Informa

27、tion technology Security techniques - Evaluation criteria for IT security Part 3：Security assurance components2008版4GB/T 20984-2007技術(shù)風(fēng)險(xiǎn)評估規(guī)范美國卡耐基梅隆大學(xué)軟件工程CMU/SEIOCTAVE：Operationally Critical Threat , Asset , Vulnerability Evaluation2015版美國卡耐基梅隆大學(xué)軟件工程CMU/SEI1、OCTAVE 概述O：可操作性C：關(guān)鍵性T：威脅OperationallyCritic

28、alThreat , Asset , VulnerabilityEvaluationA：資產(chǎn)V：脆弱性E：評估2、OCTAVE 方法過程1過程2過程3過程4第一階段建立基于資產(chǎn)的威脅概要文件OCTAVE Phase 1, Build Enterprise-WideSecurity Requirements過程5過程6第二階段識別基礎(chǔ)設(shè)施的脆弱點(diǎn)OCTAVE Phase 2, Identify Infrastructure Vulnerabilities過程7過程8第三階段開發(fā)安全策略和計(jì)劃OCTAVE Phase 3, Determine Security Risk Management St

29、rategy4.1 風(fēng)險(xiǎn)要素關(guān)系業(yè)務(wù)戰(zhàn)略依賴具有脆弱性資產(chǎn)資產(chǎn)價(jià)值增加未被滿足利用成本增加導(dǎo)出威脅風(fēng)險(xiǎn)安全需求降低演變被滿足抵御安全殘余風(fēng)險(xiǎn)安全措施誘發(fā)未備注：方框表示風(fēng)險(xiǎn)評估的基本要素；圓框表示與基本要素相關(guān)的屬性。前言引言1 范圍2 規(guī)范性文件3 術(shù)語和定義5 風(fēng)險(xiǎn)評估實(shí)施5.1 風(fēng)險(xiǎn)評估準(zhǔn)備5.2 資產(chǎn)識別5.3 威脅識別5.4 脆弱性識別5.5 已有安全措施確認(rèn)5.6 風(fēng)險(xiǎn)分析5.7 風(fēng)險(xiǎn)評估文檔6 信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評估6.1 信息系統(tǒng)生命周期概述6.2 階段的風(fēng)險(xiǎn)評估6.3 設(shè)計(jì)階段的風(fēng)險(xiǎn)評估6.4 實(shí)施階段的風(fēng)險(xiǎn)評估6.5 運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評估6.6 廢棄階段的風(fēng)險(xiǎn)評

30、估7 風(fēng)險(xiǎn)評估的工作形式7.1 概述7.2 自評估7.3 檢查評估4 風(fēng)險(xiǎn)評估框架及流程4.1 風(fēng)險(xiǎn)要素關(guān)系4.2 風(fēng)險(xiǎn)分析原理4.3 實(shí)施流程前言引言1 范圍4.2 風(fēng)險(xiǎn)分析原理2 規(guī)范性文件3 術(shù)語和定義威脅的主體、影響對象和出現(xiàn)的頻率威脅識別5 風(fēng)險(xiǎn)評估實(shí)施5.1 風(fēng)險(xiǎn)評估準(zhǔn)備5.2 資產(chǎn)識別5.3 威脅識別5.4 脆弱性識別5.5 已有安全措施確認(rèn)安全能性的可脆弱性的嚴(yán)重程度風(fēng)險(xiǎn)值脆弱性識別安全的損5.6 風(fēng)險(xiǎn)分析失5.7 風(fēng)險(xiǎn)評估文檔6 信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評估6.1 信息系統(tǒng)生命周期概述6.2 階段的風(fēng)險(xiǎn)評估6.3 設(shè)計(jì)階段的風(fēng)險(xiǎn)評估6.4 實(shí)施階段的風(fēng)險(xiǎn)評估6.5 運(yùn)行維

