信息安全风险管理与实践电子书

内容简介

序言

前言

本书相关标准名称与书写规范

第1章 概述

1.1 风险和风险管理

1.1.1 风险

1.1.2 风险的基本特性

1.1.3 风险的构成要素

1.1.4 风险管理

1.2 信息安全风险管理

1.2.1 信息安全

1.2.2 信息安全风险

1.2.3 信息安全风险管理

1.3 信息安全风险评估

1.3.1 信息安全风险评估的定义

1.3.2 信息安全风险评估的目的和意义

1.3.3 信息安全风险评估的原则

1.3.4 信息安全风险评估过程

1.3.5 信息安全风险管理与风险评估的关系

1.4 小结

习题

第2章 信息安全风险管理相关标准

2.1 标准化组织

2.1.1 国际的标准化组织

2.1.2 部分国家的标准化组织及相关标准

2.1.3 我国信息安全风险管理标准体系框架

2.2 风险管理标准ISO 31000

2.2.1 风险管理历史沿革

2.2.2 ISO 31000：2018主要内容

2.2.3 新旧版本标准比较

2.3 信息安全风险管理标准ISO/IEC 27005

2.3.1 ISO/IEC 27000系列标准

2.3.2 ISO/IEC 27005版本的演化

2.3.3 ISO/IEC 27005：2018标准主要内容

2.3.4 ISO 31000与ISO/IEC 27005的比较

2.4 信息安全风险评估规范GB/T 20984

2.4.1 我国信息安全风险评估发展历程

2.4.2 GB/T 20984规范主要内容

2.4.3 GB/T 20984与ISO 31000和ISO/IEC 27005的关系

2.5 小结

习题

第3章 环境建立

3.1 环境建立概述

3.1.1 环境建立定义

3.1.2 环境建立目的和依据

3.1.3 基本准则

3.1.4 范围和边界

3.1.5 信息安全风险管理组织

3.2 环境建立过程

3.2.1 风险管理准备

3.2.2 调查与分析

3.2.3 信息安全分析

3.2.4 基本原则确立

3.2.5 实施规划

3.3 环境建立文档

3.4 风险评估准备

3.4.1 确定信息安全风险评估的目标

3.4.2 确定信息安全风险评估的范围

3.4.3 组建风险评估团队

3.4.4 进行系统调研

3.4.5 确定信息安全风险评估的依据和方法

3.4.6 选定评估工具

3.4.7 制定信息安全风险评估方案

3.4.8 准备阶段工作保障

3.5 项目管理基础

3.5.1 项目管理概述

3.5.2 项目管理的重点知识领域

3.5.3 项目生命周期

3.5.4 项目管理过程

3.6 小结

习题

第4章 发展战略和业务识别

4.1 风险识别概述

4.1.1 风险识别的定义

4.1.2 风险识别的原则

4.1.3 风险识别的方法工具

4.2 发展战略和业务识别内容

4.2.1 发展战略识别

4.2.2 业务识别内容

4.2.3 发展战略、业务与资产关系

4.2.4 发展战略识别和业务识别的目的和意义

4.3 发展战略和业务识别方法和工具

4.3.1 发展战略识别方法和工具

4.3.2 业务识别方法和工具

4.4 发展战略和业务识别过程和输出

4.4.1 发展战略识别过程和输出

4.4.2 业务识别过程和输出

4.5 发展战略和业务识别案例

4.5.1 发展战略识别

4.5.2 业务识别与业务赋值

4.6 小结

习题

第5章 资产识别

5.1 资产识别内容

5.1.1 资产识别的定义

5.1.2 资产分类

5.1.3 资产赋值

5.2 资产识别方法和工具

5.2.1 资产识别方法

5.2.2 资产识别工具

5.3 资产识别过程和输出

5.3.1 资产识别过程

5.3.2 资产识别输出

5.4 资产识别案例

5.5 小结

习题

第6章 威胁识别

6.1 威胁识别内容

6.1.1 威胁识别定义

6.1.2 威胁属性

6.1.3 威胁分类

6.1.4 威胁赋值

6.2 威胁识别方法和工具

6.2.1 威胁识别方法

6.2.2 威胁识别工具

6.3 威胁识别过程和输出

6.3.1 威胁识别过程

6.3.2 威胁识别输出

6.4 威胁识别案例

6.5 小结

习题

第7章 脆弱性识别

7.1 脆弱性识别概述

7.1.1 脆弱性识别定义

7.1.2 脆弱性赋值

7.1.3 脆弱性识别原则

7.1.4 脆弱性识别方法和工具

7.2 物理脆弱性识别

7.2.1 物理安全相关定义

7.2.2 物理脆弱性识别内容

7.2.3 物理脆弱性识别方法和工具

7.2.4 物理脆弱性识别过程

7.2.5 物理脆弱性识别案例

7.3 网络脆弱性识别

7.3.1 网络安全相关定义

7.3.2 网络脆弱性识别内容

7.3.3 网络脆弱性识别方法和工具

7.3.4 网络脆弱性识别过程

7.3.5 网络脆弱性识别案例

7.4 系统脆弱性识别

7.4.1 系统安全相关定义

7.4.2 系统脆弱性识别内容

7.4.3 系统脆弱性识别方法和工具

7.4.4 系统脆弱性识别过程

7.4.5 系统脆弱性识别案例

7.5 应用脆弱性识别

7.5.1 应用中间件安全和应用系统安全的相关定义

7.5.2 应用中间件和应用系统脆弱性识别内容

7.5.3 应用中间件和应用系统脆弱性识别方法和工具

7.5.4 应用中间件和应用系统脆弱性识别过程

7.5.5 应用中间件和应用系统脆弱性识别案例

7.6 数据脆弱性识别

7.6.1 数据安全相关定义

7.6.2 数据脆弱性识别内容

7.6.3 数据脆弱性识别方法和工具

7.6.4 数据脆弱性识别过程

