掃一掃
關注中圖網
官方微博
本類五星書更多>
-
>
全國計算機等級考試最新真考題庫模擬考場及詳解·二級MSOffice高級應用
-
>
決戰行測5000題(言語理解與表達)
-
>
軟件性能測試.分析與調優實踐之路
-
>
第一行代碼Android
-
>
JAVA持續交付
-
>
EXCEL最強教科書(完全版)(全彩印刷)
-
>
深度學習
信息安全風險管理與實踐 版權信息
- ISBN:9787121422638
- 條形碼:9787121422638 ; 978-7-121-42263-8
- 裝幀:一般膠版紙
- 冊數:暫無
- 重量:暫無
- 所屬分類:>
信息安全風險管理與實踐 本書特色
信息安全保障人員學習與實踐指導,網絡安全認證考試參考全面介紹了信息安全風險管理相關國際標準和國家標準;詳細介紹了信息安全風險管理內容;并給出了信息安全風險管理綜合實例網絡安全工作從業者必讀、網絡安全滲透測試方向認證考試指導 本書緊扣信息安全風險管理主線,涵蓋了信息安全風險管理的各個環節,并依據*新頒布的國際和國家標準,結合信息安全風險管理*佳實踐,對相關課程內容進行了大規模的修訂完善和補充調整,以滿足IT從業者和人員培訓認證的學習需要,幫助從事網絡安全技術崗位和管理崗位的人員提升信息安全風險管理能力。——魏 昊中國網絡安全審查技術與認證中心
信息安全風險管理與實踐 內容簡介
本書從信息安全風險管理的基本概念入手,以信息安全風險管理標準――ISO/IEC 27005《信息技術―安全技術―信息安全風險管理》為主線,全面介紹了信息安全風險管理相關國際標準和國家標準;詳細介紹了信息安全風險管理的環境建立,發展戰略和業務識別,資產識別,威脅識別,脆弱性識別,已有安全措施識別;還介紹了風險分析,風險評價及風險評估輸出,風險處置,溝通與咨詢、監視與評審等內容;并給出了信息安全風險管理綜合實例。本書還重點講解了脆弱性識別中的物理脆弱性識別、網絡脆弱性識別、系統脆弱性識別、應用脆弱性識別、數據脆弱性識別和管理脆弱性識別等內容。本書力圖通過小案例與綜合實例,理論聯系實踐,使讀者了解、掌握和運用信息安全風險管理的理論與實踐方法。 本書是信息安全保障人員認證信息安全風險管理方向的培訓教材,面向政府部門、企事業單位從事信息安全風險管理或風險評估的專業人員,也適用于信息安全專業人士、大學生或對信息安全風險管理感興趣的讀者使用。
信息安全風險管理與實踐 目錄
第1章 概述 1
1.1 風險和風險管理 1
1.1.1 風險 1
1.1.2 風險的基本特性 2
1.1.3 風險的構成要素 4
1.1.4 風險管理 5
1.2 信息安全風險管理 8
1.2.1 信息安全 8
1.2.2 信息安全風險 13
1.2.3 信息安全風險管理 15
1.3 信息安全風險評估 19
1.3.1 信息安全風險評估的定義 19
1.3.2 信息安全風險評估的目的和意義 19
1.3.3 信息安全風險評估的原則 20
1.3.4 信息安全風險評估過程 21
1.3.5 信息安全風險管理與風險評估的關系 21
1.4 小結 22
習題 22
第2章 信息安全風險管理相關標準 23
2.1 標準化組織 23
2.1.1 國際的標準化組織 23
2.1.2 部分國家的標準化組織及相關標準 25
2.1.3 我國信息安全風險管理標準體系框架 29
2.2 風險管理標準ISO 31000 30
2.2.1 風險管理歷史沿革 30
2.2.2 ISO 31000:2018主要內容 32
2.2.3 新舊版本標準比較 38
2.3 信息安全風險管理標準ISO/IEC 27005 39
2.3.1 ISO/IEC 27000系列標準 39
2.3.2 ISO/IEC 27005版本的演化 39
2.3.3 ISO/IEC 27005:2018標準主要內容 40
2.3.4 ISO 31000與ISO/IEC 27005的比較 43
