信息安全風險管理（修訂版）

第1章 概述
1．1 風險起源
1．1．1 風險概念的由來
1．1．2 風險定義
1．1．3 風險管理的歷史
1．2 信息安全風險管理
1．2．1 信息安全風險管理對象
1．2．2 信息安全屬性
1．2．3 信息安全風險管理環(huán)節(jié)
1．3 信息安全風險特性
1．3．1 風險的基本特性
1．3．2 風險的不確定性
1．3．3 風險的影響
1．4 信息安全風險要素與關(guān)系
1．4．1 基本要素
1．4．2 關(guān)系
1．5 信息安全風險評估
1．5．1 信息安全風險管理與風險評估的關(guān)系
1．5．2 信息安全風險評估的意義以及開展方式
1．5．3 信息安全風險評估與其他信息安全工作的關(guān)系
第2章 信息安全風險管理相關(guān)標準
2．1 ISO風險管理標準
2．1．1 ISO 31000標準簡介
2．1．2 風險管理原則
2．1．3 風險管理框架
2．1．4 風險管理過程
2．2 ISO信息安全風險管理標準
2．2．1 ISO 27005標準簡介
2．2．2 信息安全風險管理過程
2．3 國外信息安全風險評估標準
2．3．1 OCTAVE簡介
2．3．2 OCTAVE萬法
2．3．3 OCTAVE簡版
2．4 我國信息安全風險評估標準
2．4．1 GB／T 20984標準簡介
2．4．2 信息安全風險評估
第3章 信息安全風險評估實現(xiàn)
3．1 風險評估過程框架
3．1．1 風險評估原則
3．1．2 風險評估過程框架
3．2 風險識別階段
3．2．1 建立環(huán)境
3．2．2 風險評估前期調(diào)查
3．2．3 風險評估工具準備
3．2．4 資產(chǎn)識別
3．2．5 威脅識別
3．2．6 脆弱性識別
3．2．7 安全措施分析
3．3 風險分析階段
3．3．1 風險分析
3．3．2 風險計算
3．4 風險評價階段
3．5 風險評估的報告
3．6 風險評估的評審
第4章 信息安全風險處置
4．1 風險處置過程框架
4．2 風險處置方法
4．3 風險處置措施選擇與實施
4．3．1 選擇風險處置方法
4．3．2 準備和實施風險處置計劃
4．4 風險處置的監(jiān)視與評審
4．4．1 風險處置有效性的監(jiān)視與評審的必要性
4．4．2 風險處置有效性的監(jiān)督與評審示意圖
4．4．3 風險處置有效性的監(jiān)督與評審的原則
4．5 典型的風險處置措施
第5章 信息安全風險管理案例
5．1 案例說明
5．1．1 案例背景
5．1．2 實施思路
5．2 確定范疇
5．2．1 確定信息安全風險管理的范圍
5．2．2 確定信息安全風險管理的目標
5．2．3 組建適當?shù)脑u估管理與實施團隊
5．2．4 描述信息系統(tǒng)基本情況
5．2．5 形成成果文檔
5．2．6 獲得最高管理者的支持
5．3 評估準備
5．3．1 制訂風險評估方案
5．3．2 選擇適合的方法和工具
5．3．3 形成成果文檔
5．4 風險識別
5．4．1 識別并評價資產(chǎn)
5．4．2 識別并評估威脅
5．4．3 識別并評估脆弱性
5．4．4 形成成果文檔
5．5 風險分析與評價
5．5．1 風險分析
5．5．2 風險評價
5．5．3 形成成果文檔
5．6 風險處置
5．6．1 風險處置計劃
5．6．2 風險處置實施
5．6．3 形成成果文檔
5．7 批準監(jiān)督
附錄A 風險評估的工具和方法
附錄A．1 風險評估的工具
附錄A．2 風險評估的方法
附錄B 系統(tǒng)調(diào)研調(diào)查表