信息安全風險管理與實踐

第1章 概述 1
1.1 風險和風險管理 1
1.1.1 風險 1
1.1.2 風險的基本特性 2
1.1.3 風險的構(gòu)成要素 4
1.1.4 風險管理 5
1.2 信息安全風險管理 8
1.2.1 信息安全 8
1.2.2 信息安全風險 13
1.2.3 信息安全風險管理 15
1.3 信息安全風險評估 19
1.3.1 信息安全風險評估的定義 19
1.3.2 信息安全風險評估的目的和意義 19
1.3.3 信息安全風險評估的原則 20
1.3.4 信息安全風險評估過程 21
1.3.5 信息安全風險管理與風險評估的關(guān)系 21
1.4 小結(jié) 22
習題 22
第2章 信息安全風險管理相關(guān)標準 23
2.1 標準化組織 23
2.1.1 國際的標準化組織 23
2.1.2 部分國家的標準化組織及相關(guān)標準 25
2.1.3 我國信息安全風險管理標準體系框架 29
2.2 風險管理標準ISO 31000 30
2.2.1 風險管理歷史沿革 30
2.2.2 ISO 31000:2018主要內(nèi)容 32
2.2.3 新舊版本標準比較 38
2.3 信息安全風險管理標準ISO/IEC 27005 39
2.3.1 ISO/IEC 27000系列標準 39
2.3.2 ISO/IEC 27005版本的演化 39
2.3.3 ISO/IEC 27005:2018標準主要內(nèi)容 40
2.3.4 ISO 31000與ISO/IEC 27005的比較 43
2.4 信息安全風險評估規(guī)范GB/T 20984 44
2.4.1 我國信息安全風險評估發(fā)展歷程 44
2.4.2 GB/T 20984規(guī)范主要內(nèi)容 45
2.4.3 GB/T 20984與ISO 31000與ISO/IEC 27005的關(guān)系 53
2.5 小結(jié) 54
習題 54
第3章　環(huán)境建立 55
3.1 環(huán)境建立概述 55
3.1.1 環(huán)境建立定義 55
3.1.2 環(huán)境建立目的和依據(jù) 56
3.1.3 基本準則 57
3.1.4 范圍和邊界 58
3.1.5 信息安全風險管理組織 58
3.2 環(huán)境建立過程 59
3.2.1 風險管理準備 59
3.2.2 調(diào)查與分析 63
3.2.3 信息安全分析 64
3.2.4 基本原則確立 65
3.2.5 實施規(guī)劃 66
3.3 環(huán)境建立文檔 67
3.4 風險評估準備 67
3.4.1 確定信息安全風險評估的目標 68
3.4.2 確定信息安全風險評估的范圍 68
3.4.3 組建風險評估團隊 69
3.4.4 進行系統(tǒng)調(diào)研 72
3.4.5 確定信息安全風險評估依據(jù)和方法 72
3.4.6 選定評估工具 73
3.4.7 制定信息安全風險評估方案 73
3.4.8 準備階段工作保障 74
3.5 項目管理基礎(chǔ) 75
3.5.1 項目管理概述 75
3.5.2 項目管理的重點知識領(lǐng)域 77
3.5.3 項目生命周期 93
3.5.4 項目管理過程 95
3.6 小結(jié) 97
習題 98
第4章 發(fā)展戰(zhàn)略和業(yè)務(wù)識別 99
4.1 風險識別概述 99
4.1.1 風險識別的定義 99
4.1.2 風險識別的原則 101
4.1.3 風險識別的方法工具 101
4.2 發(fā)展戰(zhàn)略和業(yè)務(wù)識別內(nèi)容 102
4.2.1 發(fā)展戰(zhàn)略識別 102
4.2.2 業(yè)務(wù)識別內(nèi)容 104
4.2.3 發(fā)展戰(zhàn)略、業(yè)務(wù)與資產(chǎn)關(guān)系 105
4.2.4 發(fā)展戰(zhàn)略識別和業(yè)務(wù)識別的目的和意義 106
4.3 發(fā)展戰(zhàn)略和業(yè)務(wù)識別方法和工具 106
4.3.1 發(fā)展戰(zhàn)略識別方法和工具 106
4.3.2 業(yè)務(wù)識別方法和工具 107
4.4 發(fā)展戰(zhàn)略和業(yè)務(wù)識別過程和輸出 108
