信息系統(tǒng)中的風(fēng)險管理（第二版）

第一部分 風(fēng)險管理業(yè)務(wù)的挑戰(zhàn)
第1 章 風(fēng)險管理基礎(chǔ) 1
1．1 什么是風(fēng)險 1
1．2 信息技術(shù)基礎(chǔ)設(shè)施風(fēng)險的主要組成 5
1．3 風(fēng)險管理及其對組織機構(gòu)的影響 13
1．4 風(fēng)險識別技術(shù) 18
1．5 風(fēng)險管理技術(shù) 23
本章小結(jié) 27
第2 章 風(fēng)險管理：威脅、漏洞及攻擊 29
2．1 對威脅的認(rèn)識與管理 29
2．2 對漏洞的認(rèn)識與管理 35
2．3 對漏洞攻擊的認(rèn)識與管理 41
2．4 美國聯(lián)邦政府的信息系統(tǒng)風(fēng)險管理實踐 48
本章小結(jié) 54
第3 章 合規(guī)性的依據(jù) 55
3．1 美國合規(guī)性法規(guī) 55
3．2 合規(guī)性的管理機構(gòu) 62
3．3 合規(guī)性的組織機構(gòu)政策 66
3．4 合規(guī)性的標(biāo)準(zhǔn)與指南 67
本章小結(jié) 81
第4 章 風(fēng)險管理計劃的制定 82
4．1 風(fēng)險管理計劃的目標(biāo) 82
4．2 風(fēng)險管理計劃的范圍 85
4．3 風(fēng)險管理計劃中的職責(zé)分配 88
4．4 風(fēng)險管理計劃中系統(tǒng)實現(xiàn)步驟與進(jìn)度的描述 92
4．5 需求報告 94
4．6 行動和里程碑計劃 100
4．7 風(fēng)險管理計劃進(jìn)展的圖形表達(dá) 103
本章小結(jié) 106
第二部分 風(fēng)險緩解
第5 章 風(fēng)險評估方法的概念 107
5．1 對風(fēng)險評估的認(rèn)識 107
5．2 風(fēng)險評估的關(guān)鍵步驟 110
5．3 風(fēng)險評估的類型 112
5．4 風(fēng)險評估的挑戰(zhàn) 124
5．5 風(fēng)險評估的最佳做法 130
本章小結(jié) 131
第6 章 風(fēng)險評估的實施 132
6．1 風(fēng)險評估方法的選擇 132
6．2 管理結(jié)構(gòu)的辨識 136
6．3 風(fēng)險評估范圍內(nèi)資產(chǎn)與活動的辨識 137
6．4 關(guān)聯(lián)威脅的辨識與評估 142
6．5 關(guān)聯(lián)漏洞的辨識與評估 144
6．6 應(yīng)對措施的辨識與評估 146
6．7 基于評估需求的方法選擇 150
6．8 制定風(fēng)險緩解建議 153
6．9 提交風(fēng)險評估結(jié)果 156
6．10 實施風(fēng)險評估的最佳做法 156
本章小結(jié) 157
第7 章 受保護(hù)資源及活動的辨識 158
7．1 系統(tǒng)訪問及可用性 158
7．2 系統(tǒng)的人工和自動功能 161
7．3 硬件資產(chǎn) 163
7．4 軟件資產(chǎn) 164
7．5 人力資源 166
7．6 數(shù)據(jù)及信息資源 167
7．7 典型信息技術(shù)基礎(chǔ)設(shè)施七個領(lǐng)域的資產(chǎn)和庫存管理 173
7．8 維持運營所需設(shè)施及供應(yīng)的辨識 178
本章小結(jié) 184
第8 章 威脅、脆弱性及漏洞的辨識與分析 185
8．1 威脅評估 185
8．2 脆弱性評估 193
8．3 漏洞評估 205
本章小結(jié) 212
第9 章 風(fēng)險緩解安全控制的辨識與分析 213
9．1 現(xiàn)場控制 213
9．2 計劃控制 214
9．3 控制類別 214
9．4 程序控制范例 218
9．5 技術(shù)控制范例 226
9．6 物理控制范例 234
9．7 風(fēng)險緩解安全控制的最佳做法 238
