信息安全風險管理

第1章 概述
1.1 風險起源
1.1.1 風險的發(fā)展歷程
1.1.2 風險定義
1.1.3 風險管理
1.2 風險管理的模型
1.2.1 風險管理對象
1.2.2 信息安全屬性
1.2.3 風險管理環(huán)節(jié)
1.3 信息安全風險特性
1.3.1 風險的基本特性
1.3.2 風險的不確定性
1.3.3 風險的影響
1.4 信息安全風險要素與關(guān)系
1.4.1 基本要素
1.4.2 關(guān)系
第2章 信息安全風險管理相關(guān)標準
2.1 ISO／IEC31000
2.1.1 ISO／IEC31000標準內(nèi)容簡介
2.1.2 風險管理的原則
2.1.3 風險管理的框架
2.1.4 風險管理的過程
2.2 ISO／IEC 13335
2.2.1 ISO／IEC 13335標準內(nèi)容簡介
2.2.2 ISO／IEC 13335的信息安全概念
2.2.3 ISO／IEC 13335的安全要素
2.2.4 ISO／IEC 13335的八個安全要素之間的關(guān)系以及風險管理關(guān)系模型
2.3 ISO／IEC 27005
2.3.1 ISO／IEC 27005標準內(nèi)容簡介
2.3.2 IS0／IEC 27005風險管理過程
2.4 卡內(nèi)基梅隆
2.4.1 OCTAVE概述
2.4.2 OCTAVE Method介紹
2.4.3 OCTAVE-S介紹
2.5 GB／T 20984
2.5.1 GB／T 20984標準的內(nèi)容簡介
2.5.2 GB／T 20984的風險評估
第3章 信息安全風險評估實現(xiàn)
3.1 風險評估過程框架
3.1.1 風險評估原則
3.1.2 風險評估過程框架
3.2 風險識別階段
3.2.1 建立環(huán)境
3.2.2 風險評估前期調(diào)查
3.2.3 風險評估工具準備
3.2.4 資產(chǎn)識別
3.2.5 威脅識別
3.2.6 脆弱性識別
3.2.7 安全措施分析
3.3 風險分析階段
3.3.1 風險分析
3.3.2 風險計算
3.4 風險評價階段
3.5 風險評估的報告
3.6 風險評估的評審
第4章 信息安全風險處置
4.1 風險處置過程框架
4.2 風險處置方法
4.3 風險處置措施選擇與實施
4.3.1 選擇風險處置方法
4.3.2 準備和實施風險處置計劃
4.4 風險處置的監(jiān)視與評審
4.4.1 風險處置有效性的監(jiān)視與評審的必要性
4.4.2 風險處置有效性的監(jiān)督與評審示意圖（如圖4-3所示）
4.4.3 風險處置有效性的監(jiān)督與評審的原則
4.5 典型的風險處置措施
第5章 信息安全風險管理案例
5.1 案例背景
5.2 確定風險管理框架
5.3 風險識別
5.3.1 建立環(huán)境
5.3.2 前期調(diào)查
5.3.3 工具準備
5.3.4 風險要素識別
5.4 風險分析
5.4.1 計算安全事件可能性
5.4.2 計算安全事件損失
5.4.3 計算風險值
5.5 風險評價
5.6 風險處置
5.6.1 現(xiàn)存風險判斷
5.6.2 控制措施選擇
5.7 風險管理評審
附錄1：風險評估的工具和方法
附表1-1 風險評估的方法
附錄2：系統(tǒng)調(diào)研調(diào)查表
附表2-1 單位基本情況調(diào)查表
附表2-2 參與測評項目相關(guān)人員名單
附表2-3 信息資產(chǎn)登記表
附表2-4 信息系統(tǒng)等級情況
附表2-5 外聯(lián)線路及設備端口網(wǎng)絡邊界情況
附表2-6 信息系統(tǒng)網(wǎng)絡結(jié)構(gòu)環(huán)境情況
附表2-7 安全設備情況
附表2-8 網(wǎng)絡設備情況
附表2-9 終端設備情況
附表2-10 服務器設備情況
附表2-11 應用系統(tǒng)軟件情況
附表2-12 業(yè)務系統(tǒng)功能登記表
附表2-13 信息系統(tǒng)承載業(yè)務（服務）表
附表2-14 業(yè)務數(shù)據(jù)情況調(diào)查
附表2-15 數(shù)據(jù)備份情況
附表2-16 應用系統(tǒng)軟件處理流程（多表）
附表2-17 管理文檔情況調(diào)查（制度類文檔）
附表2-18 管理文檔情況調(diào)查（記錄類文檔）
附表2-19 安全威脅情況
參考文獻