4.4.1 發(fā)展戰(zhàn)略識別過程和輸出 108
4.4.2 業(yè)務(wù)識別過程和輸出 109
4.5 發(fā)展戰(zhàn)略和業(yè)務(wù)識別案例 113
4.5.1 發(fā)展戰(zhàn)略識別 113
4.5.2 業(yè)務(wù)識別與業(yè)務(wù)賦值 114
4.6 小結(jié) 115
習題 116
第5章 資產(chǎn)識別 117
5.1 資產(chǎn)識別內(nèi)容 117
5.1.1 資產(chǎn)識別的定義 117
5.1.2 資產(chǎn)分類 118
5.1.3 資產(chǎn)賦值 119
5.2 資產(chǎn)識別方法和工具 122
5.2.1 資產(chǎn)識別方法 122
5.2.2 資產(chǎn)識別工具 124
5.3 資產(chǎn)識別過程和輸出 125
5.3.1 資產(chǎn)識別過程 125
5.3.2 資產(chǎn)識別輸出 128
5.4 資產(chǎn)識別案例 128
5.5 小結(jié) 133
習題 134
第6章 威脅識別 135
6.1 威脅識別內(nèi)容 135
6.1.1 威脅識別定義 135
6.1.2 威脅屬性 135
6.1.3 威脅分類 136
6.1.4 威脅賦值 137
6.2 威脅識別方法和工具 140
6.2.1 威脅識別方法 140
6.2.2 威脅識別工具 143
6.3 威脅識別過程和輸出 143
6.3.1 威脅識別過程 143
6.3.2 威脅識別輸出 150
6.4 威脅識別案例 150
6.5 小結(jié) 152
習題 153
第7章 脆弱性識別 154
7.1 脆弱性識別概述 154
7.1.1 脆弱性識別定義 154
7.1.2 脆弱性賦值 158
7.1.3 脆弱性識別原則 158
7.1.4 脆弱性識別方法和工具 159
7.2 物理脆弱性識別 162
7.2.1 物理安全相關(guān)定義 162
7.2.2 物理脆弱性識別內(nèi)容 165
7.2.3 物理脆弱性識別方法和工具 176
7.2.4 物理脆弱性識別過程 180
7.2.5 物理脆弱性識別案例 182
7.3 網(wǎng)絡(luò)脆弱性識別 184
7.3.1 網(wǎng)絡(luò)安全相關(guān)定義 184
7.3.2 網(wǎng)絡(luò)脆弱性識別內(nèi)容 190
7.3.3 網(wǎng)絡(luò)脆弱性識別方法和工具 197
7.3.4 網(wǎng)絡(luò)脆弱性識別過程 199
7.3.5 網(wǎng)絡(luò)脆弱性識別案例 200
7.4 系統(tǒng)脆弱性識別 204
7.4.1 系統(tǒng)安全相關(guān)定義 204
7.4.2 系統(tǒng)脆弱性識別內(nèi)容 211
7.4.3 系統(tǒng)脆弱性識別方法和工具 216
7.4.4 系統(tǒng)脆弱性識別過程 221
7.4.5 系統(tǒng)脆弱性識別案例 222
7.5 應(yīng)用脆弱性識別 227
7.5.1 應(yīng)用中間件安全和應(yīng)用系統(tǒng)安全的相關(guān)定義 227
7.5.2 應(yīng)用中間件和應(yīng)用系統(tǒng)脆弱性識別內(nèi)容 237
7.5.3 應(yīng)用中間件和應(yīng)用系統(tǒng)脆弱性識別方法和工具 244
7.5.4 應(yīng)用中間件和應(yīng)用系統(tǒng)脆弱性識別過程 247
7.5.5 應(yīng)用中間件和應(yīng)用系統(tǒng)脆弱性識別案例 248
7.6 數(shù)據(jù)脆弱性識別 250
7.6.1 數(shù)據(jù)安全的相關(guān)定義 250
7.6.2 數(shù)據(jù)脆弱性識別內(nèi)容 259
7.6.3 數(shù)據(jù)脆弱性識別方法和工具 260
7.6.4 數(shù)據(jù)脆弱性識別過程 261
7.6.5 數(shù)據(jù)脆弱性識別案例 261
7.7 管理脆弱性識別 263
7.7.1 管理安全相關(guān)定義 263
7.7.2 管理脆弱性識別內(nèi)容 265
7.7.3 管理脆弱性識別方法
和工具 271
7.7.4 管理脆弱性識別過程 277
