信息安全风险管理与实践
作者: 曹雅斌,尤其,何志明 主编29.43万字72人 正在读
已完结现代当代当代文学
作品简介
本书从信息安全风险管理的基本概念入手,以信息安全风险管理标准――ISO/IEC 27005《信息技术―安全技术―信息安全风险管理》为主线,全面介绍了信息安全风险管理相关国际标准和国家标准;详细介绍了信息安全风险管理的环境建立,发展战略和业务识别,资产识别,威胁识别,脆弱性识别,已有安全措施识别;还介绍了风险分析,风险评价及风险评估输出,风险处置,沟通与咨询、监视与评审等内容;并给出了信息安全风险管理综合实例。本书还重点讲解了脆弱性识别中的物理脆弱性识别、网络脆弱性识别、系统脆弱性识别、应用脆弱性识别、数据脆弱性识别和管理脆弱性识别等内容。本书力图通过小案例与综合实例,理论联系实践,使读者了解、掌握和运用信息安全风险管理的理论与实践方法。 本书是信息安全保障人员认证信息安全风险管理方向的培训教材,面向政府部门、企事业单位从事信息安全风险管理或风险评估的专业人员,也适用于信息安全专业人士、大学生或对信息安全风险管理感兴趣的读者使用。
目录 (310章)
倒序
正文
第1章概述1.1.1风险1.1.2风险的基本特性1.1.3风险的构成要素1.1.4风险管理1.2.1信息安全(1)1.2.1信息安全(2)1.2.2信息安全风险1.2.3信息安全风险管理1.3.1信息安全风险评估的定义1.3.2信息安全风险评估的目的和意义1.3.3信息安全风险评估的原则1.3.4信息安全风险评估过程1.3.5信息安全风险管理与风险评估的关系第1章概述-1.4小结第1章概述-习题第2章信息安全风险管理相关标准2.1.1国际的标准化组织2.1.2部分国家的标准化组织及相关标准2.1.3我国信息安全风险管理标准体系框架第2章信息安全风险管理相关标准-2.2风险管理标准ISO310002.2.1风险管理历史沿革2.2.2ISO31000:2018主要内容2.2.3新旧版本标准比较2.3.1ISO/IEC27000系列标准2.3.2ISO/IEC27005版本的演化2.3.3ISO/IEC27005:2018标准主要内容2.3.4ISO31000与ISO/IEC27005的比较2.4.1我国信息安全风险评估发展历程2.4.2GB/T20984规范主要内容(1)2.4.2GB/T20984规范主要内容(2)2.4.2GB/T20984规范主要内容(3)2.4.3GB/T20984与ISO31000和ISO/IEC27005的关系第2章信息安全风险管理相关标准-2.5小结第2章信息安全风险管理相关标准-习题第3章环境建立3.1.1环境建立定义3.1.2环境建立目的和依据3.1.3基本准则3.1.4范围和边界3.1.5信息安全风险管理组织第3章环境建立-3.2环境建立过程3.2.1风险管理准备3.2.2调查与分析3.2.3信息安全分析3.2.4基本原则确立3.2.5实施规划第3章环境建立-3.3环境建立文档第3章环境建立-3.4风险评估准备3.4.1确定信息安全风险评估的目标3.4.2确定信息安全风险评估的范围3.4.3组建风险评估团队3.4.4进行系统调研3.4.5确定信息安全风险评估的依据和方法3.4.6选定评估工具3.4.7制定信息安全风险评估方案3.4.8准备阶段工作保障3.5.1项目管理概述3.5.2项目管理的重点知识领域(1)3.5.2项目管理的重点知识领域(2)3.5.2项目管理的重点知识领域(3)3.5.2项目管理的重点知识领域(4)3.5.2项目管理的重点知识领域(5)3.5.2项目管理的重点知识领域(6)3.5.3项目生命周期3.5.4项目管理过程第3章环境建立-3.6小结第3章环境建立-习题第4章发展战略和业务识别4.1.1风险识别的定义4.1.2风险识别的原则4.1.3风险识别的方法工具4.2.1发展战略识别4.2.2业务识别内容4.2.3发展战略、业务与资产关系4.2.4发展战略识别和业务识别的目的和意义第4章发展战略和业务识别-4.3发展战略和业务识别方法和工具4.3.1发展战略识别方法和工具4.3.2业务识别方法和工具4.4.1发展战略识别过程和输出4.4.2业务识别过程和输出第4章发展战略和业务识别-4.5发展战略和业务识别案例4.5.1发展战略识别4.5.2业务识别与业务赋值第4章发展战略和业务识别-4.6小结第4章发展战略和业务识别-习题第5章资产识别5.1.1资产识别的定义5.1.2资产分类5.1.3资产赋值第5章资产识别-5.2资产识别方法和工具5.2.1资产识别方法5.2.2资产识别工具第5章资产识别-5.3资产识别过程和输出5.3.1资产识别过程5.3.2资产识别输出第5章资产识别-5.4资产识别案例第5章资产识别-5.5小结第5章资产识别-习题第6