2.4 信息安全風險評估規范GB/T 20984 44
2.4.1 我國信息安全風險評估發展歷程 44
2.4.2 GB/T 20984規范主要內容 45
2.4.3 GB/T 20984與ISO 31000與ISO/IEC 27005的關系 53
2.5 小結 54
習題 54
第3章 環境建立 55
3.1 環境建立概述 55
3.1.1 環境建立定義 55
3.1.2 環境建立目的和依據 56
3.1.3 基本準則 57
3.1.4 范圍和邊界 58
3.1.5 信息安全風險管理組織 58
3.2 環境建立過程 59
3.2.1 風險管理準備 59
3.2.2 調查與分析 63
3.2.3 信息安全分析 64
3.2.4 基本原則確立 65
3.2.5 實施規劃 66
3.3 環境建立文檔 67
3.4 風險評估準備 67
3.4.1 確定信息安全風險評估的目標 68
3.4.2 確定信息安全風險評估的范圍 68
3.4.3 組建風險評估團隊 69
3.4.4 進行系統調研 72
3.4.5 確定信息安全風險評估依據和方法 72
3.4.6 選定評估工具 73
3.4.7 制定信息安全風險評估方案 73
3.4.8 準備階段工作保障 74
3.5 項目管理基礎 75
3.5.1 項目管理概述 75
3.5.2 項目管理的重點知識領域 77
3.5.3 項目生命周期 93
3.5.4 項目管理過程 95
3.6 小結 97
習題 98
第4章 發展戰略和業務識別 99
4.1 風險識別概述 99
4.1.1 風險識別的定義 99
4.1.2 風險識別的原則 101
4.1.3 風險識別的方法工具 101
4.2 發展戰略和業務識別內容 102
4.2.1 發展戰略識別 102
4.2.2 業務識別內容 104
4.2.3 發展戰略、業務與資產關系 105
4.2.4 發展戰略識別和業務識別的目的和意義 106
4.3 發展戰略和業務識別方法和工具 106
4.3.1 發展戰略識別方法和工具 106
4.3.2 業務識別方法和工具 107
4.4 發展戰略和業務識別過程和輸出 108
4.4.1 發展戰略識別過程和輸出 108
4.4.2 業務識別過程和輸出 109
4.5 發展戰略和業務識別案例 113
4.5.1 發展戰略識別 113
4.5.2 業務識別與業務賦值 114
4.6 小結 115
習題 116
第5章 資產識別 117
5.1 資產識別內容 117
5.1.1 資產識別的定義 117
5.1.2 資產分類 118
5.1.3 資產賦值 119
5.2 資產識別方法和工具 122
5.2.1 資產識別方法 122
5.2.2 資產識別工具 124
5.3 資產識別過程和輸出 125
5.3.1 資產識別過程 125
5.3.2 資產識別輸出 128
5.4 資產識別案例 128
5.5 小結 133
習題 134
第6章 威脅識別 135
6.1 威脅識別內容 135
6.1.1 威脅識別定義 135
6.1.2 威脅屬性 135
6.1.3 威脅分類 136
6.1.4 威脅賦值 137
6.2 威脅識別方法和工具 140
6.2.1 威脅識別方法 140
6.2.2 威脅識別工具 143
6.3 威脅識別過程和輸出 143
6.3.1 威脅識別過程 143
6.3.2 威脅識別輸出 150
6.4 威脅識別案例 150
6.5 小結 152
習題 153
第7章 脆弱性識別 154
7.1 脆弱性識別概述 154
7.1.1 脆弱性識別定義 154
7.1.2 脆弱性賦值 158
7.1.3 脆弱性識別原則 158
7.1.4 脆弱性識別方法和工具 159
7.2 物理脆弱性識別 162
7.2.1 物理安全相關定義 162
7.2.2 物理脆弱性識別內容 165
7.2.3 物理脆弱性識別方法和工具 176
7.2.4 物理脆弱性識別過程 180
