本书从信息安全风险管理的基本概念入手,以信息安全风险管理标准——ISO/IEC 27005《信息技术—安全技术—信息安全风险管理》为主线,全面介绍了信息安全风险管理相关国际标准和国家标准;详细介绍了信息安全风险管理的环境建立,发展战略和业务识别,资产识别,威胁识别,脆弱性识别,已有安全措施识别;还介绍了风险分析,风险评价及风险评估输出,风险处置,沟通与咨询、监视与评审等内容;并给出了信息安全风险管理综合实例。本书还重点讲解了脆弱性识别中的物理脆弱性识别、网络脆弱性识别、系统脆弱性识别、应用脆弱性识别、数据脆弱性识别和管理脆弱性识别等内容。本书力图通过小案例与综合实例,理论联系实践,使读者了解、掌握和运用信息安全风险管理的理论与实践方法。本书是信息安全保障人员认证信息安全风险管理方向的培训教材,面向政府部门、企事业单位从事信息安全风险管理或风险评估的专业人员,也适用于信息安全专业人士、大学生或对信息安全风险管理感兴趣的读者使用。
内容简介
序言
前言
本书相关标准名称与书写规范
第1章 概述
1.1 风险和风险管理
1.2 信息安全风险管理
1.3 信息安全风险评估
1.4 小结
习题
第2章 信息安全风险管理相关标准
2.1 标准化组织
2.2 风险管理标准ISO31000
2.3 信息安全风险管理标准ISO/IEC27005
2.4 信息安全风险评估规范GB/T20984
2.5 小结
习题
第3章 环境建立
3.1 环境建立概述
3.2 环境建立过程
3.3 环境建立文档
3.4 风险评估准备
3.5 项目管理基础
3.6 小结
习题
第4章 发展战略和业务识别
4.1 风险识别概述
4.2 发展战略和业务识别内容
4.3 发展战略和业务识别方法和工具
4.4 发展战略和业务识别过程和输出
4.5 发展战略和业务识别案例
4.6 小结
习题
第5章 资产识别
5.1 资产识别内容
5.2 资产识别方法和工具
5.3 资产识别过程和输出
5.4 资产识别案例
5.5 小结
习题
第6章 威胁识别
6.1 威胁识别内容
6.2 威胁识别方法和工具
6.3 威胁识别过程和输出
6.4 威胁识别案例
6.5 小结
习题
第7章 脆弱性识别
7.1 脆弱性识别概述
7.2 物理脆弱性识别
7.3 网络脆弱性识别
7.4 系统脆弱性识别
7.5 应用脆弱性识别
7.6 数据脆弱性识别
7.7 管理脆弱性识别
7.8 小结
习题
第8章 已有安全措施识别
8.1 已有安全措施识别内容
8.2 已有安全措施识别与确认方法和工具
8.3 已有安全措施识别与确认过程
8.4 已有安全措施识别输出
8.5 已有安全措施识别案例
8.6 小结
习题
第9章 风险分析
9.1 风险分析概述
9.2 风险计算
9.3 风险分析案例
9.4 小结
习题
第10章 风险评价及风险评估输出
10.1 风险评价概述
10.2 风险评价判定
10.3 风险评价示例
10.4 风险评估文档输出
10.5 被评估对象生命周期各阶段的风险评估
10.6 风险评估报告示例
10.7 小结
习题
第11章 风险处置
11.1 风险处置概述
11.2 风险处置准备
11.3 风险处置实施
11.4 风险处置效果评价
11.5 风险处置案例
11.6 风险接受
11.7 批准留存
11.8 小结
习题
第12章 沟通与咨询、监视与评审
12.1 沟通与咨询
12.2 监视与评审
12.3 小结
习题
第13章 信息安全风险管理综合实例
13.1 实例介绍
13.2 环境建立
13.3 风险评估准备
13.4 风险识别
13.5 风险分析与评价
13.6 风险处置
13.7 沟通与咨询、监视与评审
13.8 风险管理报告
13.9 小结
习题
附录A 风险评估方法
附录B 风险评估工具
附录C 信息安全相关法律法规
参考文献
