可以朗读
语音朗读
321千字
字数
2021-10-01
发行日期
展开全部
主编推荐语
本书详细介绍了信息安全风险管理的环境建立,发展战略和业务识别,资产识别,威胁识别,脆弱性识别,已有安全措施识别。
内容简介
本书力图通过小案例与综合实例,理论联系实践,使读者了解、掌握和运用信息安全风险管理的理论与实践方法。
目录
- 版权信息
- 内容简介
- 序言
- 前言
- 本书相关标准名称与书写规范
- 第1章 概述
- 1.1 风险和风险管理
- 1.1.1 风险
- 1.1.2 风险的基本特性
- 1.1.3 风险的构成要素
- 1.1.4 风险管理
- 1.2 信息安全风险管理
- 1.2.1 信息安全
- 1.2.2 信息安全风险
- 1.2.3 信息安全风险管理
- 1.3 信息安全风险评估
- 1.3.1 信息安全风险评估的定义
- 1.3.2 信息安全风险评估的目的和意义
- 1.3.3 信息安全风险评估的原则
- 1.3.4 信息安全风险评估过程
- 1.3.5 信息安全风险管理与风险评估的关系
- 1.4 小结
- 习题
- 第2章 信息安全风险管理相关标准
- 2.1 标准化组织
- 2.1.1 国际的标准化组织
- 2.1.2 部分国家的标准化组织及相关标准
- 2.1.3 我国信息安全风险管理标准体系框架
- 2.2 风险管理标准ISO 31000
- 2.2.1 风险管理历史沿革
- 2.2.2 ISO 31000:2018主要内容
- 2.2.3 新旧版本标准比较
- 2.3 信息安全风险管理标准ISO/IEC 27005
- 2.3.1 ISO/IEC 27000系列标准
- 2.3.2 ISO/IEC 27005版本的演化
- 2.3.3 ISO/IEC 27005:2018标准主要内容
- 2.3.4 ISO 31000与ISO/IEC 27005的比较
- 2.4 信息安全风险评估规范GB/T 20984
- 2.4.1 我国信息安全风险评估发展历程
- 2.4.2 GB/T 20984规范主要内容
- 2.4.3 GB/T 20984与ISO 31000和ISO/IEC 27005的关系
- 2.5 小结
- 习题
- 第3章 环境建立
- 3.1 环境建立概述
- 3.1.1 环境建立定义
- 3.1.2 环境建立目的和依据
- 3.1.3 基本准则
- 3.1.4 范围和边界
- 3.1.5 信息安全风险管理组织
- 3.2 环境建立过程
- 3.2.1 风险管理准备
- 3.2.2 调查与分析
- 3.2.3 信息安全分析
- 3.2.4 基本原则确立
- 3.2.5 实施规划
- 3.3 环境建立文档
- 3.4 风险评估准备
- 3.4.1 确定信息安全风险评估的目标
- 3.4.2 确定信息安全风险评估的范围
- 3.4.3 组建风险评估团队
- 3.4.4 进行系统调研
- 3.4.5 确定信息安全风险评估的依据和方法
- 3.4.6 选定评估工具
- 3.4.7 制定信息安全风险评估方案
- 3.4.8 准备阶段工作保障
- 3.5 项目管理基础
- 3.5.1 项目管理概述
- 3.5.2 项目管理的重点知识领域
- 3.5.3 项目生命周期
- 3.5.4 项目管理过程
- 3.6 小结
- 习题
- 第4章 发展战略和业务识别
- 4.1 风险识别概述
- 4.1.1 风险识别的定义
- 4.1.2 风险识别的原则
- 4.1.3 风险识别的方法工具
- 4.2 发展战略和业务识别内容
- 4.2.1 发展战略识别
- 4.2.2 业务识别内容
- 4.2.3 发展战略、业务与资产关系
- 4.2.4 发展战略识别和业务识别的目的和意义
- 4.3 发展战略和业务识别方法和工具
- 4.3.1 发展战略识别方法和工具
- 4.3.2 业务识别方法和工具
- 4.4 发展战略和业务识别过程和输出
- 4.4.1 发展战略识别过程和输出
- 4.4.2 业务识别过程和输出
- 4.5 发展战略和业务识别案例
- 4.5.1 发展战略识别
- 4.5.2 业务识别与业务赋值
- 4.6 小结
- 习题
- 第5章 资产识别
- 5.1 资产识别内容
- 5.1.1 资产识别的定义
- 5.1.2 资产分类
- 5.1.3 资产赋值
- 5.2 资产识别方法和工具
- 5.2.1 资产识别方法
- 5.2.2 资产识别工具
- 5.3 资产识别过程和输出
- 5.3.1 资产识别过程
