信息系統(tǒng)中的風險管理（第二版）

第一部分 風險管理業(yè)務的挑戰(zhàn)
第1 章 風險管理基礎 1
1．1 什么是風險 1
1．2 信息技術(shù)基礎設施風險的主要組成 5
1．3 風險管理及其對組織機構(gòu)的影響 13
1．4 風險識別技術(shù) 18
1．5 風險管理技術(shù) 23
本章小結(jié) 27
第2 章 風險管理：威脅、漏洞及攻擊 29
2．1 對威脅的認識與管理 29
2．2 對漏洞的認識與管理 35
2．3 對漏洞攻擊的認識與管理 41
2．4 美國聯(lián)邦政府的信息系統(tǒng)風險管理實踐 48
本章小結(jié) 54
第3 章 合規(guī)性的依據(jù) 55
3．1 美國合規(guī)性法規(guī) 55
3．2 合規(guī)性的管理機構(gòu) 62
3．3 合規(guī)性的組織機構(gòu)政策 66
3．4 合規(guī)性的標準與指南 67
本章小結(jié) 81
第4 章 風險管理計劃的制定 82
4．1 風險管理計劃的目標 82
4．2 風險管理計劃的范圍 85
4．3 風險管理計劃中的職責分配 88
4．4 風險管理計劃中系統(tǒng)實現(xiàn)步驟與進度的描述 92
4．5 需求報告 94
4．6 行動和里程碑計劃 100
4．7 風險管理計劃進展的圖形表達 103
本章小結(jié) 106
第二部分 風險緩解
第5 章 風險評估方法的概念 107
5．1 對風險評估的認識 107
5．2 風險評估的關(guān)鍵步驟 110
5．3 風險評估的類型 112
5．4 風險評估的挑戰(zhàn) 124
5．5 風險評估的最佳做法 130
本章小結(jié) 131
第6 章 風險評估的實施 132
6．1 風險評估方法的選擇 132
6．2 管理結(jié)構(gòu)的辨識 136
6．3 風險評估范圍內(nèi)資產(chǎn)與活動的辨識 137
6．4 關(guān)聯(lián)威脅的辨識與評估 142
6．5 關(guān)聯(lián)漏洞的辨識與評估 144
6．6 應對措施的辨識與評估 146
6．7 基于評估需求的方法選擇 150
6．8 制定風險緩解建議 153
6．9 提交風險評估結(jié)果 156
6．10 實施風險評估的最佳做法 156
本章小結(jié) 157
第7 章 受保護資源及活動的辨識 158
7．1 系統(tǒng)訪問及可用性 158
7．2 系統(tǒng)的人工和自動功能 161
7．3 硬件資產(chǎn) 163
7．4 軟件資產(chǎn) 164
7．5 人力資源 166
7．6 數(shù)據(jù)及信息資源 167
7．7 典型信息技術(shù)基礎設施七個領域的資產(chǎn)和庫存管理 173
7．8 維持運營所需設施及供應的辨識 178
本章小結(jié) 184
第8 章 威脅、脆弱性及漏洞的辨識與分析 185
8．1 威脅評估 185
8．2 脆弱性評估 193
8．3 漏洞評估 205
本章小結(jié) 212
第9 章 風險緩解安全控制的辨識與分析 213
9．1 現(xiàn)場控制 213
9．2 計劃控制 214
9．3 控制類別 214
9．4 程序控制范例 218
9．5 技術(shù)控制范例 226
9．6 物理控制范例 234
9．7 風險緩解安全控制的最佳做法 238
本章小結(jié) 239
第10 章 組織機構(gòu)中的風險緩解計劃 240
10．1 組織機構(gòu)中風險緩解的起點 240
10．2 組織機構(gòu)中風險管理的范圍 241
10．3 合法性及合規(guī)性問題對組織機構(gòu)影響的認識和評估 252
10．4 合法性及合規(guī)性意義的詮釋 261
10．5 典型信息技術(shù)基礎構(gòu)架七個領域合法性及合規(guī)性意義
的影響評估 261
10．6 安防措施對風險緩解助益的評估 263
10．7 對合法性及合規(guī)性需求操作意義的認識 263
10．8 組織機構(gòu)中風險緩解及風險降低的要素辨識 264
10．9 費用效益分析的實施 265
10．10 組織機構(gòu)中風險緩解計劃的最佳做法 267
本章小結(jié) 267
第11 章 風險評估向風險緩解計劃的轉(zhuǎn)化 268
11．1 對信息技術(shù)基礎設施風險評估的審查 268
11．2 風險評估轉(zhuǎn)化為風險緩解計劃的實施過程 274
11．3 應需緩解的風險要素排序 283
11．4 風險要素及其緩解方法的確認 286
11．5 已辨識風險要素的費用效益分析 287
11．6 風險緩解計劃的實施 289
11．7 風險緩解計劃的跟進 293
11．8 風險評估向風險緩解計劃轉(zhuǎn)化的最佳做法 295
本章小結(jié) 296
第三部分 風險緩解計劃
第12 章 基于業(yè)務影響分析的風險緩解 297
12．1 什么是業(yè)務影響分析 297
12．2 業(yè)務影響分析的范圍 300
12．3 業(yè)務影響分析的目標 302
12．4 業(yè)務影響分析的步驟 312
12．5 確定任務關(guān)鍵型業(yè)務功能和流程 318
12．6 從業(yè)務功能及流程到信息技術(shù)系統(tǒng)的映射 319
12．7 業(yè)務影響分析的最佳做法 320
本章小結(jié) 321
第13 章 基于業(yè)務持續(xù)性計劃的風險緩解 322
13．1 什么是業(yè)務持續(xù)性計劃 322
13．2 業(yè)務持續(xù)性計劃的要素 324
13．3 業(yè)務持續(xù)性計劃如何緩解組織機構(gòu)的風險 348
13．4 災難恢復計劃的最佳做法 349
本章小結(jié) 349
第14 章 基于災難恢復計劃的風險緩解 351
14．1 什么是災難恢復計劃 351
14．2 關(guān)鍵成功因素 354
14．3 災難恢復計劃的要素 365
14．4 災難恢復計劃如何緩解組織機構(gòu)的風險 377
14．5 災難恢復計劃的最佳做法 378
本章小結(jié) 379
第15 章 基于計算機事件響應小組計劃的風險緩解 381
15．1 什么是計算機事件響應小組計劃 381
15．2 計算機事件響應小組計劃的目的 383
15．3 計算機事件響應小組計劃的要素 385
15．4 計算機事件響應小組計劃如何緩解組織機構(gòu)的風險 407
15．5 實施計算機事件響應小組計劃的最佳做法 407
本章小結(jié) 408
附錄A 縮寫詞 409
附錄B 關(guān)鍵術(shù)語 418
參考文獻 437