7.2.5 物理脆弱性識別案例 182
7.3 網絡脆弱性識別 184
7.3.1 網絡安全相關定義 184
7.3.2 網絡脆弱性識別內容 190
7.3.3 網絡脆弱性識別方法和工具 197
7.3.4 網絡脆弱性識別過程 199
7.3.5 網絡脆弱性識別案例 200
7.4 系統脆弱性識別 204
7.4.1 系統安全相關定義 204
7.4.2 系統脆弱性識別內容 211
7.4.3 系統脆弱性識別方法和工具 216
7.4.4 系統脆弱性識別過程 221
7.4.5 系統脆弱性識別案例 222
7.5 應用脆弱性識別 227
7.5.1 應用中間件安全和應用系統安全的相關定義 227
7.5.2 應用中間件和應用系統脆弱性識別內容 237
7.5.3 應用中間件和應用系統脆弱性識別方法和工具 244
7.5.4 應用中間件和應用系統脆弱性識別過程 247
7.5.5 應用中間件和應用系統脆弱性識別案例 248
7.6 數據脆弱性識別 250
7.6.1 數據安全的相關定義 250
7.6.2 數據脆弱性識別內容 259
7.6.3 數據脆弱性識別方法和工具 260
7.6.4 數據脆弱性識別過程 261
7.6.5 數據脆弱性識別案例 261
7.7 管理脆弱性識別 263
7.7.1 管理安全相關定義 263
7.7.2 管理脆弱性識別內容 265
7.7.3 管理脆弱性識別方法
和工具 271
7.7.4 管理脆弱性識別過程 277
7.7.5 管理脆弱性識別案例 278
7.8 小結 285
習題 285
第8章 已有安全措施識別 286
8.1 已有安全措施識別內容 286
8.1.1 已有安全措施識別的
相關定義 286
8.1.2 與其他風險評估階段的關系 288
8.1.3 已有安全措施有效性確認 289
8.2 已有安全措施識別與確認方法和工具 290
8.2.1 已有安全措施識別與確認的方法 290
8.2.2 已有安全措施識別與確認的工具 294
8.3 已有安全措施識別與確認過程 295
8.3.1 已有安全措施識別與確認原則 295
8.3.2 管理和操作控制措施識別與確認過程 296
8.3.3 技術性控制措施識別與確認過程 297
8.4 已有安全措施識別輸出 299
8.5 已有安全措施識別案例 299
8.5.1 案例背景描述 299
8.5.2 案例實施過程 300
8.5.3 案例輸出 303
8.6 小結 305
習題 305
第9章 風險分析 306
9.1 風險分析概述 306
9.1.1 風險分析的定義 306
9.1.2 風險分析的地位 306
9.1.3 風險分析原理 306
9.1.4 風險分析流程 308
9.2 風險計算 314
9.2.1 風險計算原理 314
9.2.2 使用矩陣法計算風險 316
9.2.3 使用相乘法計算風險 321
9.3 風險分析案例 323
9.3.1 基本情況描述 323
9.3.2 高層信息安全風險評估 325
9.3.3 詳細信息安全風險評估 326
9.3.4 風險計算 327
9.4 小結 328
習題 328
第10章 風險評價及風險評估輸出 329
10.1 風險評價概述 329
10.1.1 風險評價定義 329
10.1.2 風險評價方法準則 329
10.1.3 風險評價方法 330
10.2 風險評價判定 332
10.2.1 資產風險評價 332
10.2.2 業務風險評價 333
10.2.3 風險評價結果 333
10.3 風險評價示例 334
10.3.1 從多角度進行風險評價 334
10.3.2 信息系統總體風險評價 335
10.4 風險評估文檔輸出 336
10.4.1 風險評估文檔記錄要求 337
10.4.2 風險評估文檔的主要內容 337
10.5 被評估對象生命周期各階段的風險評估 338
10.5.1 被評估對象的生命周期 338
