信息安全度量(用来测量安全性和保护数据的一种有效框架)

信息安全度量提供一个全面的方法来衡量风险、 威胁、业务活动和组织中数据保护的有效性。兰斯· 海登编著的《信息安全度量：用来测量安全性和保护 数据的一种有效框架》这本书介绍了如何选择、设计 有效的度量策略以及相应策略的数据要求，并引入了 安全过程管理框架，讨论了安全度量数据的分析策略 。您将学习如何在各种组织环境中采取安全度量项目 ，以实现持续的安全改进。该权威性指南涵盖了现实 生活中多种安全度量项目案例。 ★将安全度量定义为可控数量的有用数据 ★设计有效的安全度量 ★了解定量数据和定性数据、数据来源以及收集 和标准化方法 ★使用安全过程管理框架实施可编程的安全方案 ★采用定量分析和定性分析的方法分析安全度量 数据 ★设计安全测量项目进行安全度量的运行分析 ★测量安全操作、合规性、成本、价值、人、组 织和文化 ★管理使用安全改善计划的安全测量项目组 ★将组织学习的方法应用于安全度量

樊晖，毕业于北京第二外国语学院汉语言文学专业，2011年取得专业英语八级证书。 于江霞，博士，首都师范大学外国语学院硕士生导师。研究领域为翻译理论与实践、美国语言政策、美国社会与文化等。 王标，博士，国际关系学院副教授，现任国际关系学院网络中心主任。研究领域为密码学、信息安全、网络空间安全战略等。 兰斯·海登（Lance Hayden）是一名思科系统公司全球安全实践的解决方案架构师和信息科学家。兰斯关于安全测量和操作的见解源于他独特的20年专业经验，他的专业经验横跨公共、私人和学术等领域。在成功从政府过渡到私营部门的安全专家前，他以中央情报局（CIA）情报长官的身份为起点开始了他的职业生涯。十多年来，兰斯帮助思科的客户对他们的安全操作做出更明智的决定，通过提供咨询和对威胁和控制的经验评估来降低风险和不确定性。他在各类安全行业的活动中发表演讲，为安全行业杂志撰写文童。已拥有信息系统安全认证专家和信息安全员的专业证书。 兰斯也是一个训练有素的社会科学家，拥有得克萨斯大学信息科学博士学位，并在此任教开设信息安全和社会监督课程。兰斯主要研究社会和组织环境中的监测和安全技术，结合定量和定性数据和分析，整体地理解这些具有挑战性的研究问题。作为一个学者，兰斯已在会议和同行评议期刊上发表过多篇文章。 吕欣，博士，国家信息中心副研究员，现为国家信息中心博士后工作站处长，《信息安全研究》期刊副主编。研究领域为网络安全和评价体系、网络空间安全战略等。2005年于中国科学院大学（原中国科学院研究生院）获得工学博士学位，2006—2008年在国家信息中心从事管理学博士后研究。曾主持国家社科基金青年项目，社科基金重大项目子课题，中国博士后科学基金面上项目、特别资助项目等多项课题，完成省部级委托研究及咨询项目十多项。

