信息安全管理与风险评估

本书以信息安全管理为主线，以信息安全风险评估为重点，对近年来靠前外信息安全管理与风险评估的研究成果和应用实践，进行系统归纳和总结，全面介绍信息安全管理、信息安全风险管理、信息安全风险评估的基本知识、相关标准或指南，以及信息安全风险评估的工具、方法、过程等。
    本书层次分明，结构合理，叙述严谨，重点突出，注重实验环节。根据章节内容，适量安排实验内容，并且将实验与习题分开，独立编写。
    本书可作为高等学校信息安全、信息管理与信息系统、计算机科学与技术等专业本、专科学生的教材，也可作为从事信息化相关工作的领导、技术与管理人员的参考书。

第1章  信息安全管理概述
  1.1  信息与信息安全
    1.1.1  信息
    1.1.2  信息安全
  1.2  信息安全管理
  1.3  信息安全管理的目的
  1.4  信息安全管理遵循的原则
  习题1
第2章  信息安全管理标准
  2.1  国外信息安全管理标准
    2.1.1  信息安全管理标准BS 7799
    2.1.2  ISO/IEC 13335
    2.1.3  ISO/IEC 27001:2005
    2.1.4  CC准则
  2.2  我国的信息安全管理标准
    2.2.1  我国的信息安全管理标准概述
    2.2.2  GB/T 19715标准
    2.2.3  GB/T 19716—2005
  习题2
第3章  信息安全管理的实施
  3.1  信息安全管理标准BS 7799实施中的问题
    3.1.1  企业信息安全管理的现状
    3.1.2  信息安全管理标准实施的误区
    3.1.3  灵活使用BS 7799
  3.2  BS 7799信息安全管理实施案例
    3.2.1  信息安全管理体系认证实施案例
    3.2.2  BS 7799框架下安全产品与技术的具体实现
  习题3
第4章  信息安全风险管理
  4.1  信息安全风险管理概述
    4.1.1  信息安全风险管理的概念
    4.1.2  相关要素及概念
    4.1.3  信息安全风险管理各要素间的关系
  4.2  AS/NZS 4360:1999
    4.2.1  AS/NZS 4360:1999简介
    4.2.2  AS/NZS 4360:1999的内容
    4.2.3  AS/NZS 4360:1999风险管理流程
  4.3  NIST SP800-30
    4.3.1  NIST SP800-30简介
    4.3.2  NIST SP800-30的内容
    4.3.3  NIST SP800-30风险管理流程
  4.4  The Security Risk Management Guide
    4.4.1  The Security Risk Management Guide简介
    4.4.2  The Security Risk Management Guide的内容
    4.4.3  微软风险管理流程
  4.5  GB/T 20269—2006
    4.5.1  GB/T 20269—2006简介
    4.5.2  GB/T 20269—2006的内容
    4.5.3  GB/T 20269—2006风险管理
  习题4
第5章  信息安全风险评估概述
  5.1  信息安全风险评估发展概况
    5.1.1  国外信息安全风险评估发展概况
    5.1.2  我国信息安全风险评估的发展现状
  5.2  信息安全风险评估的目的和意义
  5.3  信息安全风险评估的原则
  5.4  信息安全风险评估的相关概念
    5.4.1  信息安全风险评估的概念
    5.4.2  信息安全风险评估和风险管理的关系
    5.4.3  信息安全风险评估的两种方式
    5.4.4  信息安全风险评估的分类
  5.5  国外信息安全风险评估标准
    5.5.1  OCTAVE
    5.5.2  SSE-CMM
    5.5.3  GAO/AIMD-99-139
  5.6  我国信息安全风险评估标准GB/T 20984—2007
    5.6.1  GB/T 20984—2007简介
    5.6.2  GB/T 20984—2007的内容
    5.6.3  GB/T 20984—2007的风险评估实施过程
  5.7  信息安全风险评估方法
    5.7.1  概述
    5.7.2  典型的信息安全风险评估方法