10.5.2 規劃階段的風險評估 338
10.5.3 設計階段的風險評估 339
10.5.4 實施階段的風險評估 340
10.5.5 運維階段的風險評估 340
10.5.6 廢棄階段的風險評估 341
10.6 風險評估報告示例 342
10.7 小結 343
習題 343
第11章 風險處置 344
11.1 風險處置概述 344
11.1.1 風險處置定義 344
11.1.2 風險處置目的和依據 344
11.1.3 風險處置原則 345
11.1.4 風險處置方式 345
11.2 風險處置準備 347
11.2.1 確定風險處置范圍和邊界 348
11.2.2 明確風險處置角色和責任 348
11.2.3 確定風險處置目標 349
11.2.4 選擇風險處置方式 350
11.2.5 制定風險處置計劃 350
11.2.6 獲得決策層批準 350
11.3 風險處置實施 351
11.3.1 風險處置方案制定 352
11.3.2 風險處置方案實施 359
11.3.3 殘余風險處置與評估 361
11.3.4 風險處置相關文檔 361
11.4 風險處置效果評價 362
11.4.1 評價原則 363
11.4.2 評價方法 363
11.4.3 評價方案 364
11.4.4 評價實施 364
11.4.5 持續改進 365
11.5 風險處置案例 365
11.5.1 項目背景 365
11.5.2 風險處置準備 366
11.5.3 風險處置實施 368
11.5.4 風險處置效果評價 374
11.6 風險接受 376
11.6.1 風險接受定義 376
11.6.2 風險接受準則 376
11.7 批準留存 377
11.7.1 批準留存定義 377
11.7.2 批準留存原則 377
11.7.3 批準留存過程 378
11.8 小結 381
習題 381
第12章 溝通與咨詢、監視與評審 384
12.1 溝通與咨詢 384
12.1.1 溝通與咨詢定義 384
12.1.2 溝通與咨詢目的、意義 384
12.1.3 溝通與咨詢方式 385
12.1.4 溝通與咨詢過程 386
12.1.5 溝通與咨詢文檔 389
12.2 監視與評審 390
12.2.1 監視與評審定義 390
12.2.2 監視與評審目的、意義 390
12.2.3 監視與評審的內容 390
12.2.4 監視與評審過程 392
12.2.5 監視與評審文檔 394
12.3 小結 395
習題 395
第13章 信息安全風險管理綜合實例 396
13.1 案例背景 396
13.1.1 案例背景 396
13.1.2 實施思路 397
13.2 環境建立 397
13.2.1 風險管理準備 397
13.2.2 風險管理對象調查與分析 398
13.2.3 風險管理對象安全分析 399
13.2.4 確定風險管理的基本原則 399
13.2.5 制定風險管理的實施規劃 400
13.2.6 輸出成果 401
13.3 風險評估準備 401
13.3.1 制定風險評估計劃 401
13.3.2 進行系統調研 402
13.3.3 確定風險評估工具 403
13.3.4 制定風險評估方案 403
13.3.5 獲得支持 403
13.4 風險識別 404
13.4.1 發展戰略、業務識別 404
13.4.2 資產識別 406
13.4.3 威脅識別 406
13.4.4 脆弱性識別 407
13.4.5 已有安全措施識別 410
13.4.6 輸出成果 410
13.5 風險分析與評價 410
13.5.1 風險分析 411
13.5.2 風險計算 413
13.5.3 風險評價 416
13.5.4 輸出成果 418
13.6 風險處置 418
13.6.1 風險處置準備 418
13.6.2 風險處置實施 419
13.6.3 風險處置效果評價 420
