9.2.1基于标准的风险分析 2.CMU SEI(卡耐基梅隆大学软件工程研究院)的OCTAVE CMU SEI提出的操作型关键威肋，评级以及漏洞评估系统(OCTAVE)。它是一个标 识和管理信息安全风险的框架，由一套基于风险的信息安全策略评价和规划工具、技 术和方法组成。同时它定义了一种允许组织标识信息资产的综合评估方法从而设计和 实现保护策略来减少信息资产的整体风险。 OCTAVE方法使用三阶段方法来检查组织和技术问题。这种方法主要关注：发现关键 的评估标准以及对这些评估的威胁；发现人员组织上和技术上的弱点，面临的威胁、 风险。开发基于实践的保护策略，抵御风险的规划，优先级等。 2. CMU SEI（卡耐基梅隆大学软件工程研究院）的OCTAVE • CMU SEI提出的操作型关键威胁，评级以及漏洞评估系统（OCTAVE）。它是一个标 识和管理信息安全风险的框架，由一套基于风险的信息安全策略评价和规划工具、技 术和方法组成。同时它定义了一种允许组织标识信息资产的综合评估方法从而设计和 实现保护策略来减少信息资产的整体风险。 • OCTAVE方法使用三阶段方法来检查组织和技术问题。这种方法主要关注：发现关键 的评估标准以及对这些评估的威胁；发现人员组织上和技术上的弱点，面临的威胁、 风险。开发基于实践的保护策略，抵御风险的规划，优先级等。 9.2.1 基于标准的风险分析