章威胁识别6.1.1威胁识别定义6.1.2威胁属性6.1.3威胁分类6.1.4威胁赋值第6章威胁识别-6.2威胁识别方法和工具6.2.1威胁识别方法6.2.2威胁识别工具第6章威胁识别-6.3威胁识别过程和输出6.3.1威胁识别过程6.3.2威胁识别输出第6章威胁识别-6.4威胁识别案例第6章威胁识别-6.5小结第6章威胁识别-习题第7章脆弱性识别7.1.1脆弱性识别定义7.1.2脆弱性赋值7.1.3脆弱性识别原则7.1.4脆弱性识别方法和工具7.2.1物理安全相关定义7.2.2物理脆弱性识别内容(1)7.2.2物理脆弱性识别内容(2)7.2.2物理脆弱性识别内容(3)7.2.2物理脆弱性识别内容(4)7.2.3物理脆弱性识别方法和工具7.2.4物理脆弱性识别过程7.2.5物理脆弱性识别案例7.3.1网络安全相关定义(1)7.3.1网络安全相关定义(2)7.3.2网络脆弱性识别内容(1)7.3.2网络脆弱性识别内容(2)7.3.3网络脆弱性识别方法和工具7.3.4网络脆弱性识别过程7.3.5网络脆弱性识别案例第7章脆弱性识别-7.4系统脆弱性识别7.4.1系统安全相关定义(1)7.4.1系统安全相关定义(2)7.4.1系统安全相关定义(3)7.4.2系统脆弱性识别内容7.4.3系统脆弱性识别方法和工具7.4.4系统脆弱性识别过程7.4.5系统脆弱性识别案例第7章脆弱性识别-7.5应用脆弱性识别7.5.1应用中间件安全和应用系统安全的相关定义(1)7.5.1应用中间件安全和应用系统安全的相关定义(2)7.5.1应用中间件安全和应用系统安全的相关定义(3)7.5.1应用中间件安全和应用系统安全的相关定义(4)7.5.2应用中间件和应用系统脆弱性识别内容(1)7.5.2应用中间件和应用系统脆弱性识别内容(2)7.5.3应用中间件和应用系统脆弱性识别方法和工具7.5.4应用中间件和应用系统脆弱性识别过程7.5.5应用中间件和应用系统脆弱性识别案例7.6.1数据安全相关定义(1)7.6.1数据安全相关定义(2)7.6.1数据安全相关定义(3)7.6.1数据安全相关定义(4)7.6.2数据脆弱性识别内容7.6.3数据脆弱性识别方法和工具7.6.4数据脆弱性识别过程7.6.5数据脆弱性识别案例第7章脆弱性识别-7.7管理脆弱性识别7.7.1管理安全相关定义7.7.2管理脆弱性识别内容(1)7.7.2管理脆弱性识别内容(2)7.7.3管理脆弱性识别方法和工具7.7.4管理脆弱性识别过程7.7.5管理脆弱性识别案例第7章脆弱性识别-7.8小结第7章脆弱性识别-习题第8章已有安全措施识别8.1.1已有安全措施识别的相关定义8.1.2与其他风险评估阶段的关系8.1.3已有安全措施有效性确认8.2.1已有安全措施识别与确认的方法8.2.2已有安全措施识别与确认的工具第8章已有安全措施识别-8.3已有安全措施识别与确认过程8.3.1已有安全措施识别与确认原则8.3.2管理和操作控制措施识别与确认过程8.3.3技术性控制措施识别与确认过程第8章已有安全措施识别-8.4已有安全措施识别输出8.5.1案例背景描述8.5.2案例实施过程8.5.3案例输出第8章已有安全措施识别-8.6小结第8章已有安全措施识别-习题第9章风险分析9.1.1风险分析的定义9.1.2风险分析的地位9.1.3风险分析原理9.1.4风险分析流程第9章风险分析-9.2风险计算9.2.1风险计算原理9.2.2使用矩阵法计算风险9.2.3使用相乘法计算风险9.3.1基本情况描述9.3.2高层信息安全风险评估9.3.3详细信息安全风险评估9.3.4风险计算第9章风险分析-9.4小结第9章风险分析-习题第10章风险评价及风险评估输出10.1.1风险评价定义10.1.2风险评价方法准则10.1.3风险评价方法第10章风险评价及风险评估输出-10.2风险评价判定10.2.1资产风险评价10.2.2业务风险评价10.2.3风险评价结果第10章风险评价及风险评估输出-10.3风险评价示例10.3.1从多角度进行风险评价10.3.2信息系统总体风险评价第10章风险评价及风险评估输出-10.4风险评估文档输出10.4.1风险评估文档记录要求10.4.2风险评估文档的主要内容第10章风险评价及风险评估输出-10.5被评估对象生命周期各阶段的风险评估10.5.1被评估对象的生命周期10.5.2规划阶段的风险评估10.5.3设计阶段的风险评估10.5.4实施阶段的风险评估10.5.5运维阶段的风险评估10.5.6废弃阶段的风险评估第10章风险评价及风险评估输出-10.6风险评估报告示例第10章风险评价及风险评估输出-10.7小结第10章风险评价及风险评估输出-习题第11章风险处置11.1.1风险处置定义11.1.2风险处置目的和依据11.1.3风险处置原则11