信息安全風(fēng)險管理（修訂版）

第1章 概述
1．1 風(fēng)險起源
1．1．1 風(fēng)險概念的由來
1．1．2 風(fēng)險定義
1．1．3 風(fēng)險管理的歷史
1．2 信息安全風(fēng)險管理
1．2．1 信息安全風(fēng)險管理對象
1．2．2 信息安全屬性
1．2．3 信息安全風(fēng)險管理環(huán)節(jié)
1．3 信息安全風(fēng)險特性
1．3．1 風(fēng)險的基本特性
1．3．2 風(fēng)險的不確定性
1．3．3 風(fēng)險的影響
1．4 信息安全風(fēng)險要素與關(guān)系
1．4．1 基本要素
1．4．2 關(guān)系
1．5 信息安全風(fēng)險評估
1．5．1 信息安全風(fēng)險管理與風(fēng)險評估的關(guān)系
1．5．2 信息安全風(fēng)險評估的意義以及開展方式
1．5．3 信息安全風(fēng)險評估與其他信息安全工作的關(guān)系
第2章 信息安全風(fēng)險管理相關(guān)標準
2．1 ISO風(fēng)險管理標準
2．1．1 ISO 31000標準簡介
2．1．2 風(fēng)險管理原則
2．1．3 風(fēng)險管理框架
2．1．4 風(fēng)險管理過程
2．2 ISO信息安全風(fēng)險管理標準
2．2．1 ISO 27005標準簡介
2．2．2 信息安全風(fēng)險管理過程
2．3 國外信息安全風(fēng)險評估標準
2．3．1 OCTAVE簡介
2．3．2 OCTAVE萬法
2．3．3 OCTAVE簡版
2．4 我國信息安全風(fēng)險評估標準
2．4．1 GB／T 20984標準簡介
2．4．2 信息安全風(fēng)險評估
第3章 信息安全風(fēng)險評估實現(xiàn)
3．1 風(fēng)險評估過程框架
3．1．1 風(fēng)險評估原則
3．1．2 風(fēng)險評估過程框架
3．2 風(fēng)險識別階段
3．2．1 建立環(huán)境
3．2．2 風(fēng)險評估前期調(diào)查
3．2．3 風(fēng)險評估工具準備
3．2．4 資產(chǎn)識別
3．2．5 威脅識別
3．2．6 脆弱性識別
3．2．7 安全措施分析
3．3 風(fēng)險分析階段
3．3．1 風(fēng)險分析
3．3．2 風(fēng)險計算
3．4 風(fēng)險評價階段
3．5 風(fēng)險評估的報告
3．6 風(fēng)險評估的評審
第4章 信息安全風(fēng)險處置
4．1 風(fēng)險處置過程框架
4．2 風(fēng)險處置方法
4．3 風(fēng)險處置措施選擇與實施
4．3．1 選擇風(fēng)險處置方法
4．3．2 準備和實施風(fēng)險處置計劃
4．4 風(fēng)險處置的監(jiān)視與評審
4．4．1 風(fēng)險處置有效性的監(jiān)視與評審的必要性
4．4．2 風(fēng)險處置有效性的監(jiān)督與評審示意圖
4．4．3 風(fēng)險處置有效性的監(jiān)督與評審的原則
4．5 典型的風(fēng)險處置措施
第5章 信息安全風(fēng)險管理案例
5．1 案例說明
5．1．1 案例背景
5．1．2 實施思路
5．2 確定范疇
5．2．1 確定信息安全風(fēng)險管理的范圍
5．2．2 確定信息安全風(fēng)險管理的目標
5．2．3 組建適當?shù)脑u估管理與實施團隊
5．2．4 描述信息系統(tǒng)基本情況
5．2．5 形成成果文檔
5．2．6 獲得最高管理者的支持
5．3 評估準備
5．3．1 制訂風(fēng)險評估方案
5．3．2 選擇適合的方法和工具
5．3．3 形成成果文檔
5．4 風(fēng)險識別
5．4．1 識別并評價資產(chǎn)
5．4．2 識別并評估威脅
5．4．3 識別并評估脆弱性
5．4．4 形成成果文檔
5．5 風(fēng)險分析與評價
5．5．1 風(fēng)險分析
5．5．2 風(fēng)險評價
5．5．3 形成成果文檔
5．6 風(fēng)險處置
5．6．1 風(fēng)險處置計劃
5．6．2 風(fēng)險處置實施
5．6．3 形成成果文檔
5．7 批準監(jiān)督
附錄A 風(fēng)險評估的工具和方法
附錄A．1 風(fēng)險評估的工具
附錄A．2 風(fēng)險評估的方法
附錄B 系統(tǒng)調(diào)研調(diào)查表