信息安全管理 影印版PDF电子书下载

第Ⅰ部分 引言 3

第1章 信息安全管理 3

1.1 信息安全 4

1.2 信息安全风险评估和管理 8

1.3 一种信息安全风险评估的方法 11

第2章 信息安全风险评估的原则和属性 17

2.1 简介 18

2.2 信息安全风险管理原则 18

2.3 信息安全风险评估的属性 25

2.4 信息安全风险评估的输出 34

第Ⅱ部分 OCTAVE方法 43

第3章 OCTAVE Method简介 43

3.1 OCTAVE方法简介 44

3.2 把属性和输出映射到OCTAVE Method 52

3.3 情节实例简介 56

第4章 为OCTAVE做准备 59

4.1 准备概述 60

4.2 争取高层管理部门支持OCTAVE 61

4.3 挑选分析团队成员 64

4.4 选择OCTAVE涉及的业务区域 68

4.5 选择参与者 69

4.6 协调后勤工作 73

4.7 情节实例 76

第5章 标识组织的知识 81

5.1 过程1到3概述 82

5.2 标识资源及其相对优先级 87

5.3 标识涉及区域 93

5.4 标识最重要的资源的安全需求 97

5.5 获取当前的安全实践和组织弱点的知识 103

第6章 建立威胁配置文件 109

6.1 过程4概述 110

6.2 讨论会之前：整理从过程1到3中收集的信息 118

6.3 选择关键资源 122

6.4 提炼关键资源的安全需求 125

6.5 标识对关键资源的威胁 128

第7章 标识关键组件 137

7.1 过程5概述 138

7.2 标识组件的关键种类 142

7.3 标识要研究的基础结构组件 150

第8章 评估选定的组件 157

8.1 过程6概述 158

8.2 讨论会之前：对基础结构组件运行弱点评估工具 161

8.3 技术弱点评估及结果总结 165

第9章 执行风险分析 169

9.1 过程7简介 170

9.2 标识关键资源的威胁所产生的影响 172

9.3 建立风险评估标准 175

9.4 评估关键资源的威胁产生的影响 180

9.5 应用概率于风险分析 184

第10章 开发保护策略——讨论会A 191

10.1 过程8A简介 192

10.2 讨论会之前：整理从过程1到3中收集的信息 194

10.3 评审风险信息 199

10.4 制定保护策略 201

10.5 建立风险缓和计划 208

10.6 制定行动列表 217

10.7 在风险缓和中应用概率 220

第11章 开发保护策略——讨论会B 227

11.1 过程8B简介 228

11.2 讨论会之前：准备与高层管理部门会面 230

11.3 介绍风险信息 231

11.4 评审并提炼保护策略、缓和计划和行动列表 232

11.5 确定后续步骤 235

11.6 第Ⅱ部分总结 237

第Ⅲ部分 OCTAVE方法的变体 241

第12章 剪裁OCTAVE方法简介 241

12.1 可能性范围 242

12.2 为组织剪裁OCTAVE方法 245

第13章 实际应用 255

13.1 引言 256

13.2 小型组织 257

13.3 超大型的、分散的组织 265

13.4 综合的Web入口服务提供商 267

13.5 大型组织和小型组织 270

13.6 其他需要考虑的问题 272

第14章 信息安全风险管理 275

14.1 引言 276

14.2 信息安全风险管理的框架 279

14.3 实施信息安全风险管理 288

14.4 总结 290

术语表 293

附录 311

附录A OCTAVE方法的实例情节 311

A.1 MedSite的OCTAVE最终报告：引言 312

A.2 为MedSite制定的保护策略 312

A.3 对关键资源的风险和缓和计划 316

A.4 技术弱点评估结果及建议的行动 335

A.5 补充信息 340

附录B 工作表 363

B.1 问题征集工作表 363

B.2 资源配置文件工作表 389

B.3 策略和行动 415

附录C 实践目录 443