OCTAVE風險評估方法(ppt 71頁)

OCTAVE風險評估方法目錄：
一、什麼是OCTAVE？
二、OCTAVE準則（Criterion）
三、OCTAVE方法（Method）

OCTAVE風險評估方法內容提要：
什麼是OCTAVE？
Operationally Critical Threat, Asset, and Vulnerability Evaluation
卡內基-梅隆大學，軟件工程學院（SEI）
定義了一套唯一的準則，說明OCTAVE風險評估的原則、屬性，和評估應該輸出的信息
可以有多種符合OCTAVE準則的評估方法，隻要依照該方法進行的評估能夠輸出OCTAVE準則要求的輸出信息。
OCTAVE是一種“自我導向（Self-Oriented）”的風險評估，即由組織內部的人員對組織自身進行評估
OCTAVE是一種組合評估途徑
先對組織範圍內的信息資產進行基線評估，再對“關鍵資產（Critical Assets）”進行詳細評估
OCTAVE強調了管理因素，即風險評估要同時從組織層麵（較高抽象層次）和技術層麵（較低抽象層次）來進行
OCTAVE評估的3個階段：
階段1：建立基於資產的威脅文件（Build Asset-Based Threat Profiles）
階段2：識別基礎設施脆弱性（Identify Infrastructure Vulnerabilities）
階段3：製定安全戰略和（風險控製）計劃（Develop Security Strategy and Plans）

..............................