13.6.4 輸出成果 420
13.7 溝通與咨詢、監視與評審 421
13.7.1 溝通與咨詢 421
13.7.2 監視與評審 421
13.7.3 輸出成果 422
13.8 風險管理報告 422
13.9 小結 422
習題 423
附錄A 風險評估方法 424
附錄B 風險評估工具 427
附錄C 信息安全相關法律法規 430
參考文獻 432
1.1 風險和風險管理 1
1.1.1 風險 1
1.1.2 風險的基本特性 2
1.1.3 風險的構成要素 4
1.1.4 風險管理 5
1.2 信息安全風險管理 8
1.2.1 信息安全 8
1.2.2 信息安全風險 13
1.2.3 信息安全風險管理 15
1.3 信息安全風險評估 19
1.3.1 信息安全風險評估的定義 19
1.3.2 信息安全風險評估的目的和意義 19
1.3.3 信息安全風險評估的原則 20
1.3.4 信息安全風險評估過程 21
1.3.5 信息安全風險管理與風險評估的關系 21
1.4 小結 22
習題 22
第2章 信息安全風險管理相關標準 23
2.1 標準化組織 23
2.1.1 國際的標準化組織 23
2.1.2 部分國家的標準化組織及相關標準 25
2.1.3 我國信息安全風險管理標準體系框架 29
2.2 風險管理標準ISO 31000 30
2.2.1 風險管理歷史沿革 30
2.2.2 ISO 31000:2018主要內容 32
2.2.3 新舊版本標準比較 38
2.3 信息安全風險管理標準ISO/IEC 27005 39
2.3.1 ISO/IEC 27000系列標準 39
2.3.2 ISO/IEC 27005版本的演化 39
2.3.3 ISO/IEC 27005:2018標準主要內容 40
2.3.4 ISO 31000與ISO/IEC 27005的比較 43
2.4 信息安全風險評估規范GB/T 20984 44
2.4.1 我國信息安全風險評估發展歷程 44
2.4.2 GB/T 20984規范主要內容 45
2.4.3 GB/T 20984與ISO 31000與ISO/IEC 27005的關系 53
2.5 小結 54
習題 54
第3章 環境建立 55
3.1 環境建立概述 55
3.1.1 環境建立定義 55
3.1.2 環境建立目的和依據 56
3.1.3 基本準則 57
3.1.4 范圍和邊界 58
3.1.5 信息安全風險管理組織 58
3.2 環境建立過程 59
3.2.1 風險管理準備 59
3.2.2 調查與分析 63
3.2.3 信息安全分析 64
3.2.4 基本原則確立 65
3.2.5 實施規劃 66
3.3 環境建立文檔 67
3.4 風險評估準備 67
3.4.1 確定信息安全風險評估的目標 68
3.4.2 確定信息安全風險評估的范圍 68
3.4.3 組建風險評估團隊 69
3.4.4 進行系統調研 72
3.4.5 確定信息安全風險評估依據和方法 72
3.4.6 選定評估工具 73
3.4.7 制定信息安全風險評估方案 73
3.4.8 準備階段工作保障 74
3.5 項目管理基礎 75
3.5.1 項目管理概述 75
3.5.2 項目管理的重點知識領域 77
3.5.3 項目生命周期 93
3.5.4 項目管理過程 95
3.6 小結 97
習題 98
第4章 發展戰略和業務識別 99
4.1 風險識別概述 99
4.1.1 風險識別的定義 99
4.1.2 風險識別的原則 101
4.1.3 風險識別的方法工具 101
4.2 發展戰略和業務識別內容 102
4.2.1 發展戰略識別 102
4.2.2 業務識別內容 104
4.2.3 發展戰略、業務與資產關系 105
4.2.4 發展戰略識別和業務識別的目的和意義 106
4.3 發展戰略和業務識別方法和工具 106
4.3.1 發展戰略識別方法和工具 106
