第1章 风险评估概述 1
1.1 风险评估的概念 1
1.2 风险评估的必要性 1
1.3 风险评估的历史与现状 5
第2章 信息安全风险评估原理 7
2.1 概述 7
2.2 风险评估相关定义 8
2.3 风险要素关系模型 9
第3章 BS 7799与ISO/IEC TR 13335 11
3.1 BS 7799与ISO/IEC TR 13335简介 11
3.2 ISO/IEC TR 13335提供的风险评估方法详述 14
第4章 GAO/AIMD-99-139风险评估指南 37
4.1 GAO/AIMD-99-139简介 37
4.2 风险评估要素 39
4.3 案例 40
第5章 NIST SP 800-30 IT系统风险管理指南 68
5.1 NIST SP 800-30简介 68
5.2 NIST SP 800-30中的风险评估过程介绍 69
5.3 风险评估过程 71
5.4 本章小结 86
第6章 OCTAVE方法 87
6.1 OCTAVE简介 87
6.2 原则、属性和输出 89
6.3 结构 105
6.4 实施步骤 112
6.5 本章小结 168
第7章 系统安全工程能力成熟模型SSE-CMM 169
7.1 SSE-CMM简介 169
7.2 CMM简介 172
7.3 SSE-CMM模型体系结构 179
7.4 安全基本实施 185
第8章 AS/NZS 4360风险管理指南 208
8.1 AS/NZS 4360简介 208
8.2 风险管理过程 209
8.3 AS/NZS 4360在信息安全管理中的应用 215
第9章 其他风险评估标准/指南 216
9.1 可信计算机系统评估准则(TCSEC) 216
9.2 信息技术安全标准(ITSEC) 219
9.3 可信计算机产品评估准则(CTCPEC) 219
9.4 美国信息技术安全联邦准则(FC) 220
9.5 通用准则(CC) 220
9.6 信息技术安全性评估准则(GB/T 18336) 222
9.7 风险价值法(VAR) 222
附录 NIST SP 800-30风险评估报告要点示例 224
参考文献 225