7.6.5 数据脆弱性识别案例

7.7 管理脆弱性识别

7.7.1 管理安全相关定义

7.7.2 管理脆弱性识别内容

7.7.3 管理脆弱性识别方法和工具

7.7.4 管理脆弱性识别过程

7.7.5 管理脆弱性识别案例

7.8 小结

习题

第8章 已有安全措施识别

8.1 已有安全措施识别内容

8.1.1 已有安全措施识别的相关定义

8.1.2 与其他风险评估阶段的关系

8.1.3 已有安全措施有效性确认

8.2 已有安全措施识别与确认方法和工具

8.2.1 已有安全措施识别与确认的方法

8.2.2 已有安全措施识别与确认的工具

8.3 已有安全措施识别与确认过程

8.3.1 已有安全措施识别与确认原则

8.3.2 管理和操作控制措施识别与确认过程

8.3.3 技术性控制措施识别与确认过程

8.4 已有安全措施识别输出

8.5 已有安全措施识别案例

8.5.1 案例背景描述

8.5.2 案例实施过程

8.5.3 案例输出

8.6 小结

习题

第9章 风险分析

9.1 风险分析概述

9.1.1 风险分析的定义

9.1.2 风险分析的地位

9.1.3 风险分析原理

9.1.4 风险分析流程

9.2 风险计算

9.2.1 风险计算原理

9.2.2 使用矩阵法计算风险

9.2.3 使用相乘法计算风险

9.3 风险分析案例

9.3.1 基本情况描述

9.3.2 高层信息安全风险评估

9.3.3 详细信息安全风险评估

9.3.4 风险计算

9.4 小结

习题

第10章 风险评价及风险评估输出

10.1 风险评价概述

10.1.1 风险评价定义

10.1.2 风险评价方法准则

10.1.3 风险评价方法

10.2 风险评价判定

10.2.1 资产风险评价

10.2.2 业务风险评价

10.2.3 风险评价结果

10.3 风险评价示例

10.3.1 从多角度进行风险评价

10.3.2 信息系统总体风险评价

10.4 风险评估文档输出

10.4.1 风险评估文档记录要求

10.4.2 风险评估文档的主要内容

10.5 被评估对象生命周期各阶段的风险评估

10.5.1 被评估对象的生命周期

10.5.2 规划阶段的风险评估

10.5.3 设计阶段的风险评估

10.5.4 实施阶段的风险评估

10.5.5 运维阶段的风险评估

10.5.6 废弃阶段的风险评估

10.6 风险评估报告示例

10.7 小结

习题

第11章 风险处置

11.1 风险处置概述

11.1.1 风险处置定义

11.1.2 风险处置目的和依据

11.1.3 风险处置原则

11.1.4 风险处置方式

11.2 风险处置准备

11.2.1 确定风险处置范围和边界

11.2.2 明确风险处置角色和责任

11.2.3 确定风险处置目标

11.2.4 选择风险处置方式

11.2.5 制定风险处置计划

11.2.6 获得决策层批准

11.3 风险处置实施

11.3.1 风险处置方案制定

11.3.2 风险处置方案实施

11.3.3 残余风险处置与评估

11.3.4 风险处置相关文档

11.4 风险处置效果评价

11.4.1 评价原则

11.4.2 评价方法

11.4.3 评价方案

11.4.4 评价实施

11.4.5 持续改进

11.5 风险处置案例

11.5.1 项目背景

11.5.2 风险处置准备

11.5.3 风险处置实施

11.5.4 风险处置效果评价

11.6 风险接受

11.6.1 风险接受定义

11.6.2 风险接受准则

11.7 批准留存

11.7.1 批准留存定义

11.7.2 批准留存原则

11.7.3 批准留存过程

11.8 小结

习题

第12章 沟通与咨询、监视与评审

12.1 沟通与咨询

12.1.1 沟通与咨询定义

12.1.2 沟通与咨询目的、意义

12.1.3 沟通与咨询方式

12.1.4 沟通与咨询过程

12.1.5 沟通与咨询文档

12.2 监视与评审

12.2.1 监视与评审定义

12.2.2 监视与评审目的、意义

12.2.3 监视与评审的内容

12.2.4 监视与评审过程

12.2.5 监视与评审文档

12.3 小结

习题

第13章 信息安全风险管理综合实例

13.1 实例介绍

13.1.1 实例背景

13.1.2 实施思路

13.2 环境建立

13.2.1 风险管理准备

13.2.2 风险管理对象调查与分析

13.2.3 风险管理对象安全分析

13.2.4 确定风险管理的基本原则

13.2.5 制定风险管理的实施规划

13.2.6 输出成果

13.3 风险评估准备

13.3.1 制定风险评估计划

13.3.2 进行系统调研

13.3.3 确定风险评估工具

13.3.4 制定风险评估方案

13.3.5 获得支持

13.4 风险识别

13.4.1 发展战略与业务识别

13.4.2 资产识别

13.4.3 威胁识别

13.4.4 脆弱性识别

13.4.5 已有安全措施识别

13.4.6 输出成果

13.5 风险分析与评价

13.5.1 风险分析

13.5.2 风险计算

13.5.3 风险评价

13.5.4 输出成果

13.6 风险处置

13.6.1 风险处置准备

13.6.2 风险处置实施

13.6.3 风险处置效果评价

13.6.4 输出成果

13.7 沟通与咨询、监视与评审

13.7.1 沟通与咨询

13.7.2 监视与评审

13.7.3 输出成果

13.8 风险管理报告

13.9 小结

习题

附录A 风险评估方法

附录B 风险评估工具

附录C 信息安全相关法律法规

参考文献