4.3.2 業務識別方法和工具 107
4.4 發展戰略和業務識別過程和輸出 108
4.4.1 發展戰略識別過程和輸出 108
4.4.2 業務識別過程和輸出 109
4.5 發展戰略和業務識別案例 113
4.5.1 發展戰略識別 113
4.5.2 業務識別與業務賦值 114
4.6 小結 115
習題 116
第5章 資產識別 117
5.1 資產識別內容 117
5.1.1 資產識別的定義 117
5.1.2 資產分類 118
5.1.3 資產賦值 119
5.2 資產識別方法和工具 122
5.2.1 資產識別方法 122
5.2.2 資產識別工具 124
5.3 資產識別過程和輸出 125
5.3.1 資產識別過程 125
5.3.2 資產識別輸出 128
5.4 資產識別案例 128
5.5 小結 133
習題 134
第6章 威脅識別 135
6.1 威脅識別內容 135
6.1.1 威脅識別定義 135
6.1.2 威脅屬性 135
6.1.3 威脅分類 136
6.1.4 威脅賦值 137
6.2 威脅識別方法和工具 140
6.2.1 威脅識別方法 140
6.2.2 威脅識別工具 143
6.3 威脅識別過程和輸出 143
6.3.1 威脅識別過程 143
6.3.2 威脅識別輸出 150
6.4 威脅識別案例 150
6.5 小結 152
習題 153
第7章 脆弱性識別 154
7.1 脆弱性識別概述 154
7.1.1 脆弱性識別定義 154
7.1.2 脆弱性賦值 158
7.1.3 脆弱性識別原則 158
7.1.4 脆弱性識別方法和工具 159
7.2 物理脆弱性識別 162
7.2.1 物理安全相關定義 162
7.2.2 物理脆弱性識別內容 165
7.2.3 物理脆弱性識別方法和工具 176
7.2.4 物理脆弱性識別過程 180
7.2.5 物理脆弱性識別案例 182
7.3 網絡脆弱性識別 184
7.3.1 網絡安全相關定義 184
7.3.2 網絡脆弱性識別內容 190
7.3.3 網絡脆弱性識別方法和工具 197
7.3.4 網絡脆弱性識別過程 199
7.3.5 網絡脆弱性識別案例 200
7.4 系統脆弱性識別 204
7.4.1 系統安全相關定義 204
7.4.2 系統脆弱性識別內容 211
7.4.3 系統脆弱性識別方法和工具 216
7.4.4 系統脆弱性識別過程 221
7.4.5 系統脆弱性識別案例 222
7.5 應用脆弱性識別 227
7.5.1 應用中間件安全和應用系統安全的相關定義 227
7.5.2 應用中間件和應用系統脆弱性識別內容 237
7.5.3 應用中間件和應用系統脆弱性識別方法和工具 244
7.5.4 應用中間件和應用系統脆弱性識別過程 247
7.5.5 應用中間件和應用系統脆弱性識別案例 248
7.6 數據脆弱性識別 250
7.6.1 數據安全的相關定義 250
7.6.2 數據脆弱性識別內容 259
7.6.3 數據脆弱性識別方法和工具 260
7.6.4 數據脆弱性識別過程 261
7.6.5 數據脆弱性識別案例 261
7.7 管理脆弱性識別 263
7.7.1 管理安全相關定義 263
7.7.2 管理脆弱性識別內容 265
7.7.3 管理脆弱性識別方法
和工具 271
7.7.4 管理脆弱性識別過程 277
7.7.5 管理脆弱性識別案例 278
7.8 小結 285
習題 285
第8章 已有安全措施識別 286
8.1 已有安全措施識別內容 286
8.1.1 已有安全措施識別的
相關定義 286
8.1.2 與其他風險評估階段的關系 288
8.1.3 已有安全措施有效性確認 289
8.2 已有安全措施識別與確認方法和工具 290
8.2.1 已有安全措施識別與確認的方法 290
8.2.2 已有安全措施識別與確認的工具 294
