信息系统中的风险管理 第2版PDF电子书下载

第一部分 风险管理业务的挑战 1

第1章 风险管理基础 1

1.1什么是风险 1

1.2信息技术基础设施风险的主要组成 5

1.3风险管理及其对组织机构的影响 13

1.4风险识别技术 18

1.5风险管理技术 23

本章小结 27

第2章 风险管理：威胁、漏洞及攻击 29

2.1对威胁的认识与管理 29

2.2对漏洞的认识与管理 35

2.3对漏洞攻击的认识与管理 41

2.4美国联邦政府的信息系统风险管理实践 48

本章小结 54

第3章 合规性的依据 55

3.1美国合规性法规 55

3.2合规性的管理机构 62

3.3合规性的组织机构政策 66

3.4合规性的标准与指南 67

本章小结 81

第4章 风险管理计划的制定 82

4.1风险管理计划的目标 82

4.2风险管理计划的范围 85

4.3风险管理计划中的职责分配 88

4.4风险管理计划中系统实现步骤与进度的描述 92

4.5需求报告 94

4.6行动和里程碑计划 100

4.7风险管理计划进展的图形表达 103

本章小结 106

第二部分 风险缓解 107

第5章 风险评估方法的概念 107

5.1对风险评估的认识 107

5.2风险评估的关键步骤 110

5.3风险评估的类型 112

5.4风险评估的挑战 124

5.5风险评估的最佳做法 130

本章小结 131

第6章 风险评估的实施 132

6.1风险评估方法的选择 132

6.2管理结构的辨识 136

6.3风险评估范围内资产与活动的辨识 137

6.4关联威胁的辨识与评估 142

6.5关联漏洞的辨识与评估 144

6.6应对措施的辨识与评估 146

6.7基于评估需求的方法选择 150

6.8制定风险缓解建议 153

6.9提交风险评估结果 156

6.10实施风险评估的最佳做法 156

本章小结 157

第7章 受保护资源及活动的辨识 158

7.1系统访问及可用性 158

7.2系统的人工和自动功能 161

7.3硬件资产 163

7.4软件资产 164

7.5人力资源 166

7.6数据及信息资源 167

7.7典型信息技术基础设施七个领域的资产和库存管理 173

7.8维持运营所需设施及供应的辨识 178

本章小结 184

第8章 威胁、脆弱性及漏洞的辨识与分析 185

8.1威胁评估 185

8.2脆弱性评估 193

8.3漏洞评估 205

本章小结 212

第9章 风险缓解安全控制的辨识与分析 213

9.1现场控制 213

9.2计划控制 214

9.3控制类别 214

9.4程序控制范例 218

9.5技术控制范例 226

9.6物理控制范例 234

9.7风险缓解安全控制的最佳做法 238

本章小结 239

第10章 组织机构中的风险缓解计划 240

10.1组织机构中风险缓解的起点 240

10.2组织机构中风险管理的范围 241

10.3合法性及合规性问题对组织机构影响的认识和评估 252

10.4合法性及合规性意义的诠释 261

10.5典型信息技术基础构架七个领域合法性及合规性意义的影响评估 261

10.6安防措施对风险缓解助益的评估 263

10.7对合法性及合规性需求操作意义的认识 263

10.8组织机构中风险缓解及风险降低的要素辨识 264

10.9费用效益分析的实施 265

10.10组织机构中风险缓解计划的最佳做法 267

本章小结 267

第11章 风险评估向风险缓解计划的转化 268

11.1对信息技术基础设施风险评估的审查 268

11.2风险评估转化为风险缓解计划的实施过程 274

11.3应需缓解的风险要素排序 283

11.4风险要素及其缓解方法的确认 286

11.5己辨识风险要素的费用效益分析 287

11.6风险缓解计划的实施 289

11.7风险缓解计划的跟进 293

11.8风险评估向风险缓解计划转化的最佳做法 295

本章小结 296

第三部分 风险缓解计划 297

第12章 基于业务影响分析的风险缓解 297

12.1什么是业务影响分析 297

12.2业务影响分析的范围 300

12.3业务影响分析的目标 302

12.4业务影响分析的步骤 312

12.5确定任务关键型业务功能和流程 318

12.6从业务功能及流程到信息技术系统的映射 319

12.7业务影响分析的最佳做法 320

本章小结 321

第13章 基于业务持续性计划的风险缓解 322

13.1什么是业务持续性计划 322

13.2业务持续性计划的要素 324

13.3业务持续性计划如何缓解组织机构的风险 348

13.4灾难恢复计划的最佳做法 349

本章小结 349

第14章 基于灾难恢复计划的风险缓解 351

14.1什么是灾难恢复计划 351

14.2关键成功因素 354

14.3灾难恢复计划的要素 365

14.4灾难恢复计划如何缓解组织机构的风险 377

14.5灾难恢复计划的最佳做法 378

本章小结 379

第15章 基于计算机事件响应小组计划的风险缓解 381

15.1什么是计算机事件响应小组计划 381

15.2计算机事件响应小组计划的目的 383

15.3计算机事件响应小组计划的要素 385

15.4计算机事件响应小组计划如何缓解组织机构的风险 407

15.5实施计算机事件响应小组计划的最佳做法 407

本章小结 408

附录A缩写词 409

附录B关键术语 418

参考文献 437