31、護(hù)階段的風(fēng)險(xiǎn)評估6.6 廢棄階段的風(fēng)險(xiǎn)評估7 風(fēng)險(xiǎn)評估的工作形式7.1 概述7.2 自評估7.3 檢查評估資產(chǎn)識別資產(chǎn)價(jià)值4 風(fēng)險(xiǎn)評估框架及流程4.1 風(fēng)險(xiǎn)要素關(guān)系4.2 風(fēng)險(xiǎn)分析原理4.3 實(shí)施流程4.3 實(shí)施流程實(shí)施風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)分析是風(fēng)險(xiǎn)是否接受否是否接受否殘余風(fēng)險(xiǎn)是制訂和實(shí)施風(fēng)險(xiǎn)處理計(jì)劃并評估殘余風(fēng)險(xiǎn)保持已有安全措施風(fēng)險(xiǎn)計(jì)算已有安全措施確認(rèn)評估過程文檔1評估過程文檔2評估過程文檔N風(fēng)險(xiǎn)評估文件脆弱性識別威脅識別資產(chǎn)識別風(fēng)險(xiǎn)評估準(zhǔn)備前言引言1 范圍2 規(guī)范性文件3 術(shù)語和定義5 風(fēng)險(xiǎn)評估實(shí)施5.1 風(fēng)險(xiǎn)評估準(zhǔn)備5.2 資產(chǎn)識別5.3 威脅識別5.4 脆弱性識別5.5 已有安全措施確認(rèn)5.6

32、 風(fēng)險(xiǎn)分析5.7 風(fēng)險(xiǎn)評估文檔6 信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評估6.1 信息系統(tǒng)生命周期概述6.2 階段的風(fēng)險(xiǎn)評估6.3 設(shè)計(jì)階段的風(fēng)險(xiǎn)評估6.4 實(shí)施階段的風(fēng)險(xiǎn)評估6.5 運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評估6.6 廢棄階段的風(fēng)險(xiǎn)評估7 風(fēng)險(xiǎn)評估的工作形式7.1 概述7.2 自評估7.3 檢查評估4 風(fēng)險(xiǎn)評估框架及流程4.1 風(fēng)險(xiǎn)要素關(guān)系4.2 風(fēng)險(xiǎn)分析原理4.3 實(shí)施流程資威確產(chǎn)物脅定分理分風(fēng)目類環(huán)類險(xiǎn)標(biāo)境評估方案5風(fēng)險(xiǎn)評估實(shí)施資確產(chǎn)網(wǎng)預(yù)環(huán)定賦絡(luò)風(fēng)防境風(fēng)范值結(jié)險(xiǎn)性因險(xiǎn)圍構(gòu)計(jì)安素評估程序?yàn)橘Y團(tuán)軟險(xiǎn)產(chǎn)隊(duì)件結(jié)素識算全別原重性因賦資值果判完確應(yīng)保整定用風(fēng)可制技用定術(shù)參脆性方非管與威資獲組脅產(chǎn)得織賦已重支管值有

33、要持理安性全等措級施確認(rèn)表風(fēng)險(xiǎn)評估報(bào)告已有安全措施確認(rèn)評風(fēng)估險(xiǎn)過處程理計(jì)劃 風(fēng)文險(xiǎn)檔評1 估評估過程文檔2評估過程文檔N風(fēng)險(xiǎn)評估文件實(shí)施風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)計(jì)算是風(fēng)險(xiǎn)是否接受否是否接受否殘余風(fēng)險(xiǎn)是制訂和實(shí)施風(fēng)險(xiǎn)處理計(jì)劃并評估殘余風(fēng)險(xiǎn)保持已有安全措施脆弱性識別威脅識別資產(chǎn)識別風(fēng)險(xiǎn)評估準(zhǔn)備前言引言1 范圍2 規(guī)范性文件3 術(shù)語和定義4 風(fēng)險(xiǎn)評估框架及流程4.1 風(fēng)險(xiǎn)要素關(guān)系4.2 風(fēng)險(xiǎn)分析原理4.3 實(shí)施流程6 信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評估6.1 信息系統(tǒng)生命周期概述6.2 階段的風(fēng)險(xiǎn)評估6.3 設(shè)計(jì)階段的風(fēng)險(xiǎn)評估6.4 實(shí)施階段的風(fēng)險(xiǎn)評估6.5 運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評估6.6 廢棄階段的風(fēng)險(xiǎn)評

