信息安全風(fēng)險管理與實(shí)踐

第1章 概述 1
1.1 風(fēng)險和風(fēng)險管理 1
1.1.1 風(fēng)險 1
1.1.2 風(fēng)險的基本特性 2
1.1.3 風(fēng)險的構(gòu)成要素 4
1.1.4 風(fēng)險管理 5
1.2 信息安全風(fēng)險管理 8
1.2.1 信息安全 8
1.2.2 信息安全風(fēng)險 13
1.2.3 信息安全風(fēng)險管理 15
1.3 信息安全風(fēng)險評估 19
1.3.1 信息安全風(fēng)險評估的定義 19
1.3.2 信息安全風(fēng)險評估的目的和意義 19
1.3.3 信息安全風(fēng)險評估的原則 20
1.3.4 信息安全風(fēng)險評估過程 21
1.3.5 信息安全風(fēng)險管理與風(fēng)險評估的關(guān)系 21
1.4 小結(jié) 22
習(xí)題 22
第2章 信息安全風(fēng)險管理相關(guān)標(biāo)準(zhǔn) 23
2.1 標(biāo)準(zhǔn)化組織 23
2.1.1 國際的標(biāo)準(zhǔn)化組織 23
2.1.2 部分國家的標(biāo)準(zhǔn)化組織及相關(guān)標(biāo)準(zhǔn) 25
2.1.3 我國信息安全風(fēng)險管理標(biāo)準(zhǔn)體系框架 29
2.2 風(fēng)險管理標(biāo)準(zhǔn)ISO 31000 30
2.2.1 風(fēng)險管理歷史沿革 30
2.2.2 ISO 31000:2018主要內(nèi)容 32
2.2.3 新舊版本標(biāo)準(zhǔn)比較 38
2.3 信息安全風(fēng)險管理標(biāo)準(zhǔn)ISO/IEC 27005 39
2.3.1 ISO/IEC 27000系列標(biāo)準(zhǔn) 39
2.3.2 ISO/IEC 27005版本的演化 39
2.3.3 ISO/IEC 27005:2018標(biāo)準(zhǔn)主要內(nèi)容 40
2.3.4 ISO 31000與ISO/IEC 27005的比較 43
2.4 信息安全風(fēng)險評估規(guī)范GB/T 20984 44
2.4.1 我國信息安全風(fēng)險評估發(fā)展歷程 44
2.4.2 GB/T 20984規(guī)范主要內(nèi)容 45
2.4.3 GB/T 20984與ISO 31000與ISO/IEC 27005的關(guān)系 53
2.5 小結(jié) 54
習(xí)題 54
第3章　環(huán)境建立 55
3.1 環(huán)境建立概述 55
3.1.1 環(huán)境建立定義 55
3.1.2 環(huán)境建立目的和依據(jù) 56
3.1.3 基本準(zhǔn)則 57
3.1.4 范圍和邊界 58
3.1.5 信息安全風(fēng)險管理組織 58
3.2 環(huán)境建立過程 59
3.2.1 風(fēng)險管理準(zhǔn)備 59
3.2.2 調(diào)查與分析 63
3.2.3 信息安全分析 64
3.2.4 基本原則確立 65
3.2.5 實(shí)施規(guī)劃 66
3.3 環(huán)境建立文檔 67
3.4 風(fēng)險評估準(zhǔn)備 67
3.4.1 確定信息安全風(fēng)險評估的目標(biāo) 68
3.4.2 確定信息安全風(fēng)險評估的范圍 68
3.4.3 組建風(fēng)險評估團(tuán)隊(duì) 69
3.4.4 進(jìn)行系統(tǒng)調(diào)研 72
3.4.5 確定信息安全風(fēng)險評估依據(jù)和方法 72
3.4.6 選定評估工具 73
3.4.7 制定信息安全風(fēng)險評估方案 73
3.4.8 準(zhǔn)備階段工作保障 74
3.5 項(xiàng)目管理基礎(chǔ) 75
3.5.1 項(xiàng)目管理概述 75
3.5.2 項(xiàng)目管理的重點(diǎn)知識領(lǐng)域 77
3.5.3 項(xiàng)目生命周期 93
3.5.4 項(xiàng)目管理過程 95
3.6 小結(jié) 97
習(xí)題 98
第4章 發(fā)展戰(zhàn)略和業(yè)務(wù)識別 99
4.1 風(fēng)險識別概述 99
4.1.1 風(fēng)險識別的定義 99
4.1.2 風(fēng)險識別的原則 101
4.1.3 風(fēng)險識別的方法工具 101
4.2 發(fā)展戰(zhàn)略和業(yè)務(wù)識別內(nèi)容 102
4.2.1 發(fā)展戰(zhàn)略識別 102
4.2.2 業(yè)務(wù)識別內(nèi)容 104
4.2.3 發(fā)展戰(zhàn)略、業(yè)務(wù)與資產(chǎn)關(guān)系 105
4.2.4 發(fā)展戰(zhàn)略識別和業(yè)務(wù)識別的目的和意義 106
4.3 發(fā)展戰(zhàn)略和業(yè)務(wù)識別方法和工具 106
