第1章 概述 1
1.1 风险起源 1
1.1.1 风险概念的由来 1
1.1.2 风险定义 1
1.1.3 风险管理的历史 2
1.2 信息安全风险管理 4
1.2.1 信息安全风险管理对象 6
1.2.2 信息安全属性 7
1.2.3 信息安全风险管理环节 9
1.3 信息安全风险特性 12
1.3.1 风险的基本特性 12
1.3.2 风险的不确定性 13
1.3.3 风险的影响 14
1.4 信息安全风险要素与关系 14
1.4.1 基本要素 14
1.4.2 关系 15
1.5 信息安全风险评估 16
1.5.1 信息安全风险管理与风险评估的关系 16
1.5.2 信息安全风险评估的意义以及开展方式 16
1.5.3 信息安全风险评估与其他信息安全工作的关系 17
第2章 信息安全风险管理相关标准 19
2.1 ISO风险管理标准 19
2.1.1 ISO 31000标准简介 20
2.1.2 风险管理原则 21
2.1.3 风险管理框架 21
2.1.4 风险管理过程 24
2.2 ISO信息安全风险管理标准 27
2.2.1 ISO 27005标准简介 27
2.2.2 信息安全风险管理过程 28
2.3 国外信息安全风险评估标准 36
2.3.1 OCTAVE简介 36
2.3.2 OCTAVE方法 37
2.3.3 OCTAVE简版 38
2.4 我国信息安全风险评估标准 40
2.4.1 GB/T 20984标准简介 41
2.4.2 信息安全风险评估 42
第3章 信息安全风险评估实现 47
3.1 风险评估过程框架 47
3.1.1 风险评估原则 47
3.1.2 风险评估过程框架 48
3.2 风险识别阶段 49
3.2.1 建立环境 49
3.2.2 风险评估前期调查 51
3.2.3 风险评估工具准备 52
3.2.4 资产识别 53
3.2.5 威胁识别 58
3.2.6 脆弱性识别 64
3.2.7 安全措施分析 68
3.3 风险分析阶段 70
3.3.1 风险分析 70
3.3.2 风险计算 71
3.4 风险评价阶段 76
3.5 风险评估的报告 80
3.6 风险评估的评审 81
第4章 信息安全风险处置 83
4.1 风险处置过程框架 83
4.2 风险处置方法 85
4.3 风险处置措施选择与实施 87
4.3.1 选择风险处置方法 87
4.3.2 准备和实施风险处置计划 87
4.4 风险处置的监视与评审 91
4.4.1 风险处置有效性的监视与评审的必要性 91
4.4.2 风险处置有效性的监督与评审示意图 91
4.4.3 风险处置有效性的监督与评审的原则 92
4.5 典型的风险处置措施 93
第5章 信息安全风险管理案例 95
5.1 案例说明 95
5.1.1 案例背景 95
5.1.2 实施思路 95
5.2 确定范畴 95
5.2.1 确定信息安全风险管理的范围 96
5.2.2 确定信息安全风险管理的目标 96
5.2.3 组建适当的评估管理与实施团队 97
5.2.4 描述信息系统基本情况 97
5.2.5 形成成果文档 99
5.2.6 获得最高管理者的支持 99
5.3 评估准备 100
5.3.1 制订风险评估方案 100
5.3.2 选择适合的方法和工具 102
5.3.3 形成成果文档 102
5.4 风险识别 103
5.4.1 识别并评价资产 103
5.4.2 识别并评估威胁 105
5.4.3 识别并评估脆弱性 106
5.4.4 形成成果文档 116
5.5 风险分析与评价 116
5.5.1 风险分析 117
5.5.2 风险评价 120
5.5.3 形成成果文档 120
5.6 风险处置 120
5.6.1 风险处置计划 121
5.6.2 风险处置实施 122
5.6.3 形成成果文档 122
5.7 批准监督 122
附录A 风险评估的工具和方法 124
附录A.1 风险评估的工具 124
附录A.2 风险评估的方法 126
附录B 系统调研调查表 137