- 5.3.2 资产识别输出
- 5.4 资产识别案例
- 5.5 小结
- 习题
- 第6章 威胁识别
- 6.1 威胁识别内容
- 6.1.1 威胁识别定义
- 6.1.2 威胁属性
- 6.1.3 威胁分类
- 6.1.4 威胁赋值
- 6.2 威胁识别方法和工具
- 6.2.1 威胁识别方法
- 6.2.2 威胁识别工具
- 6.3 威胁识别过程和输出
- 6.3.1 威胁识别过程
- 6.3.2 威胁识别输出
- 6.4 威胁识别案例
- 6.5 小结
- 习题
- 第7章 脆弱性识别
- 7.1 脆弱性识别概述
- 7.1.1 脆弱性识别定义
- 7.1.2 脆弱性赋值
- 7.1.3 脆弱性识别原则
- 7.1.4 脆弱性识别方法和工具
- 7.2 物理脆弱性识别
- 7.2.1 物理安全相关定义
- 7.2.2 物理脆弱性识别内容
- 7.2.3 物理脆弱性识别方法和工具
- 7.2.4 物理脆弱性识别过程
- 7.2.5 物理脆弱性识别案例
- 7.3 网络脆弱性识别
- 7.3.1 网络安全相关定义
- 7.3.2 网络脆弱性识别内容
- 7.3.3 网络脆弱性识别方法和工具
- 7.3.4 网络脆弱性识别过程
- 7.3.5 网络脆弱性识别案例
- 7.4 系统脆弱性识别
- 7.4.1 系统安全相关定义
- 7.4.2 系统脆弱性识别内容
- 7.4.3 系统脆弱性识别方法和工具
- 7.4.4 系统脆弱性识别过程
- 7.4.5 系统脆弱性识别案例
- 7.5 应用脆弱性识别
- 7.5.1 应用中间件安全和应用系统安全的相关定义
- 7.5.2 应用中间件和应用系统脆弱性识别内容
- 7.5.3 应用中间件和应用系统脆弱性识别方法和工具
- 7.5.4 应用中间件和应用系统脆弱性识别过程
- 7.5.5 应用中间件和应用系统脆弱性识别案例
- 7.6 数据脆弱性识别
- 7.6.1 数据安全相关定义
- 7.6.2 数据脆弱性识别内容
- 7.6.3 数据脆弱性识别方法和工具
- 7.6.4 数据脆弱性识别过程
- 7.6.5 数据脆弱性识别案例
- 7.7 管理脆弱性识别
- 7.7.1 管理安全相关定义
- 7.7.2 管理脆弱性识别内容
- 7.7.3 管理脆弱性识别方法和工具
- 7.7.4 管理脆弱性识别过程
- 7.7.5 管理脆弱性识别案例
- 7.8 小结
- 习题
- 第8章 已有安全措施识别
- 8.1 已有安全措施识别内容
- 8.1.1 已有安全措施识别的相关定义
- 8.1.2 与其他风险评估阶段的关系
- 8.1.3 已有安全措施有效性确认
- 8.2 已有安全措施识别与确认方法和工具
- 8.2.1 已有安全措施识别与确认的方法
- 8.2.2 已有安全措施识别与确认的工具
- 8.3 已有安全措施识别与确认过程
- 8.3.1 已有安全措施识别与确认原则
- 8.3.2 管理和操作控制措施识别与确认过程
- 8.3.3 技术性控制措施识别与确认过程
- 8.4 已有安全措施识别输出
- 8.5 已有安全措施识别案例
- 8.5.1 案例背景描述
- 8.5.2 案例实施过程
- 8.5.3 案例输出
- 8.6 小结
- 习题
- 第9章 风险分析
- 9.1 风险分析概述
- 9.1.1 风险分析的定义
- 9.1.2 风险分析的地位
- 9.1.3 风险分析原理
- 9.1.4 风险分析流程
- 9.2 风险计算
- 9.2.1 风险计算原理
- 9.2.2 使用矩阵法计算风险
- 9.2.3 使用相乘法计算风险
- 9.3 风险分析案例
- 9.3.1 基本情况描述
- 9.3.2 高层信息安全风险评估
- 9.3.3 详细信息安全风险评估
- 9.3.4 风险计算
- 9.4 小结
- 习题
- 第10章 风险评价及风险评估输出
- 10.1 风险评价概述
- 10.1.1 风险评价定义
- 10.1.2 风险评价方法准则
- 10.1.3 风险评价方法
- 10.2 风险评价判定
- 10.2.1 资产风险评价
- 10.2.2 业务风险评价
- 10.2.3 风险评价结果
- 10.3 风险评价示例
- 10.3.1 从多角度进行风险评价
- 10.3.2 信息系统总体风险评价
- 10.4 风险评估文档输出
- 10.4.1 风险评估文档记录要求
- 10.4.2 风险评估文档的主要内容
- 10.5 被评估对象生命周期各阶段的风险评估
- 10.5.1 被评估对象的生命周期