8.3 已有安全措施識別與確認過程 295
8.3.1 已有安全措施識別與確認原則 295
8.3.2 管理和操作控制措施識別與確認過程 296
8.3.3 技術性控制措施識別與確認過程 297
8.4 已有安全措施識別輸出 299
8.5 已有安全措施識別案例 299
8.5.1 案例背景描述 299
8.5.2 案例實施過程 300
8.5.3 案例輸出 303
8.6 小結 305
習題 305
第9章 風險分析 306
9.1 風險分析概述 306
9.1.1 風險分析的定義 306
9.1.2 風險分析的地位 306
9.1.3 風險分析原理 306
9.1.4 風險分析流程 308
9.2 風險計算 314
9.2.1 風險計算原理 314
9.2.2 使用矩陣法計算風險 316
9.2.3 使用相乘法計算風險 321
9.3 風險分析案例 323
9.3.1 基本情況描述 323
9.3.2 高層信息安全風險評估 325
9.3.3 詳細信息安全風險評估 326
9.3.4 風險計算 327
9.4 小結 328
習題 328
第10章 風險評價及風險評估輸出 329
10.1 風險評價概述 329
10.1.1 風險評價定義 329
10.1.2 風險評價方法準則 329
10.1.3 風險評價方法 330
10.2 風險評價判定 332
10.2.1 資產風險評價 332
10.2.2 業務風險評價 333
10.2.3 風險評價結果 333
10.3 風險評價示例 334
10.3.1 從多角度進行風險評價 334
10.3.2 信息系統總體風險評價 335
10.4 風險評估文檔輸出 336
10.4.1 風險評估文檔記錄要求 337
10.4.2 風險評估文檔的主要內容 337
10.5 被評估對象生命周期各階段的風險評估 338
10.5.1 被評估對象的生命周期 338
10.5.2 規劃階段的風險評估 338
10.5.3 設計階段的風險評估 339
10.5.4 實施階段的風險評估 340
10.5.5 運維階段的風險評估 340
10.5.6 廢棄階段的風險評估 341
10.6 風險評估報告示例 342
10.7 小結 343
習題 343
第11章 風險處置 344
11.1 風險處置概述 344
11.1.1 風險處置定義 344
11.1.2 風險處置目的和依據 344
11.1.3 風險處置原則 345
11.1.4 風險處置方式 345
11.2 風險處置準備 347
11.2.1 確定風險處置范圍和邊界 348
11.2.2 明確風險處置角色和責任 348
11.2.3 確定風險處置目標 349
11.2.4 選擇風險處置方式 350
11.2.5 制定風險處置計劃 350
11.2.6 獲得決策層批準 350
11.3 風險處置實施 351
11.3.1 風險處置方案制定 352
11.3.2 風險處置方案實施 359
11.3.3 殘余風險處置與評估 361
11.3.4 風險處置相關文檔 361
11.4 風險處置效果評價 362
11.4.1 評價原則 363
11.4.2 評價方法 363
11.4.3 評價方案 364
11.4.4 評價實施 364
11.4.5 持續改進 365
11.5 風險處置案例 365
11.5.1 項目背景 365
11.5.2 風險處置準備 366
11.5.3 風險處置實施 368
11.5.4 風險處置效果評價 374
11.6 風險接受 376
11.6.1 風險接受定義 376
11.6.2 風險接受準則 376
11.7 批準留存 377
11.7.1 批準留存定義 377
11.7.2 批準留存原則 377
11.7.3 批準留存過程 378
11.8 小結 381
習題 381
第12章 溝通與咨詢、監視與評審 384
12.1 溝通與咨詢 384
12.1.1 溝通與咨詢定義 384