7.7.5 管理脆弱性識別案例 278
7.8 小結(jié) 285
習題 285
第8章 已有安全措施識別 286
8.1 已有安全措施識別內(nèi)容 286
8.1.1 已有安全措施識別的
相關(guān)定義 286
8.1.2 與其他風險評估階段的關(guān)系 288
8.1.3 已有安全措施有效性確認 289
8.2 已有安全措施識別與確認方法和工具 290
8.2.1 已有安全措施識別與確認的方法 290
8.2.2 已有安全措施識別與確認的工具 294
8.3 已有安全措施識別與確認過程 295
8.3.1 已有安全措施識別與確認原則 295
8.3.2 管理和操作控制措施識別與確認過程 296
8.3.3 技術(shù)性控制措施識別與確認過程 297
8.4 已有安全措施識別輸出 299
8.5 已有安全措施識別案例 299
8.5.1 案例背景描述 299
8.5.2 案例實施過程 300
8.5.3 案例輸出 303
8.6 小結(jié) 305
習題 305
第9章 風險分析 306
9.1 風險分析概述 306
9.1.1 風險分析的定義 306
9.1.2 風險分析的地位 306
9.1.3 風險分析原理 306
9.1.4 風險分析流程 308
9.2 風險計算 314
9.2.1 風險計算原理 314
9.2.2 使用矩陣法計算風險 316
9.2.3 使用相乘法計算風險 321
9.3 風險分析案例 323
9.3.1 基本情況描述 323
9.3.2 高層信息安全風險評估 325
9.3.3 詳細信息安全風險評估 326
9.3.4 風險計算 327
9.4 小結(jié) 328
習題 328
第10章 風險評價及風險評估輸出 329
10.1 風險評價概述 329
10.1.1 風險評價定義 329
10.1.2 風險評價方法準則 329
10.1.3 風險評價方法 330
10.2 風險評價判定 332
10.2.1 資產(chǎn)風險評價 332
10.2.2 業(yè)務(wù)風險評價 333
10.2.3 風險評價結(jié)果 333
10.3 風險評價示例 334
10.3.1 從多角度進行風險評價 334
10.3.2 信息系統(tǒng)總體風險評價 335
10.4 風險評估文檔輸出 336
10.4.1 風險評估文檔記錄要求 337
10.4.2 風險評估文檔的主要內(nèi)容 337
10.5 被評估對象生命周期各階段的風險評估 338
10.5.1 被評估對象的生命周期 338
10.5.2 規(guī)劃階段的風險評估 338
10.5.3 設(shè)計階段的風險評估 339
10.5.4 實施階段的風險評估 340
10.5.5 運維階段的風險評估 340
10.5.6 廢棄階段的風險評估 341
10.6 風險評估報告示例 342
10.7 小結(jié) 343
習題 343
第11章 風險處置 344
11.1 風險處置概述 344
11.1.1 風險處置定義 344
11.1.2 風險處置目的和依據(jù) 344
11.1.3 風險處置原則 345
11.1.4 風險處置方式 345
11.2 風險處置準備 347
11.2.1 確定風險處置范圍和邊界 348
11.2.2 明確風險處置角色和責任 348
11.2.3 確定風險處置目標 349
11.2.4 選擇風險處置方式 350
11.2.5 制定風險處置計劃 350
11.2.6 獲得決策層批準 350
11.3 風險處置實施 351
11.3.1 風險處置方案制定 352
11.3.2 風險處置方案實施 359
11.3.3 殘余風險處置與評估 361
11.3.4 風險處置相關(guān)文檔 361
11.4 風險處置效果評價 362
11.4.1 評價原則 363
11.4.2 評價方法 363
11.4.3 評價方案 364
11.4.4 評價實施 364
11.4.5 持續(xù)改進 365
11.5 風險處置案例 365
11.5.1 項目背景 365
11.5.2 風險處置準備 366
11.5.3 風險處置實施 368
11.5.4 風險處置效果評價 374
11.6 風險接受 376
11.6.1 風險接受定義 376
11.6.2 風險接受準則 376
11.7 批準留存 377
11.7.1 批準留存定義 377