信息系統(tǒng)中的風(fēng)險(xiǎn)管理（第二版）

第一部分 風(fēng)險(xiǎn)管理業(yè)務(wù)的挑戰(zhàn)
第1 章 風(fēng)險(xiǎn)管理基礎(chǔ) 1
1．1 什么是風(fēng)險(xiǎn) 1
1．2 信息技術(shù)基礎(chǔ)設(shè)施風(fēng)險(xiǎn)的主要組成 5
1．3 風(fēng)險(xiǎn)管理及其對(duì)組織機(jī)構(gòu)的影響 13
1．4 風(fēng)險(xiǎn)識(shí)別技術(shù) 18
1．5 風(fēng)險(xiǎn)管理技術(shù) 23
本章小結(jié) 27
第2 章 風(fēng)險(xiǎn)管理：威脅、漏洞及攻擊 29
2．1 對(duì)威脅的認(rèn)識(shí)與管理 29
2．2 對(duì)漏洞的認(rèn)識(shí)與管理 35
2．3 對(duì)漏洞攻擊的認(rèn)識(shí)與管理 41
2．4 美國(guó)聯(lián)邦政府的信息系統(tǒng)風(fēng)險(xiǎn)管理實(shí)踐 48
本章小結(jié) 54
第3 章 合規(guī)性的依據(jù) 55
3．1 美國(guó)合規(guī)性法規(guī) 55
3．2 合規(guī)性的管理機(jī)構(gòu) 62
3．3 合規(guī)性的組織機(jī)構(gòu)政策 66
3．4 合規(guī)性的標(biāo)準(zhǔn)與指南 67
本章小結(jié) 81
第4 章 風(fēng)險(xiǎn)管理計(jì)劃的制定 82
4．1 風(fēng)險(xiǎn)管理計(jì)劃的目標(biāo) 82
4．2 風(fēng)險(xiǎn)管理計(jì)劃的范圍 85
4．3 風(fēng)險(xiǎn)管理計(jì)劃中的職責(zé)分配 88
4．4 風(fēng)險(xiǎn)管理計(jì)劃中系統(tǒng)實(shí)現(xiàn)步驟與進(jìn)度的描述 92
4．5 需求報(bào)告 94
4．6 行動(dòng)和里程碑計(jì)劃 100
4．7 風(fēng)險(xiǎn)管理計(jì)劃進(jìn)展的圖形表達(dá) 103
本章小結(jié) 106
第二部分 風(fēng)險(xiǎn)緩解
第5 章 風(fēng)險(xiǎn)評(píng)估方法的概念 107
5．1 對(duì)風(fēng)險(xiǎn)評(píng)估的認(rèn)識(shí) 107
5．2 風(fēng)險(xiǎn)評(píng)估的關(guān)鍵步驟 110
5．3 風(fēng)險(xiǎn)評(píng)估的類型 112
5．4 風(fēng)險(xiǎn)評(píng)估的挑戰(zhàn) 124
5．5 風(fēng)險(xiǎn)評(píng)估的最佳做法 130
本章小結(jié) 131
第6 章 風(fēng)險(xiǎn)評(píng)估的實(shí)施 132
6．1 風(fēng)險(xiǎn)評(píng)估方法的選擇 132
6．2 管理結(jié)構(gòu)的辨識(shí) 136
6．3 風(fēng)險(xiǎn)評(píng)估范圍內(nèi)資產(chǎn)與活動(dòng)的辨識(shí) 137
6．4 關(guān)聯(lián)威脅的辨識(shí)與評(píng)估 142
6．5 關(guān)聯(lián)漏洞的辨識(shí)與評(píng)估 144
6．6 應(yīng)對(duì)措施的辨識(shí)與評(píng)估 146
6．7 基于評(píng)估需求的方法選擇 150
6．8 制定風(fēng)險(xiǎn)緩解建議 153
6．9 提交風(fēng)險(xiǎn)評(píng)估結(jié)果 156
6．10 實(shí)施風(fēng)險(xiǎn)評(píng)估的最佳做法 156
本章小結(jié) 157
第7 章 受保護(hù)資源及活動(dòng)的辨識(shí) 158
7．1 系統(tǒng)訪問及可用性 158
7．2 系統(tǒng)的人工和自動(dòng)功能 161
7．3 硬件資產(chǎn) 163
7．4 軟件資產(chǎn) 164
7．5 人力資源 166
7．6 數(shù)據(jù)及信息資源 167
7．7 典型信息技術(shù)基礎(chǔ)設(shè)施七個(gè)領(lǐng)域的資產(chǎn)和庫存管理 173
7．8 維持運(yùn)營(yíng)所需設(shè)施及供應(yīng)的辨識(shí) 178
本章小結(jié) 184
第8 章 威脅、脆弱性及漏洞的辨識(shí)與分析 185
8．1 威脅評(píng)估 185
8．2 脆弱性評(píng)估 193
8．3 漏洞評(píng)估 205
本章小結(jié) 212
第9 章 風(fēng)險(xiǎn)緩解安全控制的辨識(shí)與分析 213
9．1 現(xiàn)場(chǎng)控制 213
9．2 計(jì)劃控制 214
9．3 控制類別 214
9．4 程序控制范例 218
9．5 技術(shù)控制范例 226
9．6 物理控制范例 234
9．7 風(fēng)險(xiǎn)緩解安全控制的最佳做法 238