导读 第一部分 安全度量介绍 第一章 什么是信息安全度量？ 度量和测量 度量是结果 测量是行为 安全度量的现况 风险 安全漏洞和事故统计 年预期亏损 投资回报率 总体拥有成本 安全度量标准现状并不令人满意：从其他行业吸取的教训 保险业 制造业 设计行业 重新评估我们关于安全度量标准的看法 地域思考 分析性的思考 超前思考 总结 扩展阅读 第二章 设计有效的安全度量 选择好的度量指标体系 定义度量指标和测量 没有好坏之分，思想使然 你想知道什么？ 观察！ GQM——更好的安全度量 什么是GQM？ 提出问题 分配度量 把以上这些都放在一起 度量目录 GQM更多安全性的用途 测量安全运营 测量符合法规或标准 测量人文 将GQM应用到你自己的安全测量中 总结 扩展阅读 第三章 了解数据 数据是什么？ 数据的定义 数据类型 安全度量的数据源 系统数据 过程数据 文件数据 人群数据 我们有度量和数据——然后呢？ 总结 扩展阅读 案例研究1 探究企业度量 场景1：我们的新漏洞管理计划 场景2：首当其冲是谁？ 场景3：幻灯片的价值 场景4：监控程序 场景5：代价是什么，真相是什么？ 总结 第二部分 安全度量的实施 第四章 安全过程管理框架 安全管理业务流程 定义业务流程 安全流程 过程管理的历史 SPM框架 安全度量 安全度量项目 安全改进计划 安全过程管理 开始使用SPM之前 获得支持：森林在哪儿？ 安全研究项目 总结 扩展阅读 第五章 分析安全度量数据 最重要的一步 进行分析的理由 你要完成的任务是什么？ 准备数据分析 分析工具和技术 描述性统计 推理性统计 其他统计技术 定性和混合方法分析 总结 扩展阅读 第六章 设计安全测量项目 项目开始前 项目的先决条件 确定项目类型 项目捆绑 获得支持和资源 第一阶段：建立项目计划和组织团队 项目计划 项目团队 第二阶段：收集度量数据 收集度量数据 存储和保护度量数据 第三阶段：分析度量数据并得出结论 第四阶段：展示成果 文本演示 图像演示 发布结论 第五阶段：成果复用 项目管理工具 总结 扩展阅读 案例研究2 安全态势评估（SPA）中的标准化工具资料 背景知识：SPA服务的概述 SPA工具 数据结构 案例的目标 方法论 挑战 总结 第三部分 探索安全度量项目 第七章 测量安全操作 安全性操作的度量样本 安全性操作的测量项目样本 SMP：综合风险评估 SMP：内部漏洞评估 SMP：推论分析 总结 扩展阅读 第八章 测量合规性和一致性 测量合规性的挑战 相关标准的混淆 审计还是测量？ 多重框架的混淆 合规性及一致性测量项目的样例 建立一个精简的通用控制框架 合规性框架的映射评估 分析安全政策文档的可读性 总结 扩展阅读 第九章 测量安全成本与价值 合规性及一致性测量项目的样例 测量上报的个人身份信息披露的可能性 测量外包安全事件监控流程的成本效益 测量安全过程的成本 度量成本和价值中数据的重要性 总结 扩展阅读 第十章 测量人员、组织和文化 人员、组织和文化的测量项目案例 测量公司权益相关人的安全定位 物理安全实践的民族志研究 总结 扩展阅读 案例研究3 网络应用的漏洞 源数据和规范化 结果、时间表、资源 对“脏数据”的最初报告 模糊的数据 决定使用哪些信息 和权益相关人一起实施数据清理 同权益相关人以报告和讨论的方式跟进 吸取教训：修补过程之后自动化 经验教训：不要在报告前等待完美的数据 总结 第四部分 在安全度量之外 第十一章 安全改善方案 从项目到方案 使用安全改善方案管理安全测量 安全测量的治理 SIP：仍然和数据有关 对SIP的要求 开始前的准备 SMP项目的存档基础 分享安全测量结果 长期开展跨项目合作 测量SIP 安全改善是习惯养成的过程 SIP有效吗？ 安全性提高了吗？ 案例：作用于内部威胁测量的SIP 总结 扩展阅读 第十二章 安全性的学习方式：安全过程管理的不同内容 组织的学习 IT安全度量的三种学习方式 标准化测试：ISO／IEC 27004测量 生活课堂：Basili的经验工厂 专注：Karl Weick和高可靠性组织 最终想法 总结 扩展阅读 案例研究4 为安全度量项目提供管理支持 CISO攻击了我的电脑 什么是支持？ 公司与大学：谁更疯狂？ 大学个案研究 项目概览 主题 发现 要点 影响力与组织变革 总结