信息系统中的风险管理(第2版)

信息系统所面临的风险和挑战业已成为任何国家、组织和个人都无法回避的重大问题。达瑞尔·吉布森著的《信息系统中的风险管理(第2版)》则从综合、系统的视角探讨了信息系统中的风险管理问题，其中既包含了风险和风险管理的基本原理，又涉及了风险管理中各项子问题的细节，主要包括以下三个部分：风险管理业务的挑战；风险缓解；风险缓解计划。本书是信息系统、风险管理、信息安全等多学科领域的交叉融合之作，具有其独到的特色。它既可以作为信息安全、计算机科学与技术、管理科学与工程、信息系统管理、电子商务等专业本科和研究生教学使用，也可以作为信息系统建设与管理的工程技术人员、监管人员及管理者的参考用书。

达瑞尔·吉布森（Darril Gibson），是YCDA有限责任公司的CEO，他创作或合著了超过35本书。Darril定期撰写、咨询和教授各种技术和安全问题，并持有多项认证。
徐一帆，海军工程大学电子工程学院副教授，主要负责信息网络安全方面的研究，目前已发表该专业领域论文数十篇，研究成果颇丰。

第一部分风险管理业务的挑战
第1章风险管理基础
1.1什么是风险
1.2信息技术基础设施风险的主要组成
1.3风险管理及其对组织机构的影响
1.4风险识别技术
1.5风险管理技术
本章小结
第2章风险管理：威胁、漏洞及攻击
2.1对威胁的认识与管理
2.2对漏洞的认识与管理
2.3对漏洞攻击的认识与管理
2.4美国联邦政府的信息系统风险管理实践
本章小结
第3章合规性的依据
3.1美国合规性法规
3.2合规性的管理机构
3.3合规性的组织机构政策
3.4合规性的标准与指南
本章小结
第4章风险管理计划的制定
4.1风险管理计划的目标
4.2风险管理计划的范围
4.3风险管理计划中的职责分配
4.4风险管理计划中系统实现步骤与进度的描述
4.5需求报告
4.6行动和里程碑计划
4.7风险管理计划进展的图形表达
本章小结
第二部分风险缓解
第5章风险评估方法的概念
5.1对风险评估的认识
5.2风险评估的关键步骤
5.3风险评估的类型
5.4风险评估的挑战
5.5风险评估的很好做法
本章小结
第6章风险评估的实施
6.1风险评估方法的选择
6.2管理结构的辨识
6.3风险评估范围内资产与活动的辨识
6.4关联威胁的辨识与评估
6.5关联漏洞的辨识与评估
6.6应对措施的辨识与评估
6.7基于评估需求的方法选择
6.8制定风险缓解建议
6.9提交风险评估结果
6.10实施风险评估的很好做法
本章小结
第7章受保护资源及活动的辨识
7.1系统访问及可用性
7.2系统的人工和自动功能
7.3硬件资产
7.4软件资产
7.5人力资源
7.6数据及信息资源
7.7典型信息技术基础设施七个领域的资产和库存管理
7.8维持运营所需设施及供应的辨识
本章小结
第8章威胁、脆弱性及漏洞的辨识与分析
8.1威胁评估
8.2脆弱性评估
8.3漏洞评估
本章小结
第9章风险缓解安全控制的辨识与分析
9.1现场控制
9.2计划控制
9.3控制类别
9.4程序控制范例
9.5技术控制范例
9.6物理控制范例
9.7风险缓解安全控制的很好做法
本章小结
第10章组织机构中的风险缓解计划
10.1组织机构中风险缓解的起点
10.2组织机构中风险管理的范围
10.3合法性及合规性问题对组织机构影响的认识和评估
10.4合法性及合规性意义的诠释
10.5典型信息技术基础构架七个领域合法性及合规性意义的影响评估
10.6安防措施对风险缓解助益的评估
10.7对合法性及合规性需求操作意义的认识
10.8组织机构中风险缓解及风险降低的要素辨识
10.9费用效益分析的实施
10.10组织机构中风险缓解计划的很好做法
本章小结
第11章风险评估向风险缓解计划的转化
11.1对信息技术基础设施风险评估的审查
11.2风险评估转化为风险缓解计划的实施过程
11.3应需缓解的风险要素排序
11.4风险要素及其缓解方法的确认
11.5已辨识风险要素的费用效益分析
11.6风险缓解计划的实施
11.7风险缓解计划的跟进
11.8风险评估向风险缓解计划转化的很好做法
本章小结
第三部分风险缓解计划
第12章基于业务影响分析的风险缓解
12.1什么是业务影响分析
12.2业务影响分析的范围
12.3业务影响分析的目标
12.4业务影响分析的步骤
12.5确定任务关键型业务功能和流程
12.6从业务功能及流程到信息技术系统的映射
12.7业务影响分析的很好做法
本章小结
第13章基于业务持续性计划的风险缓解
13.1什么是业务持续性计划
13.2业务持续性计划的要素
13.3业务持续性计划如何缓解组织机构的风险
13.4灾难恢复计划的很好做法
本章小结
第14章基于灾难恢复计划的风险缓解
14.1什么是灾难恢复计划
14.2关键成功因素
14.3灾难恢复计划的要素
14.4灾难恢复计划如何缓解组织机构的风险
14.5灾难恢复计划的很好做法
本章小结
第15章基于计算机事件响应小组计划的风险缓解
15.1什么是计算机事件响应小组计划
15.2计算机事件响应小组计划的目的
15.3计算机事件响应小组计划的要素
15.4计算机事件响应小组计划如何缓解组织机构的风险
15.5实施计算机事件响应小组计划的很好做法
本章小结
附录A缩写词
附录B关键术语
参考文献