本章小結(jié) 239
第10 章 組織機(jī)構(gòu)中的風(fēng)險(xiǎn)緩解計(jì)劃 240
10．1 組織機(jī)構(gòu)中風(fēng)險(xiǎn)緩解的起點(diǎn) 240
10．2 組織機(jī)構(gòu)中風(fēng)險(xiǎn)管理的范圍 241
10．3 合法性及合規(guī)性問題對(duì)組織機(jī)構(gòu)影響的認(rèn)識(shí)和評(píng)估 252
10．4 合法性及合規(guī)性意義的詮釋 261
10．5 典型信息技術(shù)基礎(chǔ)構(gòu)架七個(gè)領(lǐng)域合法性及合規(guī)性意義
的影響評(píng)估 261
10．6 安防措施對(duì)風(fēng)險(xiǎn)緩解助益的評(píng)估 263
10．7 對(duì)合法性及合規(guī)性需求操作意義的認(rèn)識(shí) 263
10．8 組織機(jī)構(gòu)中風(fēng)險(xiǎn)緩解及風(fēng)險(xiǎn)降低的要素辨識(shí) 264
10．9 費(fèi)用效益分析的實(shí)施 265
10．10 組織機(jī)構(gòu)中風(fēng)險(xiǎn)緩解計(jì)劃的最佳做法 267
本章小結(jié) 267
第11 章 風(fēng)險(xiǎn)評(píng)估向風(fēng)險(xiǎn)緩解計(jì)劃的轉(zhuǎn)化 268
11．1 對(duì)信息技術(shù)基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估的審查 268
11．2 風(fēng)險(xiǎn)評(píng)估轉(zhuǎn)化為風(fēng)險(xiǎn)緩解計(jì)劃的實(shí)施過程 274
11．3 應(yīng)需緩解的風(fēng)險(xiǎn)要素排序 283
11．4 風(fēng)險(xiǎn)要素及其緩解方法的確認(rèn) 286
11．5 已辨識(shí)風(fēng)險(xiǎn)要素的費(fèi)用效益分析 287
11．6 風(fēng)險(xiǎn)緩解計(jì)劃的實(shí)施 289
11．7 風(fēng)險(xiǎn)緩解計(jì)劃的跟進(jìn) 293
11．8 風(fēng)險(xiǎn)評(píng)估向風(fēng)險(xiǎn)緩解計(jì)劃轉(zhuǎn)化的最佳做法 295
本章小結(jié) 296
第三部分 風(fēng)險(xiǎn)緩解計(jì)劃
第12 章 基于業(yè)務(wù)影響分析的風(fēng)險(xiǎn)緩解 297
12．1 什么是業(yè)務(wù)影響分析 297
12．2 業(yè)務(wù)影響分析的范圍 300
12．3 業(yè)務(wù)影響分析的目標(biāo) 302
12．4 業(yè)務(wù)影響分析的步驟 312
12．5 確定任務(wù)關(guān)鍵型業(yè)務(wù)功能和流程 318
12．6 從業(yè)務(wù)功能及流程到信息技術(shù)系統(tǒng)的映射 319
12．7 業(yè)務(wù)影響分析的最佳做法 320
本章小結(jié) 321
第13 章 基于業(yè)務(wù)持續(xù)性計(jì)劃的風(fēng)險(xiǎn)緩解 322
13．1 什么是業(yè)務(wù)持續(xù)性計(jì)劃 322
13．2 業(yè)務(wù)持續(xù)性計(jì)劃的要素 324
13．3 業(yè)務(wù)持續(xù)性計(jì)劃如何緩解組織機(jī)構(gòu)的風(fēng)險(xiǎn) 348
13．4 災(zāi)難恢復(fù)計(jì)劃的最佳做法 349
本章小結(jié) 349
第14 章 基于災(zāi)難恢復(fù)計(jì)劃的風(fēng)險(xiǎn)緩解 351
14．1 什么是災(zāi)難恢復(fù)計(jì)劃 351
14．2 關(guān)鍵成功因素 354
14．3 災(zāi)難恢復(fù)計(jì)劃的要素 365
14．4 災(zāi)難恢復(fù)計(jì)劃如何緩解組織機(jī)構(gòu)的風(fēng)險(xiǎn) 377
14．5 災(zāi)難恢復(fù)計(jì)劃的最佳做法 378
本章小結(jié) 379
第15 章 基于計(jì)算機(jī)事件響應(yīng)小組計(jì)劃的風(fēng)險(xiǎn)緩解 381
15．1 什么是計(jì)算機(jī)事件響應(yīng)小組計(jì)劃 381
15．2 計(jì)算機(jī)事件響應(yīng)小組計(jì)劃的目的 383
15．3 計(jì)算機(jī)事件響應(yīng)小組計(jì)劃的要素 385
15．4 計(jì)算機(jī)事件響應(yīng)小組計(jì)劃如何緩解組織機(jī)構(gòu)的風(fēng)險(xiǎn) 407
15．5 實(shí)施計(jì)算機(jī)事件響應(yīng)小組計(jì)劃的最佳做法 407
本章小結(jié) 408
附錄A 縮寫詞 409
附錄B 關(guān)鍵術(shù)語 418
參考文獻(xiàn) 437