- 10.5.2 规划阶段的风险评估
- 10.5.3 设计阶段的风险评估
- 10.5.4 实施阶段的风险评估
- 10.5.5 运维阶段的风险评估
- 10.5.6 废弃阶段的风险评估
- 10.6 风险评估报告示例
- 10.7 小结
- 习题
- 第11章 风险处置
- 11.1 风险处置概述
- 11.1.1 风险处置定义
- 11.1.2 风险处置目的和依据
- 11.1.3 风险处置原则
- 11.1.4 风险处置方式
- 11.2 风险处置准备
- 11.2.1 确定风险处置范围和边界
- 11.2.2 明确风险处置角色和责任
- 11.2.3 确定风险处置目标
- 11.2.4 选择风险处置方式
- 11.2.5 制定风险处置计划
- 11.2.6 获得决策层批准
- 11.3 风险处置实施
- 11.3.1 风险处置方案制定
- 11.3.2 风险处置方案实施
- 11.3.3 残余风险处置与评估
- 11.3.4 风险处置相关文档
- 11.4 风险处置效果评价
- 11.4.1 评价原则
- 11.4.2 评价方法
- 11.4.3 评价方案
- 11.4.4 评价实施
- 11.4.5 持续改进
- 11.5 风险处置案例
- 11.5.1 项目背景
- 11.5.2 风险处置准备
- 11.5.3 风险处置实施
- 11.5.4 风险处置效果评价
- 11.6 风险接受
- 11.6.1 风险接受定义
- 11.6.2 风险接受准则
- 11.7 批准留存
- 11.7.1 批准留存定义
- 11.7.2 批准留存原则
- 11.7.3 批准留存过程
- 11.8 小结
- 习题
- 第12章 沟通与咨询、监视与评审
- 12.1 沟通与咨询
- 12.1.1 沟通与咨询定义
- 12.1.2 沟通与咨询目的、意义
- 12.1.3 沟通与咨询方式
- 12.1.4 沟通与咨询过程
- 12.1.5 沟通与咨询文档
- 12.2 监视与评审
- 12.2.1 监视与评审定义
- 12.2.2 监视与评审目的、意义
- 12.2.3 监视与评审的内容
- 12.2.4 监视与评审过程
- 12.2.5 监视与评审文档
- 12.3 小结
- 习题
- 第13章 信息安全风险管理综合实例
- 13.1 实例介绍
- 13.1.1 实例背景
- 13.1.2 实施思路
- 13.2 环境建立
- 13.2.1 风险管理准备
- 13.2.2 风险管理对象调查与分析
- 13.2.3 风险管理对象安全分析
- 13.2.4 确定风险管理的基本原则
- 13.2.5 制定风险管理的实施规划
- 13.2.6 输出成果
- 13.3 风险评估准备
- 13.3.1 制定风险评估计划
- 13.3.2 进行系统调研
- 13.3.3 确定风险评估工具
- 13.3.4 制定风险评估方案
- 13.3.5 获得支持
- 13.4 风险识别
- 13.4.1 发展战略与业务识别
- 13.4.2 资产识别
- 13.4.3 威胁识别
- 13.4.4 脆弱性识别
- 13.4.5 已有安全措施识别
- 13.4.6 输出成果
- 13.5 风险分析与评价
- 13.5.1 风险分析
- 13.5.2 风险计算
- 13.5.3 风险评价
- 13.5.4 输出成果
- 13.6 风险处置
- 13.6.1 风险处置准备
- 13.6.2 风险处置实施
- 13.6.3 风险处置效果评价
- 13.6.4 输出成果
- 13.7 沟通与咨询、监视与评审
- 13.7.1 沟通与咨询
- 13.7.2 监视与评审
- 13.7.3 输出成果
- 13.8 风险管理报告
- 13.9 小结
- 习题
- 附录A 风险评估方法
- 附录B 风险评估工具
- 附录C 信息安全相关法律法规
- 参考文献
展开全部
评分及书评
评分不足
1个评分
给这本书评了4.0信息安全入门教材信息安全的入门教材,适合信息安全初级工作者,浅显而全面。
出版方
电子工业出版社
电子工业出版社成立于1982年10月,是国务院独资、工信部直属的中央级科技与教育出版社,是专业的信息技术知识集成和服务提供商。经过三十多年的建设与发展,已成为一家以科技和教育出版、期刊、网络、行业支撑服务、数字出版、软件研发、软科学研究、职业培训和教育为核心业务的现代知识服务集团。出版物内容涵盖了电子信息技术的各个分支及工业技术、经济管理、科普与少儿、社科人文等领域,综合出版能力位居全国出版行业前列。