  5.8  信息系统生命周期各阶段的风险评估
    5.8.1  规划阶段的信息安全风险评估
    5.8.2  设计阶段的信息安全风险评估
    5.8.3  实施阶段的信息安全风险评估
    5.8.4  运维阶段的信息安全风险评估
    5.8.5  废弃阶段的信息安全风险评估
  习题5
  上机实验
第6章  信息安全风险评估工具
  6.1  风险评估与管理工具
    6.1.1  MBSA
    6.1.2  COBRA
    6.1.3  CRAMM
    6.1.4  ASSET
    6.1.5  RiskWatch
    6.1.6  其他风险评估与管理工具
    6.1.7  常用风险评估与管理工具对比
  6.2  系统基础平台风险评估工具
    6.2.1  脆弱性扫描工具
    6.2.2  流光（Fluxay）脆弱性扫描工具
    6.2.3  Nessus脆弱性扫描工具
    6.2.4  极光远程安全评估系统
    6.2.5  天镜脆弱性扫描与管理系统
    6.2.6  渗透测试工具
    6.2.7  Metasploit渗透工具
    6.2.8  Immunity CANVAS渗透测试工具
  6.3  风险评估辅助工具
    6.3.1  调查问卷
    6.3.2  检查列表
    6.3.3  人员访谈
    6.3.4  入侵检测工具
    6.3.5  安全审计工具
    6.3.6  拓扑发现工具
    6.3.7  其他：评估指标库、知识库、漏洞库、算法库、模型库
  6.4  信息安全风险评估工具的发展方向和最新成果
  习题6
  上机实验
第7章  信息安全风险评估的基本过程
  7.1  信息安全风险评估的过程
  7.2  评估准备
    7.2.1  确定信息安全风险评估的目标
    7.2.2  确定信息安全风险评估的范围
    7.2.3  组建适当的评估管理与实施团队
    7.2.4  进行系统调研
    7.2.5  确定信息安全风险评估的依据和方法
    7.2.6  制定信息安全风险评估方案
    7.2.7  获得最高管理者对信息安全风险评估工作的支持
  7.3  识别并评价资产
    7.3.1  识别资产
    7.3.2  资产分类
    7.3.3  资产赋值
    7.3.4  输出结果
  7.4  识别并评估威胁
    7.4.1  威胁识别
    7.4.2  威胁分类
    7.4.3  威胁赋值
    7.4.4  输出结果
  7.5  识别并评估脆弱性
    7.5.1  脆弱性识别
    7.5.2  脆弱性分类
    7.5.3  脆弱性赋值
    7.5.4  输出结果
  7.6  识别安全措施和输出结果
    7.6.1  识别安全措施
    7.6.2  输出结果
  7.7  分析可能性和影响
    7.7.1  分析可能性
    7.7.2  分析影响
  7.8  风险计算
    7.8.1  使用矩阵法计算风险
    7.8.2  使用相乘法计算风险
  7.9  风险处理
    7.9.1  现存风险判断
    7.9.2  控制目标确定
    7.9.3  控制措施选择
  7.10  编写信息安全风险评估报告
  习题7
第8章  信息安全风险评估实例
  8.1  评估准备
    8.1.1  确定信息安全风险评估的目标
    8.1.2  确定信息安全风险评估的范围
    8.1.3  组建适当的评估管理与实施团队
    8.1.4  进行系统调研
    8.1.5  评估依据
    8.1.6  信息安全风险评估项目实施方案
    8.1.7  获得最高管理者对信息安全风险评估工作的支持
  8.2  识别并评价资产
    8.2.1  识别资产
    8.2.2  资产赋值
    8.2.3  资产价值
  8.3  识别并评估威胁
  8.4  识别并评估脆弱性
  8.5  分析可能性和影响
    8.5.1  分析威胁发生的频率
    8.5.2  分析脆弱性严重程度
  8.6  风险计算
    8.6.1  使用矩阵法计算风险
    8.6.2  使用相乘法计算风险
  8.7  风险处理
    8.7.1  现存风险判断
    8.7.2  控制目标确定
    8.7.3  控制措施选择
  8.8  编写信息安全风险评估报告
  上机实验
参考文献