新書推薦:
《
饥饿与国家:苏丹的饥荒、奴隶制和权力(1883~1956)
》
售價:HK$
82.8
《
管好你的钱:人人都要懂的财富传承(一本书带你了解财富传承的7种方式)
》
售價:HK$
81.6
《
新质生产力:中国创新发展的着力点与内在逻辑
》
售價:HK$
94.8
《
“漫画强国科技”系列(全4册)
》
售價:HK$
168.0
《
打破社交媒体棱镜:探寻网络政治极化的根源
》
售價:HK$
69.6
《
那一抹嫣红
》
售價:HK$
70.8
《
十八岁出门远行
》
售價:HK$
54.0
《
新能源与智能汽车技术丛书——智能车辆感知、轨迹规划与控制
》
售價:HK$
141.6
|
| 內容簡介: |
|
本书从信息安全风险管理的基本概念入手,以信息安全风险管理标准——ISO/IEC 27005《信息技术—安全技术—信息安全风险管理》为主线,全面介绍了信息安全风险管理相关国际标准和国家标准;详细介绍了信息安全风险管理的环境建立,发展战略和业务识别,资产识别,威胁识别,脆弱性识别,已有安全措施识别;还介绍了风险分析,风险评价及风险评估输出,风险处置,沟通与咨询、监视与评审等内容;并给出了信息安全风险管理综合实例。本书还重点讲解了脆弱性识别中的物理脆弱性识别、网络脆弱性识别、系统脆弱性识别、应用脆弱性识别、数据脆弱性识别和管理脆弱性识别等内容。本书力图通过小案例与综合实例,理论联系实践,使读者了解、掌握和运用信息安全风险管理的理论与实践方法。 本书是信息安全保障人员认证信息安全风险管理方向的培训教材,面向政府部门、企事业单位从事信息安全风险管理或风险评估的专业人员,也适用于信息安全专业人士、大学生或对信息安全风险管理感兴趣的读者使用。
|
| 關於作者: |
|
曹雅斌,毕业于清华大学机械工程系。长期负责质量安全管理和认证认可领域的政策法规、制度体系建设以及测评、认证工作的组织实施。现任职于中国网络安全审查技术与认证中心,负责网络信息安全人员培训与认证工作。尤其,中国网络安全审查技术与认证中心(原中国信息安全认证中心)培训与人员认证部副主任,高级工程师。《信息技术 安全技术 信息安全管理体系 要求》《信息技术 安全技术 信息安全管理体系 控制实践指南》《公共安全 业务连续性管理体系 要求》《公共安全 业务连续性管理系 ?指南》等多项国家标准、行业标准主要起草人之一;出版信息安全管理体系专著1 部。国际标准化组织 ISO/IEC SC27/WG1(信息技术 安全技术 信息安全管理国际标准起草组) 注册专家;中国合格评定国家认可委员会(CNAS)信息安全专业委员会秘书长。何志明,现任北京红戎信安技术有限公司总经理,负责公司运营和信息安全风险管理培训工作,参与了教材编写、课件讲义制作、授课和教学实践,了解和掌握信息安全风险管理的基础知识和基本技能,有网络与信息安全从业20多年的经历,对网络安全现状及发展趋势有独立见解,对网络安全企业经营有丰富的管理经验。
|
| 目錄:
|
第1章 概述1
1.1 风险和风险管理1
1.1.1 风险1
1.1.2 风险的基本特性2
1.1.3 风险的构成要素4
1.1.4 风险管理5
1.2 信息安全风险管理8
1.2.1 信息安全8
1.2.2 信息安全风险13
1.2.3 信息安全风险管理15
1.3 信息安全风险评估19
1.3.1 信息安全风险评估的定义19
1.3.2 信息安全风险评估的目的和意义19
1.3.3 信息安全风险评估的原则20
1.3.4 信息安全风险评估过程21
1.3.5 信息安全风险管理与风险评估的关系21
1.4 小结22
习题22
第2章 信息安全风险管理相关标准23
2.1 标准化组织23
2.1.1 国际的标准化组织23
2.1.2 部分国家的标准化组织及相关标准25
2.1.3 我国信息安全风险管理标准体系框架29
2.2 风险管理标准ISO 3100030
2.2.1 风险管理历史沿革30
2.2.2 ISO 31000:2018主要内容32
2.2.3 新旧版本标准比较38
2.3 信息安全风险管理标准ISO/IEC 2700539
2.3.1 ISO/IEC 27000系列标准39
2.3.2 ISO/IEC 27005版本的演化39
2.3.3 ISO/IEC 27005:2018标准主要内容40
2.3.4 ISO 31000与ISO/IEC 27005的比较43
2.4 信息安全风险评估规范GB/T 2098444
2.4.1 我国信息安全风险评估发展历程44
2.4.2 GB/T 20984规范主要内容45
