第一部分 风险管理业务的挑战 1
第1章 风险管理基础 1
1.1什么是风险 1
1.2信息技术基础设施风险的主要组成 5
1.3风险管理及其对组织机构的影响 13
1.4风险识别技术 18
1.5风险管理技术 23
本章小结 27
第2章 风险管理:威胁、漏洞及攻击 29
2.1对威胁的认识与管理 29
2.2对漏洞的认识与管理 35
2.3对漏洞攻击的认识与管理 41
2.4美国联邦政府的信息系统风险管理实践 48
本章小结 54
第3章 合规性的依据 55
3.1美国合规性法规 55
3.2合规性的管理机构 62
3.3合规性的组织机构政策 66
3.4合规性的标准与指南 67
本章小结 81
第4章 风险管理计划的制定 82
4.1风险管理计划的目标 82
4.2风险管理计划的范围 85
4.3风险管理计划中的职责分配 88
4.4风险管理计划中系统实现步骤与进度的描述 92
4.5需求报告 94
4.6行动和里程碑计划 100
4.7风险管理计划进展的图形表达 103
本章小结 106
第二部分 风险缓解 107
第5章 风险评估方法的概念 107
5.1对风险评估的认识 107
5.2风险评估的关键步骤 110
5.3风险评估的类型 112
5.4风险评估的挑战 124
5.5风险评估的最佳做法 130
本章小结 131
第6章 风险评估的实施 132
6.1风险评估方法的选择 132
6.2管理结构的辨识 136
6.3风险评估范围内资产与活动的辨识 137
6.4关联威胁的辨识与评估 142
6.5关联漏洞的辨识与评估 144
6.6应对措施的辨识与评估 146
6.7基于评估需求的方法选择 150
6.8制定风险缓解建议 153
6.9提交风险评估结果 156
6.10实施风险评估的最佳做法 156
本章小结 157
第7章 受保护资源及活动的辨识 158
7.1系统访问及可用性 158
7.2系统的人工和自动功能 161
7.3硬件资产 163
7.4软件资产 164
7.5人力资源 166
7.6数据及信息资源 167
7.7典型信息技术基础设施七个领域的资产和库存管理 173
7.8维持运营所需设施及供应的辨识 178
本章小结 184
第8章 威胁、脆弱性及漏洞的辨识与分析 185
8.1威胁评估 185
8.2脆弱性评估 193
8.3漏洞评估 205
本章小结 212
第9章 风险缓解安全控制的辨识与分析 213
9.1现场控制 213
9.2计划控制 214
9.3控制类别 214
9.4程序控制范例 218
9.5技术控制范例 226
9.6物理控制范例 234
9.7风险缓解安全控制的最佳做法 238
本章小结 239
第10章 组织机构中的风险缓解计划 240
10.1组织机构中风险缓解的起点 240
10.2组织机构中风险管理的范围 241
10.3合法性及合规性问题对组织机构影响的认识和评估 252
10.4合法性及合规性意义的诠释 261
10.5典型信息技术基础构架七个领域合法性及合规性意义的影响评估 261
10.6安防措施对风险缓解助益的评估 263
10.7对合法性及合规性需求操作意义的认识 263
10.8组织机构中风险缓解及风险降低的要素辨识 264
10.9费用效益分析的实施 265
10.10组织机构中风险缓解计划的最佳做法 267
本章小结 267
第11章 风险评估向风险缓解计划的转化 268
11.1对信息技术基础设施风险评估的审查 268
11.2风险评估转化为风险缓解计划的实施过程 274
11.3应需缓解的风险要素排序 283
11.4风险要素及其缓解方法的确认 286
11.5己辨识风险要素的费用效益分析 287
11.6风险缓解计划的实施 289
11.7风险缓解计划的跟进 293
11.8风险评估向风险缓解计划转化的最佳做法 295
本章小结 296
第三部分 风险缓解计划 297
第12章 基于业务影响分析的风险缓解 297
12.1什么是业务影响分析 297
12.2业务影响分析的范围 300
12.3业务影响分析的目标 302
12.4业务影响分析的步骤 312
12.5确定任务关键型业务功能和流程 318
12.6从业务功能及流程到信息技术系统的映射 319
12.7业务影响分析的最佳做法 320
本章小结 321
第13章 基于业务持续性计划的风险缓解 322
13.1什么是业务持续性计划 322
13.2业务持续性计划的要素 324
13.3业务持续性计划如何缓解组织机构的风险 348
13.4灾难恢复计划的最佳做法 349
本章小结 349
第14章 基于灾难恢复计划的风险缓解 351
14.1什么是灾难恢复计划 351
14.2关键成功因素 354
14.3灾难恢复计划的要素 365
14.4灾难恢复计划如何缓解组织机构的风险 377
14.5灾难恢复计划的最佳做法 378
本章小结 379
第15章 基于计算机事件响应小组计划的风险缓解 381
15.1什么是计算机事件响应小组计划 381
15.2计算机事件响应小组计划的目的 383
15.3计算机事件响应小组计划的要素 385
15.4计算机事件响应小组计划如何缓解组织机构的风险 407
15.5实施计算机事件响应小组计划的最佳做法 407
本章小结 408
附录A缩写词 409
附录B关键术语 418
参考文献 437