信息安全風(fēng)險(xiǎn)管理

第1章 概述
1.1 風(fēng)險(xiǎn)起源
1.1.1 風(fēng)險(xiǎn)的發(fā)展歷程
1.1.2 風(fēng)險(xiǎn)定義
1.1.3 風(fēng)險(xiǎn)管理
1.2 風(fēng)險(xiǎn)管理的模型
1.2.1 風(fēng)險(xiǎn)管理對象
1.2.2 信息安全屬性
1.2.3 風(fēng)險(xiǎn)管理環(huán)節(jié)
1.3 信息安全風(fēng)險(xiǎn)特性
1.3.1 風(fēng)險(xiǎn)的基本特性
1.3.2 風(fēng)險(xiǎn)的不確定性
1.3.3 風(fēng)險(xiǎn)的影響
1.4 信息安全風(fēng)險(xiǎn)要素與關(guān)系
1.4.1 基本要素
1.4.2 關(guān)系
第2章 信息安全風(fēng)險(xiǎn)管理相關(guān)標(biāo)準(zhǔn)
2.1 ISO／IEC31000
2.1.1 ISO／IEC31000標(biāo)準(zhǔn)內(nèi)容簡介
2.1.2 風(fēng)險(xiǎn)管理的原則
2.1.3 風(fēng)險(xiǎn)管理的框架
2.1.4 風(fēng)險(xiǎn)管理的過程
2.2 ISO／IEC 13335
2.2.1 ISO／IEC 13335標(biāo)準(zhǔn)內(nèi)容簡介
2.2.2 ISO／IEC 13335的信息安全概念
2.2.3 ISO／IEC 13335的安全要素
2.2.4 ISO／IEC 13335的八個(gè)安全要素之間的關(guān)系以及風(fēng)險(xiǎn)管理關(guān)系模型
2.3 ISO／IEC 27005
2.3.1 ISO／IEC 27005標(biāo)準(zhǔn)內(nèi)容簡介
2.3.2 IS0／IEC 27005風(fēng)險(xiǎn)管理過程
2.4 卡內(nèi)基梅隆
2.4.1 OCTAVE概述
2.4.2 OCTAVE Method介紹
2.4.3 OCTAVE-S介紹
2.5 GB／T 20984
2.5.1 GB／T 20984標(biāo)準(zhǔn)的內(nèi)容簡介
2.5.2 GB／T 20984的風(fēng)險(xiǎn)評估
第3章 信息安全風(fēng)險(xiǎn)評估實(shí)現(xiàn)
3.1 風(fēng)險(xiǎn)評估過程框架
3.1.1 風(fēng)險(xiǎn)評估原則
3.1.2 風(fēng)險(xiǎn)評估過程框架
3.2 風(fēng)險(xiǎn)識別階段
3.2.1 建立環(huán)境
3.2.2 風(fēng)險(xiǎn)評估前期調(diào)查
3.2.3 風(fēng)險(xiǎn)評估工具準(zhǔn)備
3.2.4 資產(chǎn)識別
3.2.5 威脅識別
3.2.6 脆弱性識別
3.2.7 安全措施分析
3.3 風(fēng)險(xiǎn)分析階段
3.3.1 風(fēng)險(xiǎn)分析
3.3.2 風(fēng)險(xiǎn)計(jì)算
3.4 風(fēng)險(xiǎn)評價(jià)階段
3.5 風(fēng)險(xiǎn)評估的報(bào)告
3.6 風(fēng)險(xiǎn)評估的評審
第4章 信息安全風(fēng)險(xiǎn)處置
4.1 風(fēng)險(xiǎn)處置過程框架
4.2 風(fēng)險(xiǎn)處置方法
4.3 風(fēng)險(xiǎn)處置措施選擇與實(shí)施
4.3.1 選擇風(fēng)險(xiǎn)處置方法
4.3.2 準(zhǔn)備和實(shí)施風(fēng)險(xiǎn)處置計(jì)劃
4.4 風(fēng)險(xiǎn)處置的監(jiān)視與評審
4.4.1 風(fēng)險(xiǎn)處置有效性的監(jiān)視與評審的必要性
4.4.2 風(fēng)險(xiǎn)處置有效性的監(jiān)督與評審示意圖（如圖4-3所示）
4.4.3 風(fēng)險(xiǎn)處置有效性的監(jiān)督與評審的原則
4.5 典型的風(fēng)險(xiǎn)處置措施
第5章 信息安全風(fēng)險(xiǎn)管理案例
5.1 案例背景
5.2 確定風(fēng)險(xiǎn)管理框架
5.3 風(fēng)險(xiǎn)識別
5.3.1 建立環(huán)境
5.3.2 前期調(diào)查
5.3.3 工具準(zhǔn)備
5.3.4 風(fēng)險(xiǎn)要素識別
5.4 風(fēng)險(xiǎn)分析
5.4.1 計(jì)算安全事件可能性
5.4.2 計(jì)算安全事件損失
5.4.3 計(jì)算風(fēng)險(xiǎn)值
5.5 風(fēng)險(xiǎn)評價(jià)
5.6 風(fēng)險(xiǎn)處置
5.6.1 現(xiàn)存風(fēng)險(xiǎn)判斷
5.6.2 控制措施選擇
5.7 風(fēng)險(xiǎn)管理評審
附錄1：風(fēng)險(xiǎn)評估的工具和方法
附表1-1 風(fēng)險(xiǎn)評估的方法
附錄2：系統(tǒng)調(diào)研調(diào)查表
附表2-1 單位基本情況調(diào)查表
附表2-2 參與測評項(xiàng)目相關(guān)人員名單
附表2-3 信息資產(chǎn)登記表
附表2-4 信息系統(tǒng)等級情況
附表2-5 外聯(lián)線路及設(shè)備端口網(wǎng)絡(luò)邊界情況
附表2-6 信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)環(huán)境情況
附表2-7 安全設(shè)備情況
附表2-8 網(wǎng)絡(luò)設(shè)備情況
附表2-9 終端設(shè)備情況
附表2-10 服務(wù)器設(shè)備情況
附表2-11 應(yīng)用系統(tǒng)軟件情況
附表2-12 業(yè)務(wù)系統(tǒng)功能登記表
附表2-13 信息系統(tǒng)承載業(yè)務(wù)（服務(wù)）表
附表2-14 業(yè)務(wù)數(shù)據(jù)情況調(diào)查
附表2-15 數(shù)據(jù)備份情況
附表2-16 應(yīng)用系統(tǒng)軟件處理流程（多表）
附表2-17 管理文檔情況調(diào)查（制度類文檔）
附表2-18 管理文檔情況調(diào)查（記錄類文檔）
附表2-19 安全威脅情況
參考文獻(xiàn)