第一部分 概念 3
第1章 从风险说起 3
1.1 风险概念的由来 3
1.2 风险的定义 4
第2章 认识风险评估 6
2.1 与风险评估相关的概念 6
2.1.1 风险管理 6
2.1.2 风险分析 7
2.1.3 风险评价 10
2.1.4 风险处理 11
2.2 区别风险评估和风险管理 11
2.3 风险管理的发展历程 12
2.4 风险评估工具 13
2.4.1 工具概述 13
2.4.2 工具示例 14
2.4.3 工具发展展望 15
2.5 信息安全风险评估 17
第二部分 方法 21
第3章 方法综述 21
3.1 风险评估与信息安全管理体系 21
3.2 站在组织的视角评估风险 24
3.3 相关标准介绍 25
3.3.1 ISO/IEC TR 13335-3 25
3.3.2 OCTAVE 27
3.3.3 NIST SP800-30 30
3.3.4 The Security Risk Management Guide 32
3.3.5 BS 7799-3:2006 36
3.3.6 ISO/IEC FCD 27005 38
第4章 风险评估的基本过程 40
4.1 风险评估准备 40
4.1.1 得到高层管理者对评估活动的支持 40
4.1.2 确定本次风险评估的范围 41
4.1.3 组建风险评估核心小组 42
4.1.4 全员动员 43
4.1.5 制定详细可行的工作计划表 43
4.1.6 准备各种可能的工具 44
4.2 识别并评价资产 46
4.2.1 信息资产的定义 46
4.2.2 资产的分类 46
4.2.3 识别资产 49
4.2.4 评价资产 52
4.3 识别威胁和威胁可以利用的脆弱性 57
4.3.1 威胁的定义 57
4.3.2 脆弱性的定义 58
4.3.3 威胁和脆弱性的识别 60
4.4 识别和评价控制措施 69
4.4.1 控制措施的定义 69
4.4.2 控制措施的识别 71
4.5 分析可能性和影响 72
4.5.1 分析可能性 72
4.5.2 分析影响 73
4.5.3 更详细的方法 74
4.6 分析风险的大小 78
4.7 编写风险评估报告 79
4.7.1 编写报告注意事项 79
4.7.2 如何编写报告 80
4.8 风险处理 82
4.8.1 风险处理选项 82
4.8.2 风险处理过程 83
第三部分 实践 87
第5章 完整的风险评估应用实例 87
5.1 e-BookStore案例描述 87
5.2 进行风险评估 88
5.2.1 风险评估准备工作 88
5.2.2 识别和评价资产 92
5.2.3 识别威胁和脆弱性 102
5.2.4 识别现有的控制措施并分析有效性 106
5.2.5 分析暴露和影响 119
5.2.6 分析发生容易度和可能性 119
5.2.7 分析风险大小 119
5.2.8 编写风险评估报告 122
第6章 实践难点与深入研究 125
6.1 实践中难点分析 125
6.1.1 资产识别的细致程度 125
6.1.2 资产关联的识别或评价 125
6.1.3 威胁的识别 126
6.1.4 脆弱性的描述 126
6.1.5 风险计算方法的确定 126
6.2 深入阅读指南 127
6.2.1 信息安全或ISMS相关文献 127
6.2.2 信息安全风险评估相关文献 127
6.2.3 其他相关文献 128
附录A 资产分类表 130
附录B 威胁和脆弱性对应表 138
附录C 风险评估程序示例 146
附录D 风险处理程序示例 154
附录E 风险分析方法介绍 157
参考文献 171