OCTAVE风险评估方法(ppt 71页)

OCTAVE风险评估方法目录：
一、什么是OCTAVE？
二、OCTAVE准则（Criterion）
三、OCTAVE方法（Method）

 

OCTAVE风险评估方法内容提要：
什么是OCTAVE？
Operationally Critical Threat, Asset, and Vulnerability Evaluation
卡内基-梅隆大学，软件工程学院（SEI）
定义了一套唯一的准则，说明OCTAVE风险评估的原则、属性，和评估应该输出的信息
可以有多种符合OCTAVE准则的评估方法，只要依照该方法进行的评估能够输出OCTAVE准则要求的输出信息。
OCTAVE是一种“自我导向（Self-Oriented）”的风险评估，即由组织内部的人员对组织自身进行评估
OCTAVE是一种组合评估途径
先对组织范围内的信息资产进行基线评估，再对“关键资产（Critical Assets）”进行详细评估
OCTAVE强调了管理因素，即风险评估要同时从组织层面（较高抽象层次）和技术层面（较低抽象层次）来进行
OCTAVE评估的3个阶段：
阶段1：建立基于资产的威胁文件（Build Asset-Based Threat Profiles）
阶段2：识别基础设施脆弱性（Identify Infrastructure Vulnerabilities）
阶段3：制定安全战略和（风险控制）计划（Develop Security Strategy and Plans）

..............................