思乐风险评估方案

     思乐公司通过信息安全管理体系建设项目的实施，将美国卡内基.梅隆大学软件工程研究所开发的信息安全管理方法——OCTAVE方法消化吸收为思乐的咨询项目实施理念，融入到思乐的信息安全管理体系建设的运作模式中，形成一套较为完整的信息安全评估方法，即思乐方法。它已经运用于铁道部信息安全管理体系建设项目中，成为思乐核心竞争力的重要内涵。

　　思乐方法定义了一个全面的、系统的、前后呼应的、能驾驭信息安全风险评估的基本构成。按照思乐方法，每个组织可以根据关键信息技术资产的保密性、完整性和可用性，作出对组织信息的保护决策。敦促运营部门（或业务部门）和IT部门一起落实组织自身的信息安全需求。

　　1.思乐方法的流程

　　2.思乐方法的依据

　　ISO 17799

　　BS 7799-2:2002

　　ISO 13335:IT安全管理指南

　　AS/NZS 4360:风险管理（澳大利亚/新西兰国家标准）

　　ISO 15408：信息技术安全性评估准则

　　OCTAVE（The Operationally Critical Threat, Asset, and Vulnerability Evaluation），风险评估实施指南

　　3.思乐方法的基本框架：

　　4.思乐方法的实施步骤：

　　思乐方法按照3段法，检查组织层面上的问题和技术层面上的问题，以绘出一个全面的企业信息安全需求图。OCTAVE的阶段如下：

　　阶段一：建立基于资产的威胁概要文件

　　这个阶段是对组织层面进行评估。通过对组织内关键技术领域的调查，识别出重要的信息资产、这些资产所受的威胁、它们的安全需求、组织目前的资产保护措施（保护策略实施条例）、以及组织的方针和实施条例中的弱点（组织的脆弱性）。

　　阶段二：识别基础设施的脆弱性

　　这个阶段是对信息基础设施进行评估。检查信息技术基础设施的关键操作组份，以找出能导致未授权行为的薄弱环节（技术脆弱性）。

　　阶段三：制定安全策略与计划

　　这个阶段要进行风险分析。分析由组织层面评估和信息基础设施评估（阶段一和阶段二）所产生的信息，以识别出企业所面临的风险，评估这些风险对该组织的主要任务的影响。另外，还需制订出针对最高优先级风险的保护策略和风险缓解计划。

　　5.思乐方法的实施过程：

　　思乐方法的每一阶段都包含两个，或两个以上的过程。每个阶段包含的过程为：

　　阶段一：建立基于资产的威胁概要文件

　　过程1：识别高级管理者的认识

　　过程2：识别运营领域的认识

　　过程3：识别员工的认识

　　过程4：创建威胁概要文件

　　阶段二：识别基础设施的脆弱性

　　过程5：识别关键部件

　　过程6：评估所选部件

　　阶段三：制定安全策略与计划

　　过程7：执行风险分析

　　过程8：制订保护策略

　　6.思乐方法的主要特征：

　　6.1 自主性

　　思乐方法是基于组织自身实现的。由思乐公司和组织内人员组成的一个小组（称为项目组）管理项目全过程和分析所有的信息。策划组织的人员积极参与了决策过程。

　　思乐公司在外保风险评估时，动员组织内的人员参与决策全过程。充分了解组织潜在的风险假设或者风险出现的可能性，加入科学的、系统的判断，与组织内的员工一起思考，形成的任何决议都要经过评估再被采纳，共同承担起信息安全的责任，以便这些改进在组织内制度化地实行。

最新热点		最新推荐		相关文章
				网络信息安全---风险评估简单… 宝德科技校园网网络安全解决… 宝德科技校园网网络安全解决… 风险评估让安全尽在掌握（… 风险评估让安全尽在掌握（基…