4.3.1 發(fā)展戰(zhàn)略識別方法和工具 106
4.3.2 業(yè)務(wù)識別方法和工具 107
4.4 發(fā)展戰(zhàn)略和業(yè)務(wù)識別過程和輸出 108
4.4.1 發(fā)展戰(zhàn)略識別過程和輸出 108
4.4.2 業(yè)務(wù)識別過程和輸出 109
4.5 發(fā)展戰(zhàn)略和業(yè)務(wù)識別案例 113
4.5.1 發(fā)展戰(zhàn)略識別 113
4.5.2 業(yè)務(wù)識別與業(yè)務(wù)賦值 114
4.6 小結(jié) 115
習(xí)題 116
第5章 資產(chǎn)識別 117
5.1 資產(chǎn)識別內(nèi)容 117
5.1.1 資產(chǎn)識別的定義 117
5.1.2 資產(chǎn)分類 118
5.1.3 資產(chǎn)賦值 119
5.2 資產(chǎn)識別方法和工具 122
5.2.1 資產(chǎn)識別方法 122
5.2.2 資產(chǎn)識別工具 124
5.3 資產(chǎn)識別過程和輸出 125
5.3.1 資產(chǎn)識別過程 125
5.3.2 資產(chǎn)識別輸出 128
5.4 資產(chǎn)識別案例 128
5.5 小結(jié) 133
習(xí)題 134
第6章 威脅識別 135
6.1 威脅識別內(nèi)容 135
6.1.1 威脅識別定義 135
6.1.2 威脅屬性 135
6.1.3 威脅分類 136
6.1.4 威脅賦值 137
6.2 威脅識別方法和工具 140
6.2.1 威脅識別方法 140
6.2.2 威脅識別工具 143
6.3 威脅識別過程和輸出 143
6.3.1 威脅識別過程 143
6.3.2 威脅識別輸出 150
6.4 威脅識別案例 150
6.5 小結(jié) 152
習(xí)題 153
第7章 脆弱性識別 154
7.1 脆弱性識別概述 154
7.1.1 脆弱性識別定義 154
7.1.2 脆弱性賦值 158
7.1.3 脆弱性識別原則 158
7.1.4 脆弱性識別方法和工具 159
7.2 物理脆弱性識別 162
7.2.1 物理安全相關(guān)定義 162
7.2.2 物理脆弱性識別內(nèi)容 165
7.2.3 物理脆弱性識別方法和工具 176
7.2.4 物理脆弱性識別過程 180
7.2.5 物理脆弱性識別案例 182
7.3 網(wǎng)絡(luò)脆弱性識別 184
7.3.1 網(wǎng)絡(luò)安全相關(guān)定義 184
7.3.2 網(wǎng)絡(luò)脆弱性識別內(nèi)容 190
7.3.3 網(wǎng)絡(luò)脆弱性識別方法和工具 197
7.3.4 網(wǎng)絡(luò)脆弱性識別過程 199
7.3.5 網(wǎng)絡(luò)脆弱性識別案例 200
7.4 系統(tǒng)脆弱性識別 204
7.4.1 系統(tǒng)安全相關(guān)定義 204
7.4.2 系統(tǒng)脆弱性識別內(nèi)容 211
7.4.3 系統(tǒng)脆弱性識別方法和工具 216
7.4.4 系統(tǒng)脆弱性識別過程 221
7.4.5 系統(tǒng)脆弱性識別案例 222
7.5 應(yīng)用脆弱性識別 227
7.5.1 應(yīng)用中間件安全和應(yīng)用系統(tǒng)安全的相關(guān)定義 227
7.5.2 應(yīng)用中間件和應(yīng)用系統(tǒng)脆弱性識別內(nèi)容 237
7.5.3 應(yīng)用中間件和應(yīng)用系統(tǒng)脆弱性識別方法和工具 244
7.5.4 應(yīng)用中間件和應(yīng)用系統(tǒng)脆弱性識別過程 247
7.5.5 應(yīng)用中間件和應(yīng)用系統(tǒng)脆弱性識別案例 248
7.6 數(shù)據(jù)脆弱性識別 250
7.6.1 數(shù)據(jù)安全的相關(guān)定義 250
7.6.2 數(shù)據(jù)脆弱性識別內(nèi)容 259
7.6.3 數(shù)據(jù)脆弱性識別方法和工具 260
7.6.4 數(shù)據(jù)脆弱性識別過程 261
7.6.5 數(shù)據(jù)脆弱性識別案例 261
7.7 管理脆弱性識別 263
7.7.1 管理安全相關(guān)定義 263
7.7.2 管理脆弱性識別內(nèi)容 265
7.7.3 管理脆弱性識別方法
和工具 271
7.7.4 管理脆弱性識別過程 277
7.7.5 管理脆弱性識別案例 278
7.8 小結(jié) 285
習(xí)題 285
第8章 已有安全措施識別 286
8.1 已有安全措施識別內(nèi)容 286
8.1.1 已有安全措施識別的
相關(guān)定義 286
8.1.2 與其他風(fēng)險評估階段的關(guān)系 288
8.1.3 已有安全措施有效性確認(rèn) 289
8.2 已有安全措施識別與確認(rèn)方法和工具 290
8.2.1 已有安全措施識別與確認(rèn)的方法 290