.1.4风险处置方式第11章风险处置-11.2风险处置准备11.2.1确定风险处置范围和边界11.2.2明确风险处置角色和责任11.2.3确定风险处置目标11.2.4选择风险处置方式11.2.5制定风险处置计划11.2.6获得决策层批准第11章风险处置-11.3风险处置实施11.3.1风险处置方案制定(1)11.3.1风险处置方案制定(2)11.3.2风险处置方案实施11.3.3残余风险处置与评估11.3.4风险处置相关文档第11章风险处置-11.4风险处置效果评价11.4.1评价原则11.4.2评价方法11.4.3评价方案11.4.4评价实施11.4.5持续改进11.5.1项目背景11.5.2风险处置准备11.5.3风险处置实施11.5.4风险处置效果评价11.6.1风险接受定义11.6.2风险接受准则11.7.1批准留存定义11.7.2批准留存原则11.7.3批准留存过程第11章风险处置-11.8小结第11章风险处置-习题第12章沟通与咨询、监视与评审12.1.1沟通与咨询定义12.1.2沟通与咨询目的、意义12.1.3沟通与咨询方式12.1.4沟通与咨询过程12.1.5沟通与咨询文档12.2.1监视与评审定义12.2.2监视与评审目的、意义12.2.3监视与评审的内容12.2.4监视与评审过程12.2.5监视与评审文档第12章沟通与咨询、监视与评审-12.3小结第12章沟通与咨询、监视与评审-习题第13章信息安全风险管理综合实例13.1.1实例背景13.1.2实施思路第13章信息安全风险管理综合实例-13.2环境建立13.2.1风险管理准备13.2.2风险管理对象调查与分析13.2.3风险管理对象安全分析13.2.4确定风险管理的基本原则13.2.5制定风险管理的实施规划13.2.6输出成果13.3.1制定风险评估计划13.3.2进行系统调研13.3.3确定风险评估工具13.3.4制定风险评估方案13.3.5获得支持第13章信息安全风险管理综合实例-13.4风险识别13.4.1发展战略与业务识别13.4.2资产识别13.4.3威胁识别13.4.4脆弱性识别13.4.5已有安全措施识别13.4.6输出成果第13章信息安全风险管理综合实例-13.5风险分析与评价13.5.1风险分析13.5.2风险计算13.5.3风险评价13.5.4输出成果第13章信息安全风险管理综合实例-13.6风险处置13.6.1风险处置准备13.6.2风险处置实施13.6.3风险处置效果评价13.6.4输出成果第13章信息安全风险管理综合实例-13.7沟通与咨询、监视与评审13.7.1沟通与咨询13.7.2监视与评审13.7.3输出成果第13章信息安全风险管理综合实例-13.8风险管理报告第13章信息安全风险管理综合实例-13.9小结第13章信息安全风险管理综合实例-习题
精选推荐
领导力法则
[中国纺织出版社]
陆禹萌
已完结当代文学
销售心理学
[中国纺织出版社]
兰华
已完结当代文学
销售就是玩转情商
[中国纺织出版社]
王威
已完结当代文学
销售员情商实战训练
成功的销售需要高智商,更需要高情商。一个销售员的销售业绩,往往与他的情商成正比。本书从十个方面详细讲述了有效运用情商,提高销售业绩的方法和技巧。通过实际销售案例和销售心理学理论指导,以及实战点拨和情商拓展训练,帮助读者全方位、快速提高情商。故事性、多版块、碎片化的内容设置,有效降低读者阅读疲劳,提高阅读兴趣,不论是奔波在路上的销售小白,还是带领团队奋勇向前的销售经理,都能从中找到适合自己的销售软技巧。
刘军
已完结当代文学
让未来的你,感谢现在勇敢的自己
[中国纺织出版社]
王介威
已完结当代文学
行为心理学:华生的实用心理学课
[中国纺织出版社]
(美)约翰·华生著.倪彩
已完结当代文学
行为心理学入门(完全图解版)
行为心理学入门(完全图解版)是以作者多来年的心理辅导和咨询数据为素材,对现实生活中的行为心理学应用进行了形象、深入、全面的论述和解读。本书与日本心理学图解书形式相同,浅显易读,有趣又益。
武莉
已完结当代文学
自卑与超越
《自卑与(全译插图典藏版)》是个体心理学研究领域的著作,也是人本主义心理学先驱阿尔弗雷德·阿德勒的很好著作。阿德勒的学说以“自卑感”与“创造性自我”为中心,并强调“社会意识”。全书立足个人心理学的观点,从教育、家庭、婚姻、伦理、社交等多个领域,以大量的实例为论述基础,阐明了人生意义的真谛,帮助人们克服自卑、不断超自己,正确对待职业,正确理解社会与性。本书直接促进了亲子教育、人格培养、婚姻与爱情、职业生涯、家庭建设、人际关系等诸多领域的长足发展,成为人们了解心理学的经典读物。
(奥)阿尔弗雷德·阿德勒
已完结当代文学
自制力:道理我都懂,为什么就是过不好人生
[中国纺织出版社]
邱开杰
已完结当代文学