信息系统风险管理PDF电子书下载

第1章 信息系统概述 1

1.1 信息和信息系统 1

1.1.1 信息的概念及特征 1

1.1.2 信息系统的概念及基本特征 4

1.2 信息系统的软硬件构成 7

1.2.1 信息系统的硬件 7

1.2.2 信息系统的软件 13

1.3 信息系统的网络基础平台 15

1.3.1 典型的网络结构 15

1.3.2 企业组网方式 17

1.3.3 信息系统的应用模式 23

1.4 信息系统的安全 25

1.4.1 信息系统安全的概念 25

1.4.2 信息系统的实体安全 26

1.4.3 信息系统的运行安全 26

1.4.4 信息系统的信息安全 27

1.5 信息系统的组织结构和职责 28

1.5.1 组织结构和职责 28

1.5.2 信息系统对组织结构的影响 33

1.6 信息系统的体系结构 34

1.6.1 体系结构的概念 34

1.6.2 信息系统体系结构 39

第2章 信息系统风险管理与控制的基本理论和方法 45

2.1 风险管理的研究现状 45

2.1.1 关于标准的研究现状 45

2.1.2 关于方法的研究现状 46

2.1.3 关于风险管理工具的研究现状 48

2.2 风险管理与控制内涵 49

2.2.1 风险管理与控制的含义 49

2.2.2 影响风险管理与控制的因素 50

2.2.3 风险管理与控制的意义 53

2.3 几个典型的信息系统风险管理与控制理论 53

2.3.1 内部控制理论 53

2.3.2 BS 7799 57

2.3.3 COBIT 60

2.3.4 ISO 13335 62

2.3.5 GB/T 20984—2007 64

2.3.6 可靠性理论 67

2.4 信息系统风险管理与控制的内容与原则 69

2.4.1 信息系统风险管理与控制的内容 69

2.4.2 信息系统风险管理中的角色和责任 70

2.4.3 信息系统风险管理与控制的原则 72

2.5 信息系统风险管理与控制的常用方法 73

2.5.1 信息系统风险管理与控制的一般过程 73

2.5.2 内部控制自我评价 74

2.5.3 信息系统的风险识别 77

2.5.4 信息系统的风险评估 81

2.5.5 信息系统的风险控制 83

第3章 信息系统的风险及其分布 85

3.1 风险的内涵与外延 85

3.1.1 风险的概念 85

3.1.2 风险的特征 88

3.1.3 风险的分类 88

3.2 信息系统风险的内涵与外延 89

3.2.1 信息系统风险的概念 89

3.2.2 与信息系统风险相关的几个要素 90

3.3 信息系统的威胁和脆弱性 92

3.3.1 信息系统的威胁 92

3.3.2 信息系统的脆弱性 96

3.4 信息系统的不确定性 100

3.4.1 不确定性的含义 100

3.4.2 信息系统的不确定性因素分析 101

3.5 信息系统项目建设的风险分布 103

3.5.1 信息系统项目建设的生命周期 103

3.5.2 信息系统项目建设的风险分布 104

3.6 信息系统资源使用中的风险分布 108

3.6.1 信息系统资源类型 108

3.6.2 信息系统资源使用中的风险分布 109

第4章 信息系统项目的风险管理与控制 114

4.1 信息系统项目建设的内涵 114

4.1.1 项目的含义及特征 114

4.1.2 工程项目的含义及特征 115

4.1.3 信息系统项目建设的含义及特征 116

4.2 信息系统项目建设的风险概述 117

4.2.1 信息系统项目的不确定性 117

4.2.2 信息系统项目风险的分类 118

4.2.3 信息系统项目风险的特征 120

4.3 来自项目建设监理方的风险 121

4.3.1 信息系统工程监理基础 121

4.3.2 信息系统工程监理与建筑工程监理 123

4.3.3 信息系统工程监理产生的风险 126

4.4 项目建设中的风险管理 127

4.4.1 项目管理与项目风险管理 127

4.4.2 项目建设中常见的风险源 130

4.4.3 项目建设中的关键风险点 131

4.4.4 项目建设风险管理的内容 133

4.4.5 项目建设风险管理的流程 140

4.5 信息系统项目建设中的内部控制 140

4.5.1 决策控制 142

4.5.2 设计与概预算控制 144

4.5.3 招投标与合同控制 146

4.5.4 实施过程的控制 152

4.5.5 竣工验收与决算控制 154

4.5.6 交付后的风险控制 156

4.6 信息系统项目建设风险的第三方控制 157

4.6.1 对第三方自身风险的控制 157

4.6.2 项目建设风险第三方控制的常用手段 159

4.6.3 第三方对招投标阶段的质量控制 161

4.6.4 第三方对设计阶段的质量控制 162

4.6.5 第三方对实施阶段的质量控制 163

4.6.6 第三方对验收阶段的质量控制 166

第5章 信息系统资源的风险管理与控制 169

5.1 信息系统资源的风险源 169

5.1.1 信息资产概念 169

5.1.2 信息资产的风险源 171

5.2 技术控制 171

5.2.1 对弱口令的控制 172

5.2.2 对内外网数据交换安全的控制 175

5.2.3 对远程数据传输的安全控制 179

5.2.4 统一威胁管理技术的应用 183

5.2.5 防信息泄露技术的应用 187

5.2.6 指纹识别技术的应用 189

5.2.7 PKI技术的应用 193

5.2.8 入侵检测技术的应用 196

5.2.9 病毒防护技术的应用 202

5.2.10 数据备份与容灾技术的应用 206

5.3 管理控制 210

5.3.1 管理控制的常用手段 210

5.3.2 应用案例 212

5.4 环境运行控制 214

5.4.1 环境运行控制的常用手段 214

5.4.2 应用案例 217

5.5 人员控制 221

5.5.1 人员控制的常用手段 221

5.5.2 应用案例 222

第6章 信息系统风险管理与控制应用 226

6.1 项目背景 226

6.2 现状分析 227

6.2.1 软硬件现状 227

6.2.2 信息系统资源状况 228

6.2.3 信息化应用水平 228

6.2.4 人员状况 229

6.3 税务信息系统的安全保护范围及目标 229

6.3.1 安全特性分析 230

6.3.2 安全保护范围 230

6.3.3 安全目标 232

6.4 税务信息系统的风险分析 232

6.4.1 潜在的攻击者 232

6.4.2 技术层面的风险 233

6.4.3 管理与操作风险 233

6.5 税务信息系统的风险识别 234

6.5.1 风险发生的可能性 234

6.5.2 攻击载体与攻击工具 235

6.6 税务信息系统的风险评估 235

6.6.1 风险评估的形式 235

6.6.2 风险评估的组织 237

6.6.3 风险评估的内容 237

6.7 风险管理与控制实施 241

6.7.1 主要原则 241

6.7.2 风险管理与控制的措施 241

主要参考文献 254