OCTAVE Process 3明确员工层认识 MSE安全攻防培训资料.docVIP

阶段3：明确员工层认识Process 3: Identify Staff Knowledge 描述Description 目的Purpose: 明确员工层对企业重要资产的认识，对资产如何受到威胁的了解，以及资产的安全需求，现在已经采取得保护措施以及和保护该资产相关的问题。 人员Who’s Involved: 风险评估小组以及企业的员工 数据流程图Data Flow Diagram  阶段指南Process Guidelines 阶段3：明确员工层认识 Process 2: Identify Operational Area Management Knowledge 时间 2 hr 30 min – 3 hr 30 min 目标Objectives 确定员工层的资产； 确定最重要的员工层的资产； 确定员工层关心的范围； 确定员工层的资产的安全需求； 确定员工层对现有保护措施的观点； 确定员工层对企业薄弱点的认识。 风险评估组职责Analysis Team Roles 现场工作由风险评估组推动。 项目负责人负责引导项目的实施，组织调查和讨论。 书记员完成所有信息的录入工作。 项目组其他成员负责协助项目负责人完成所有实施步骤。 合作者职责Participants’ Roles 合作者由企业的员工组成，负责提供相关信息。 所需资料Materials Required 企业的策略和流程 组织结构图 企业必须遵守的相关法律、法规和相关制度 所需的调查表 资产调查表(W3.1) 关注范围调查表(W3.2) 安全需求调查表(W3.3) 员工层调查表 (W3.4) IT员工调查表（W3.4 IT） 保护措施调查表(W3.5) 实施结果Summary of Workshop Outputs 按优先级排列的员工层资产(O3.1) 员工层关注的范围(O3.2) 员工层资产的安全需求(O3.3) 员工层调查结果(O3.4) 员工层现行的保护措施(O3.5) 员工层组织的漏洞(O3.6) 工程实施During the Workshop 步骤Activity 描述Description 调查表Worksheets 调查表介绍 项目负责人向员工介绍实施的目的和主要内容，并推动整个实施的运行。 --- A3.1 确定员工层资产和优先级 员工标识企业使用的资产，并选出最重要的资产，并对选取原则进行讨论。 资产调查表 (W3.1) A3.2 确定员工层关心的范围 员工标识对重要资产可能的威胁以及威胁对企业的潜在影响。 关心的范围调查表(W3.2) A3.3 明确对重要资产的安全需求 员工给出重要资产的安全需求，并且选出每一个重要资产的最重要的安全需求。 安全需求调查表(W3.3) A3.4 获得员工层对现行保护措施的观点和存在的漏洞 员工完成如下调查：哪些制度已被员工执行了，哪些未被执行，并进行进一步对细节进行讨论。 员工层调查(W3.4) 保护措施调查表(W3.5) A3.6 与第二阶段结果讨论和工作总结 进行第三阶段工作总结。 --- Process 3 Workshop 介绍 本活动中使用的工作表 活动的输出 活动时间 --- --- 15 min 基本指南 本工程的参与者是机构的员工层 描述你是谁以及工程目的，要求参与者自我介绍以及描述他们要做什么 简要描述你所处的OCTAVE的工作阶段。 为员工层描述成功的意义，讨论目标和工程的最终结果，需要他们生成： 对机构任务很重要的资产列表 五个最重要的资产的列表 对最重要资产造成威胁的情况列表 最重要资产的安全需求 当前机构用来保护重要资产的 保护策略 机构漏洞，缺少或不充分的保护策略行动 向员工层强调信息安全是各学科间的处理过程，不仅仅是信息技术问题。  A3.1 确定员工层资产和优先级 本活动中使用的工作表 活动的输出 活动时间 资产表 (W3.1) 具有优先级的员工层资产 (O3.1) 30-45 分钟 基本指南 资产是对机构有价值的东西，信息安全风险评估集中在鉴别信息对机构任务是否重要，辨别最有意义信息的唯一方法是询问机构的工作人员（所有级别的员工） 说明关键资产的重要性，例如，如果一个机构管理者知道关键资产是什么，就可以使用他的有限资源来保护关键资产。要强调的是机构中所有人能作的事就是保护关键资产（遵循策略、使用好的方法等） 资产可以分为下列几类： 信息 – 记录的（纸质的或电子的）信息或智能资产 系统 – 存储和处理信息的信息系统。系统是信息、软件和硬件资产的结合，任何主机、客户机、服务器或者网络都可以被看作是系统。 软件 – 软件应用程序（操作系统、数据库应用程序、网络软件、办公应用程序等） 硬件 – 信息