內容簡介
風險評估應當以組織為主體,研究組織的目標與信息安全之間的關係;以滿足組織目標為出發點,開展信息安全風險評估目標、方法、以及工程實施的研究,這成為貫穿本書信息安全風險評估的主要思路。
本書主要包括理念層面(什麼是風險評估)、方法層面(風險評估做什麼)、操作層面(怎樣做風險評估)幾個部分。同時本書的最後,說明了有關風險分析方法前期探索的實踐活動,提出普遍適用的風險評估方法需要滿足橫向對比與縱向對比要求的問題以及對風險評估方法進行評判的因素(如效率、可觀測性,可重複性),供今後進一步的探索與思考。
本書能夠為組織信息化相關的領導、決策者以及希望從事信息安全風險評估服務的人員提供參考。
作者簡介
張建軍,博士研究生,中國電子科技集團第三十研究所副總工程師,上海三零衛士信息有限公司總經理,國家電子政務標準化總體專家組成員,國家信息安全標準委員會總體工作組成員。
目錄
什麼是風險評估?
第1章信息安全與風險管理
1.1信息安全問題
1.2信息安全問題
第2章風險評估概念與管理
2.1風險評估與風險管理
2.2風險評估發展歷史
2.3風險評估理念
風險評估做什麼?
第3章風險評估的內容
3.1風險評估要素
3.2風險信息獲取
3.3風險信息分析
3.4風險控制決策
第4章一種綜合風險評估方法
4.1資產識別
4.2威脅評估
4.3評估脆弱性
4.4評估影響
4.5評估控制機制
4.6綜合評估風險
怎么做風險評估?
第5章風險評估實施
5.1風險評估實施原則
5.2風險評估流程
5.3評估方案定製
5.4項目質量控制
第6章風險評估實踐
6.1實例背景介紹
6.2前期準備
6.3現場調查
6.4策略選擇
第7章風險評估工具
7.1風險評估工具概述
7.2風險評估工具的分類
7.3綜合評估與管理工具
7.4脆弱性評估工具
7.5風險評估輔助工具和支撐工具
附錄1風險評估參考表單
附錄2報告模板
附錄3部分相關標準介紹
參考文獻
後記