信息资产风险评估研究.pdfVIP

引入OCTAVE方法的企业 信息资产风险评估研究 赵 杨 (武汉大学 信息管理学院，湖北 武汉430072) 摘 要 ：OCTAVE是一种系统的、操作性强的风险评估方法，能帮助企业有效实现对信息资产的风险评估 。从风险 评估对企业信息资产的重要性 出发 ，介绍 了OCTAVE方法 的基本定义和其在信息资产风险评估 中所具备的优势，然后 详细论述 了OCTAVE方法在企业信息资产风险评估 中的具体应用。 关键词 ：OCTAVE；企业信息资产 ；风险评估 中图分类号：F273．4 文献标识码：A 文章编号：1001—7348(2006)04—012l一03 和可用性的关键前提，因此对加强企业信息 2．2 0CTAVE方法用于信息资产风险评估 1 企业信息资产风险评估的重要性 系统的安全保护能力，提升整个企业 的核心 的优势 随着信息技术 的迅猛发展 ，信息在社会 竞争力都起着至关重要 的作用。 在企业进行信息资产风险评估的过程 生产和人类生活 中正发挥着 13益重要 的作 中采用何种方法对评估的有效性有着举足 2 OCTAVE方法概述 用 尤其在企业 中，信息资源作为一项特殊的 轻重 的作用。评估方法的选择直接影响到评 资产止被广泛庇用于企业的各项生产经营活 2．1 0CTAVE的定义 估过程 的每个环节 ，甚至可以左右最终的评 动中，为企业创造丁可观的收益。由于企业内 OCTAVE (OperationallyCriticalTreat， 估结果，所以企业必须根据 自身的具体情 的信息资产具有非消耗性、共享性、积累性和 Asset，andVulnerabilityEvaluation，可操作性 况，选择合适的风险评估方法 ．目前有关风 增值性等特点，冈此是构成企业核心竞争力 关键威胁评估和脆弱性评估)是 由美 国卡耐 险评估的方法很多，如常用的因子分析法、 的关键因素，在企业应对竞争全球化和实现 基 ·梅隆大学软件工程研究所下属的CERT 等风险图法 、逻辑分析法、德尔菲法等，但这 可持续性发展方面起到了良好的促进作用 。 协调中心开发的用来定义一种系统的、企业 些方法摹本都是采用 “自下而上”的评估模 信息资产对企业的重要性决定了企业管理者 范围内的风险评估方法 【“。OCFAVE首先强 式，即从分析企业 内的信息基础设施开始 ， 必须加强对它的管理和保护 ，为企业 的稳定 调的是 0一可操作性 ，其次是C一关键性．也 主要强调系统上和技术上存在的威胁性和 运行和业务流程的顺利实施提供可靠的保 就是说，它最注重风险评估方法的可操作 脆弱性，而没有充分考虑企业在、l务流程实 障。然而随着企业办公 自动化、网络化程度的 性 ，其次对引起安全风险的关键性凶素也很 施过程中应用信息资产所存在的风险。与这 不断加大，网络的开放性和企业信息系统潜 关注 OCTAVE的核心是 自主原则，即由企 类风险评估方法不同，OCTAVE方法着眼于 在的安全隐患使企业的信息资产面临着一系 业 内部的人员来指导和实施该企业 的信息 企业 自身并能有效识别 出企业所需保护的 列安全风险。为了有效规避和控制这砦安全 资产风险评估 ，从而使企业能够更全面的把 信息资产对象。明确它存在风险的原因，然 风险，企业必须对其 内部的信息资产进行风 握 自身信息资产 的安全需求 。同时 ，OC— 后开发出技术与实践相结合 的解决方案II。 险评估，即依据有关的信息技术标准和方法 TAVE方法要求一个涵盖各专业 的综合分析 我们可 以将 OCTAVE方法 中的信息资产驱 策略对信息资产面临的威胁、存在的弱点以 团队米执行风险评估