本章小結(jié) 239
第10 章 組織機構(gòu)中的風(fēng)險緩解計劃 240
10．1 組織機構(gòu)中風(fēng)險緩解的起點 240
10．2 組織機構(gòu)中風(fēng)險管理的范圍 241
10．3 合法性及合規(guī)性問題對組織機構(gòu)影響的認(rèn)識和評估 252
10．4 合法性及合規(guī)性意義的詮釋 261
10．5 典型信息技術(shù)基礎(chǔ)構(gòu)架七個領(lǐng)域合法性及合規(guī)性意義
的影響評估 261
10．6 安防措施對風(fēng)險緩解助益的評估 263
10．7 對合法性及合規(guī)性需求操作意義的認(rèn)識 263
10．8 組織機構(gòu)中風(fēng)險緩解及風(fēng)險降低的要素辨識 264
10．9 費用效益分析的實施 265
10．10 組織機構(gòu)中風(fēng)險緩解計劃的最佳做法 267
本章小結(jié) 267
第11 章 風(fēng)險評估向風(fēng)險緩解計劃的轉(zhuǎn)化 268
11．1 對信息技術(shù)基礎(chǔ)設(shè)施風(fēng)險評估的審查 268
11．2 風(fēng)險評估轉(zhuǎn)化為風(fēng)險緩解計劃的實施過程 274
11．3 應(yīng)需緩解的風(fēng)險要素排序 283
11．4 風(fēng)險要素及其緩解方法的確認(rèn) 286
11．5 已辨識風(fēng)險要素的費用效益分析 287
11．6 風(fēng)險緩解計劃的實施 289
11．7 風(fēng)險緩解計劃的跟進(jìn) 293
11．8 風(fēng)險評估向風(fēng)險緩解計劃轉(zhuǎn)化的最佳做法 295
本章小結(jié) 296
第三部分 風(fēng)險緩解計劃
第12 章 基于業(yè)務(wù)影響分析的風(fēng)險緩解 297
12．1 什么是業(yè)務(wù)影響分析 297
12．2 業(yè)務(wù)影響分析的范圍 300
12．3 業(yè)務(wù)影響分析的目標(biāo) 302
12．4 業(yè)務(wù)影響分析的步驟 312
12．5 確定任務(wù)關(guān)鍵型業(yè)務(wù)功能和流程 318
12．6 從業(yè)務(wù)功能及流程到信息技術(shù)系統(tǒng)的映射 319
12．7 業(yè)務(wù)影響分析的最佳做法 320
本章小結(jié) 321
第13 章 基于業(yè)務(wù)持續(xù)性計劃的風(fēng)險緩解 322
13．1 什么是業(yè)務(wù)持續(xù)性計劃 322
13．2 業(yè)務(wù)持續(xù)性計劃的要素 324
13．3 業(yè)務(wù)持續(xù)性計劃如何緩解組織機構(gòu)的風(fēng)險 348
13．4 災(zāi)難恢復(fù)計劃的最佳做法 349
本章小結(jié) 349
第14 章 基于災(zāi)難恢復(fù)計劃的風(fēng)險緩解 351
14．1 什么是災(zāi)難恢復(fù)計劃 351
14．2 關(guān)鍵成功因素 354
14．3 災(zāi)難恢復(fù)計劃的要素 365
14．4 災(zāi)難恢復(fù)計劃如何緩解組織機構(gòu)的風(fēng)險 377
14．5 災(zāi)難恢復(fù)計劃的最佳做法 378
本章小結(jié) 379
第15 章 基于計算機事件響應(yīng)小組計劃的風(fēng)險緩解 381
15．1 什么是計算機事件響應(yīng)小組計劃 381
15．2 計算機事件響應(yīng)小組計劃的目的 383
15．3 計算機事件響應(yīng)小組計劃的要素 385
15．4 計算機事件響應(yīng)小組計劃如何緩解組織機構(gòu)的風(fēng)險 407
15．5 實施計算機事件響應(yīng)小組計劃的最佳做法 407
本章小結(jié) 408
附錄A 縮寫詞 409
附錄B 關(guān)鍵術(shù)語 418
參考文獻(xiàn) 437