信息安全风险管理从基础到实践

本书以信息安全风险为切入点，站在信息安全风 险管理的角度阐述网络安全新时代下网络与信息系统 安全保障的相关内容，重点提出了信息安全风险识别 与分析的方法，明确了信息安全风险控制措施。 全书共分为3个部分：第1部分讲述了信息安全风 险管理的基础，明确了信息安全风险定义及构成要 素，描述了信息安全风险管理内容及对象，提出了信 息安全风险识别分析和信息安全风险处置的基本方 法，突出了信息安全风险管理的标准、规范以及信息 系统生命周期风险管理的内容；第2部分讲述了信息安 全风险管理的发展，分析了信息安全风险形势变化， 对信息安全风险产生因素的变化进行描述，对信息安 全风险识别与分析的方法进行优化，对信息安全风险 控制方法进行优化，对新形势下信息安全风险管理合 规性要求的发展进行描述；第3部分重点讲述了信息安 全风险管理的实践工作，介绍了风险识别与分析方法 有机融合的创新点，对信息安全风险控制的技术措施 进行了叙述，列举了风险分析与识别方法以及风险控 制方法在税务行业的良好实践，在新型技术应用场景 中对信息安全风险识别与分析方法进行了展望。 本书内容实用性强，理论与实践紧密结合，语言 通俗易懂，非常适合信息安全技术人员、计算机网络 工程师等自学使用，也可用作高等院校相关专业的教 材及参考书。

第1部分 信息安全风险管理的基础 第1章 信息安全风险产生 1.1 信息安全风险含义 1.2 信息安全风险构成 1.2.1 基本要素 1.2.2 要素关系 1.3 信息安全风险决定因素 1.3.1 外部安全威胁 1.3.2 内部的脆弱性 第2章 信息安全风险管理的内容 2.1 信息安全风险管理定义 2.2 信息安全风险管理流程 2.3 信息安全风险管理对象 2.3.1 物理和环境 2.3.2 网络和通信 2.3.3 设备和计算 2.3.4 应用和数据 2.3.5 人员和管理 2.4 信息安全风险处置 2.4.1 风险处置总体描述 2.4.2 风险处置准备 2.4.3 风险处置方案制定 2.4.4 风险处置方案实施 2.4.5 风险处置效果评价 第3章 信息安全风险的识别与分析 3.1 信息安全检查 3.1.1 工作流程 3.1.2 工作内容 3.1.3 工作组织 3.1.4 检查对象选取 3.1.5 检查工作实施 3.2 信息安全风险评估 3.2.1 工作流程及框架 3.2.2 工作内容 3.2.3 确定评估对象 3.2.4 评估工作实施 3.2.5 风险分析及风险处置 3.3 信息系统安全等级保护测评 3.3.1 工作流程 3.3.2 定级要素及流程 3.3.3 测评原则及内容 3.3.4 测评对象 3.3.5 测评实施 3.3.6 结果判定 第4章 信息安全风险的控制 4.1 信息安全风险控制的概念 4.2 信息安全风险处置流程与方法 4.3 信息安全风险评估有效性检验 第5章 信息安全风险管理的合规性要求 第2部分 信息安全风险管理的发展变化 第6章 新形势下信息安全风险的变化 第7章 新技术应用环境产生的信息安全风险 第8章 新形势下信息安全风险识别与分析方法的优化 第9章 新形势下信息安全风险控制的方法优化 第10章 新形势下信息安全风险管理合规性要求的发展 第3部分 信息安全风险管理的实践 第11章 风险识别与分析方法融合——信息安全风险测评 第12章 信息安全风险控制方法——安全基线配置 第13章 信息安全风险控制方法——服务器信息安全加固 第14章 信息安全风险管理的良好实践 第15章 风险识别与分析方法在新技术环境中的应用 附录 参考文献