34、估7 風(fēng)險(xiǎn)評估的工作形式7.1 概述7.2 自評估7.3 檢查評估5 風(fēng)險(xiǎn)評估實(shí)施5.1 風(fēng)險(xiǎn)評估準(zhǔn)備5.2 資產(chǎn)識別5.3 威脅識別5.4 脆弱性識別5.5 已有安全措施確認(rèn)5.6 風(fēng)險(xiǎn)分析5.7 風(fēng)險(xiǎn)評估文檔輸入活動(dòng)實(shí)施指南輸出輸入活動(dòng)實(shí)施指南輸出風(fēng)險(xiǎn)管理監(jiān)視、評審和改進(jìn)監(jiān)視和評審風(fēng)險(xiǎn)因子a) 法律和環(huán)境范疇b) 競爭范疇c) 風(fēng)險(xiǎn)評估方法d) 資產(chǎn)價(jià)值和分類e) 則f) 風(fēng)險(xiǎn)評價(jià)準(zhǔn)則g) 風(fēng)險(xiǎn)接受準(zhǔn)則h) 整體擁有成本i) 所需要的a) 新的資產(chǎn)被包含到風(fēng)險(xiǎn)管理范圍內(nèi)b) 資產(chǎn)價(jià)值的必要變更， 如因業(yè)務(wù)要求的變化c) 未被評估的、能夠在組織內(nèi)部和外部發(fā)生作用的新的威脅d) 新的或增加的脆

35、弱點(diǎn)，以及威脅利用這些新的或變化的脆弱點(diǎn)的可能性e) 確定被新的或再現(xiàn)的威脅所利用的已識別的脆弱點(diǎn)f) 已評估威脅、脆弱點(diǎn)的影響或后果的增大和風(fēng)險(xiǎn)的，形成令人無法接受的風(fēng)險(xiǎn)級別g)對組織風(fēng)險(xiǎn)管理過結(jié)果的持續(xù)的理解a) 為組織的風(fēng)險(xiǎn)管理成果提供信心b) 收集風(fēng)險(xiǎn)信息c) 風(fēng)險(xiǎn)評估的結(jié)果和展示風(fēng)險(xiǎn)處置計(jì)劃d) 為了避免或減少由于決策者和利益相關(guān)方之間缺乏相互理解，而導(dǎo)致的違背事項(xiàng)的發(fā)生和后果e) 為決策提供支持f) 獲得新的知識g) 與其它各方進(jìn)行協(xié)調(diào)，并計(jì)劃應(yīng)對措施以降低任何的可能性h) 為了讓決策者和利益相關(guān)方關(guān)于風(fēng)險(xiǎn)的責(zé)任i) 提高意識應(yīng)該在決策者和其他利益相關(guān)方之間進(jìn)行交換和/或共享有關(guān)風(fēng)

36、險(xiǎn)的信息從風(fēng)險(xiǎn)管理活動(dòng)中獲得的所有風(fēng)險(xiǎn)信息未能滿足正常風(fēng)險(xiǎn)接受準(zhǔn)則的，但被接受的風(fēng)險(xiǎn)，并附帶接受的理由風(fēng)險(xiǎn)處置計(jì)劃應(yīng)該描述怎樣處置被評估的風(fēng)險(xiǎn)以滿足風(fēng)險(xiǎn)接受準(zhǔn)則。承擔(dān)責(zé)任的管理者對被提議的風(fēng)險(xiǎn)處置計(jì)劃和隨之而來的殘余風(fēng)險(xiǎn)的評審和批準(zhǔn)，并記錄與批準(zhǔn)相關(guān)的任何先決條件。正式 風(fēng)險(xiǎn)接受決策的出臺(tái)和相關(guān)的決策責(zé)任將風(fēng)險(xiǎn)處置計(jì)劃和殘余風(fēng)險(xiǎn)的評估提交給組織的管理者以進(jìn)行接受風(fēng)險(xiǎn)的決策前言介紹 1.范圍2. 規(guī)范性文件3. 術(shù)語和定義4. 本國際標(biāo)準(zhǔn)的結(jié)構(gòu)5. 背景6. 風(fēng)險(xiǎn)管理過程概述7.4.的組織架構(gòu)7. 確定范疇7.1. 總則7.2. 基本準(zhǔn)則7.3. 范圍和邊界8.風(fēng)險(xiǎn)評估8.1.風(fēng)險(xiǎn)評估綜述8.2.風(fēng)險(xiǎn)分析8.2.1. 風(fēng)險(xiǎn)識別8.2.2. 風(fēng)險(xiǎn)估算8.3.風(fēng)險(xiǎn)評價(jià)9. 風(fēng)