信息安全風(fēng)險(xiǎn)管理（修訂版）

第1章 概述
1．1 風(fēng)險(xiǎn)起源
1．1．1 風(fēng)險(xiǎn)概念的由來
1．1．2 風(fēng)險(xiǎn)定義
1．1．3 風(fēng)險(xiǎn)管理的歷史
1．2 信息安全風(fēng)險(xiǎn)管理
1．2．1 信息安全風(fēng)險(xiǎn)管理對(duì)象
1．2．2 信息安全屬性
1．2．3 信息安全風(fēng)險(xiǎn)管理環(huán)節(jié)
1．3 信息安全風(fēng)險(xiǎn)特性
1．3．1 風(fēng)險(xiǎn)的基本特性
1．3．2 風(fēng)險(xiǎn)的不確定性
1．3．3 風(fēng)險(xiǎn)的影響
1．4 信息安全風(fēng)險(xiǎn)要素與關(guān)系
1．4．1 基本要素
1．4．2 關(guān)系
1．5 信息安全風(fēng)險(xiǎn)評(píng)估
1．5．1 信息安全風(fēng)險(xiǎn)管理與風(fēng)險(xiǎn)評(píng)估的關(guān)系
1．5．2 信息安全風(fēng)險(xiǎn)評(píng)估的意義以及開展方式
1．5．3 信息安全風(fēng)險(xiǎn)評(píng)估與其他信息安全工作的關(guān)系
第2章 信息安全風(fēng)險(xiǎn)管理相關(guān)標(biāo)準(zhǔn)
2．1 ISO風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)
2．1．1 ISO 31000標(biāo)準(zhǔn)簡(jiǎn)介
2．1．2 風(fēng)險(xiǎn)管理原則
2．1．3 風(fēng)險(xiǎn)管理框架
2．1．4 風(fēng)險(xiǎn)管理過程
2．2 ISO信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)
2．2．1 ISO 27005標(biāo)準(zhǔn)簡(jiǎn)介
2．2．2 信息安全風(fēng)險(xiǎn)管理過程
2．3 國(guó)外信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)
2．3．1 OCTAVE簡(jiǎn)介
2．3．2 OCTAVE萬(wàn)法
2．3．3 OCTAVE簡(jiǎn)版
2．4 我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)
2．4．1 GB／T 20984標(biāo)準(zhǔn)簡(jiǎn)介
2．4．2 信息安全風(fēng)險(xiǎn)評(píng)估
第3章 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)現(xiàn)
3．1 風(fēng)險(xiǎn)評(píng)估過程框架
3．1．1 風(fēng)險(xiǎn)評(píng)估原則
3．1．2 風(fēng)險(xiǎn)評(píng)估過程框架
3．2 風(fēng)險(xiǎn)識(shí)別階段
3．2．1 建立環(huán)境
3．2．2 風(fēng)險(xiǎn)評(píng)估前期調(diào)查
3．2．3 風(fēng)險(xiǎn)評(píng)估工具準(zhǔn)備
3．2．4 資產(chǎn)識(shí)別
3．2．5 威脅識(shí)別
3．2．6 脆弱性識(shí)別
3．2．7 安全措施分析
3．3 風(fēng)險(xiǎn)分析階段
3．3．1 風(fēng)險(xiǎn)分析
3．3．2 風(fēng)險(xiǎn)計(jì)算
3．4 風(fēng)險(xiǎn)評(píng)價(jià)階段
3．5 風(fēng)險(xiǎn)評(píng)估的報(bào)告
3．6 風(fēng)險(xiǎn)評(píng)估的評(píng)審
第4章 信息安全風(fēng)險(xiǎn)處置
4．1 風(fēng)險(xiǎn)處置過程框架
4．2 風(fēng)險(xiǎn)處置方法
4．3 風(fēng)險(xiǎn)處置措施選擇與實(shí)施
4．3．1 選擇風(fēng)險(xiǎn)處置方法
4．3．2 準(zhǔn)備和實(shí)施風(fēng)險(xiǎn)處置計(jì)劃
4．4 風(fēng)險(xiǎn)處置的監(jiān)視與評(píng)審
4．4．1 風(fēng)險(xiǎn)處置有效性的監(jiān)視與評(píng)審的必要性
4．4．2 風(fēng)險(xiǎn)處置有效性的監(jiān)督與評(píng)審示意圖
4．4．3 風(fēng)險(xiǎn)處置有效性的監(jiān)督與評(píng)審的原則
4．5 典型的風(fēng)險(xiǎn)處置措施
第5章 信息安全風(fēng)險(xiǎn)管理案例
5．1 案例說明
5．1．1 案例背景
5．1．2 實(shí)施思路
5．2 確定范疇
5．2．1 確定信息安全風(fēng)險(xiǎn)管理的范圍
5．2．2 確定信息安全風(fēng)險(xiǎn)管理的目標(biāo)
5．2．3 組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)
5．2．4 描述信息系統(tǒng)基本情況
5．2．5 形成成果文檔
5．2．6 獲得最高管理者的支持
5．3 評(píng)估準(zhǔn)備
5．3．1 制訂風(fēng)險(xiǎn)評(píng)估方案
5．3．2 選擇適合的方法和工具
5．3．3 形成成果文檔
5．4 風(fēng)險(xiǎn)識(shí)別
5．4．1 識(shí)別并評(píng)價(jià)資產(chǎn)
5．4．2 識(shí)別并評(píng)估威脅
5．4．3 識(shí)別并評(píng)估脆弱性
5．4．4 形成成果文檔
5．5 風(fēng)險(xiǎn)分析與評(píng)價(jià)
5．5．1 風(fēng)險(xiǎn)分析
5．5．2 風(fēng)險(xiǎn)評(píng)價(jià)
5．5．3 形成成果文檔
5．6 風(fēng)險(xiǎn)處置
5．6．1 風(fēng)險(xiǎn)處置計(jì)劃
5．6．2 風(fēng)險(xiǎn)處置實(shí)施
5．6．3 形成成果文檔
5．7 批準(zhǔn)監(jiān)督
附錄A 風(fēng)險(xiǎn)評(píng)估的工具和方法
附錄A．1 風(fēng)險(xiǎn)評(píng)估的工具
附錄A．2 風(fēng)險(xiǎn)評(píng)估的方法
附錄B 系統(tǒng)調(diào)研調(diào)查表