8.2.2 已有安全措施識別與確認(rèn)的工具 294
8.3 已有安全措施識別與確認(rèn)過程 295
8.3.1 已有安全措施識別與確認(rèn)原則 295
8.3.2 管理和操作控制措施識別與確認(rèn)過程 296
8.3.3 技術(shù)性控制措施識別與確認(rèn)過程 297
8.4 已有安全措施識別輸出 299
8.5 已有安全措施識別案例 299
8.5.1 案例背景描述 299
8.5.2 案例實(shí)施過程 300
8.5.3 案例輸出 303
8.6 小結(jié) 305
習(xí)題 305
第9章 風(fēng)險分析 306
9.1 風(fēng)險分析概述 306
9.1.1 風(fēng)險分析的定義 306
9.1.2 風(fēng)險分析的地位 306
9.1.3 風(fēng)險分析原理 306
9.1.4 風(fēng)險分析流程 308
9.2 風(fēng)險計(jì)算 314
9.2.1 風(fēng)險計(jì)算原理 314
9.2.2 使用矩陣法計(jì)算風(fēng)險 316
9.2.3 使用相乘法計(jì)算風(fēng)險 321
9.3 風(fēng)險分析案例 323
9.3.1 基本情況描述 323
9.3.2 高層信息安全風(fēng)險評估 325
9.3.3 詳細(xì)信息安全風(fēng)險評估 326
9.3.4 風(fēng)險計(jì)算 327
9.4 小結(jié) 328
習(xí)題 328
第10章 風(fēng)險評價及風(fēng)險評估輸出 329
10.1 風(fēng)險評價概述 329
10.1.1 風(fēng)險評價定義 329
10.1.2 風(fēng)險評價方法準(zhǔn)則 329
10.1.3 風(fēng)險評價方法 330
10.2 風(fēng)險評價判定 332
10.2.1 資產(chǎn)風(fēng)險評價 332
10.2.2 業(yè)務(wù)風(fēng)險評價 333
10.2.3 風(fēng)險評價結(jié)果 333
10.3 風(fēng)險評價示例 334
10.3.1 從多角度進(jìn)行風(fēng)險評價 334
10.3.2 信息系統(tǒng)總體風(fēng)險評價 335
10.4 風(fēng)險評估文檔輸出 336
10.4.1 風(fēng)險評估文檔記錄要求 337
10.4.2 風(fēng)險評估文檔的主要內(nèi)容 337
10.5 被評估對象生命周期各階段的風(fēng)險評估 338
10.5.1 被評估對象的生命周期 338
10.5.2 規(guī)劃階段的風(fēng)險評估 338
10.5.3 設(shè)計(jì)階段的風(fēng)險評估 339
10.5.4 實(shí)施階段的風(fēng)險評估 340
10.5.5 運(yùn)維階段的風(fēng)險評估 340
10.5.6 廢棄階段的風(fēng)險評估 341
10.6 風(fēng)險評估報告示例 342
10.7 小結(jié) 343
習(xí)題 343
第11章 風(fēng)險處置 344
11.1 風(fēng)險處置概述 344
11.1.1 風(fēng)險處置定義 344
11.1.2 風(fēng)險處置目的和依據(jù) 344
11.1.3 風(fēng)險處置原則 345
11.1.4 風(fēng)險處置方式 345
11.2 風(fēng)險處置準(zhǔn)備 347
11.2.1 確定風(fēng)險處置范圍和邊界 348
11.2.2 明確風(fēng)險處置角色和責(zé)任 348
11.2.3 確定風(fēng)險處置目標(biāo) 349
11.2.4 選擇風(fēng)險處置方式 350
11.2.5 制定風(fēng)險處置計(jì)劃 350
11.2.6 獲得決策層批準(zhǔn) 350
11.3 風(fēng)險處置實(shí)施 351
11.3.1 風(fēng)險處置方案制定 352
11.3.2 風(fēng)險處置方案實(shí)施 359
11.3.3 殘余風(fēng)險處置與評估 361
11.3.4 風(fēng)險處置相關(guān)文檔 361
11.4 風(fēng)險處置效果評價 362
11.4.1 評價原則 363
11.4.2 評價方法 363
11.4.3 評價方案 364
11.4.4 評價實(shí)施 364
11.4.5 持續(xù)改進(jìn) 365
11.5 風(fēng)險處置案例 365
11.5.1 項(xiàng)目背景 365
11.5.2 風(fēng)險處置準(zhǔn)備 366
11.5.3 風(fēng)險處置實(shí)施 368
11.5.4 風(fēng)險處置效果評價 374
11.6 風(fēng)險接受 376
11.6.1 風(fēng)險接受定義 376
11.6.2 風(fēng)險接受準(zhǔn)則 376
11.7 批準(zhǔn)留存 377
11.7.1 批準(zhǔn)留存定義 377