12.1.2 溝通與咨詢目的、意義 384
12.1.3 溝通與咨詢方式 385
12.1.4 溝通與咨詢過程 386
12.1.5 溝通與咨詢文檔 389
12.2 監視與評審 390
12.2.1 監視與評審定義 390
12.2.2 監視與評審目的、意義 390
12.2.3 監視與評審的內容 390
12.2.4 監視與評審過程 392
12.2.5 監視與評審文檔 394
12.3 小結 395
習題 395
第13章 信息安全風險管理綜合實例 396
13.1 案例背景 396
13.1.1 案例背景 396
13.1.2 實施思路 397
13.2 環境建立 397
13.2.1 風險管理準備 397
13.2.2 風險管理對象調查與分析 398
13.2.3 風險管理對象安全分析 399
13.2.4 確定風險管理的基本原則 399
13.2.5 制定風險管理的實施規劃 400
13.2.6 輸出成果 401
13.3 風險評估準備 401
13.3.1 制定風險評估計劃 401
13.3.2 進行系統調研 402
13.3.3 確定風險評估工具 403
13.3.4 制定風險評估方案 403
13.3.5 獲得支持 403
13.4 風險識別 404
13.4.1 發展戰略、業務識別 404
13.4.2 資產識別 406
13.4.3 威脅識別 406
13.4.4 脆弱性識別 407
13.4.5 已有安全措施識別 410
13.4.6 輸出成果 410
13.5 風險分析與評價 410
13.5.1 風險分析 411
13.5.2 風險計算 413
13.5.3 風險評價 416
13.5.4 輸出成果 418
13.6 風險處置 418
13.6.1 風險處置準備 418
13.6.2 風險處置實施 419
13.6.3 風險處置效果評價 420
13.6.4 輸出成果 420
13.7 溝通與咨詢、監視與評審 421
13.7.1 溝通與咨詢 421
13.7.2 監視與評審 421
13.7.3 輸出成果 422
13.8 風險管理報告 422
13.9 小結 422
習題 423
附錄A 風險評估方法 424
附錄B 風險評估工具 427
附錄C 信息安全相關法律法規 430
參考文獻 432
展開全部
信息安全風險管理與實踐 作者簡介
曹雅斌,畢業于清華大學機械工程系。長期負責質量安全管理和認證認可領域的政策法規、制度體系建設以及測評、認證工作的組織實施。現任職于中國網絡安全審查技術與認證中心,負責網絡信息安全人員培訓與認證工作。尤其,中國網絡安全審查技術與認證中心(原中國信息安全認證中心)培訓與人員認證部副主任,高級工程師。《信息技術 安全技術 信息安全管理體系 要求》《信息技術 安全技術 信息安全管理體系 控制實踐指南》《公共安全 業務連續性管理體系 要求》《公共安全 業務連續性管理系 ?指南》等多項國家標準、行業標準主要起草人之一;出版信息安全管理體系專著1 部。國際標準化組織 ISO/IEC SC27/WG1(信息技術 安全技術 信息安全管理國際標準起草組) 注冊專家;中國合格評定國家認可委員會(CNAS)信息安全專業委員會秘書長。何志明,現任北京紅戎信安技術有限公司總經理,負責公司運營和信息安全風險管理培訓工作,參與了教材編寫、課件講義制作、授課和教學實踐,了解和掌握信息安全風險管理的基礎知識和基本技能,有網絡與信息安全從業20多年的經歷,對網絡安全現狀及發展趨勢有獨立見解,對網絡安全企業經營有豐富的管理經驗。
書友推薦
- >
小考拉的故事-套裝共3冊
- >
我從未如此眷戀人間
- >
新文學天穹兩巨星--魯迅與胡適/紅燭學術叢書(紅燭學術叢書)
- >
名家帶你讀魯迅:朝花夕拾
- >
李白與唐代文化
- >
姑媽的寶刀
- >
經典常談
- >
企鵝口袋書系列·偉大的思想20:論自然選擇(英漢雙語)
本類暢銷