2.4.3 GB/T 20984与ISO 31000与ISO/IEC 27005的关系53
2.5 小结54
习题54
第3章 环境建立55
3.1 环境建立概述55
3.1.1 环境建立定义55
3.1.2 环境建立目的和依据56
3.1.3 基本准则57
3.1.4 范围和边界58
3.1.5 信息安全风险管理组织58
3.2 环境建立过程59
3.2.1 风险管理准备59
3.2.2 调查与分析63
3.2.3 信息安全分析64
3.2.4 基本原则确立65
3.2.5 实施规划66
3.3 环境建立文档67
3.4 风险评估准备67
3.4.1 确定信息安全风险评估的目标68
3.4.2 确定信息安全风险评估的范围68
3.4.3 组建风险评估团队69
3.4.4 进行系统调研72
3.4.5 确定信息安全风险评估依据和方法 72
3.4.6 选定评估工具73
3.4.7 制定信息安全风险评估方案73
3.4.8 准备阶段工作保障74
3.5 项目管理基础75
3.5.1 项目管理概述75
3.5.2 项目管理的重点知识领域77
3.5.3 项目生命周期93
3.5.4 项目管理过程95
3.6 小结97
习题98
第4章 发展战略和业务识别99
4.1 风险识别概述99
4.1.1 风险识别的定义99
4.1.2 风险识别的原则101
4.1.3 风险识别的方法工具101
4.2 发展战略和业务识别内容102
4.2.1 发展战略识别102
4.2.2 业务识别内容104
4.2.3 发展战略、业务与资产关系105
4.2.4 发展战略识别和业务识别的目的和意义106
4.3 发展战略和业务识别方法和工具106
4.3.1 发展战略识别方法和工具106
4.3.2 业务识别方法和工具107
4.4 发展战略和业务识别过程和输出108
4.4.1 发展战略识别过程和输出108
4.4.2 业务识别过程和输出109
4.5 发展战略和业务识别案例113
4.5.1 发展战略识别113
4.5.2 业务识别与业务赋值114
4.6 小结115
习题116
第5章 资产识别117
5.1 资产识别内容117
5.1.1 资产识别的定义117
5.1.2 资产分类118
5.1.3 资产赋值119
5.2 资产识别方法和工具122
5.2.1 资产识别方法122
5.2.2 资产识别工具124
5.3 资产识别过程和输出125
5.3.1 资产识别过程125
5.3.2 资产识别输出128
5.4 资产识别案例128
5.5 小结133
习题134
第6章 威胁识别135
6.1 威胁识别内容135
6.1.1 威胁识别定义135
6.1.2 威胁属性135
6.1.3 威胁分类136
6.1.4 威胁赋值137
6.2 威胁识别方法和工具140
6.2.1 威胁识别方法140
6.2.2 威胁识别工具143
6.3 威胁识别过程和输出143
6.3.1 威胁识别过程143
6.3.2 威胁识别输出150
6.4 威胁识别案例150
6.5 小结152
习题153
第7章 脆弱性识别154
7.1 脆弱性识别概述154
7.1.1 脆弱性识别定义154
7.1.2 脆弱性赋值158
7.1.3 脆弱性识别原则158
7.1.4 脆弱性识别方法和工具159
7.2 物理脆弱性识别162
7.2.1 物理安全相关定义162
7.2.2 物理脆弱性识别内容165
7.2.3 物理脆弱性识别方法和工具176
7.2.4 物理脆弱性识别过程180
7.2.5 物理脆弱性识别案例182
7.3 网络脆弱性识别184
7.3.1 网络安全相关定义184
7.3.2 网络脆弱性识别内容190
7.3.3 网络脆弱性识别方法和工具197
7.3.4 网络脆弱性识别过程199
7.3.5 网络脆弱性识别案例200
7.4 系统脆弱性识别204
7.4.1 系统安全相关定义204
7.4.2 系统脆弱性识别内容211
7.4.3 系统脆弱性识别方法和工具216
7.4.4 系统脆弱性识别过程221
7.4.5 系统脆弱性识别案例222
7.5 应用脆弱性识别227
7.5.1 应用中间件安全和应用系统安全的相关定义227
7.5.2 应用中间件和应用系统脆弱性识别内容237
7.5.3 应用中间件和应用系统脆弱性识别方法和工具244
7.5.4 应用中间件和应用系统脆弱性识别过程247
7.5.5 应用中间件和应用系统脆弱性识别案例248
7.6 数据脆弱性识别250
7.6.1 数据安全的相关定义250
7.6.2 数据脆弱性识别内容259
7.6.3 数据脆弱性识别方法和工具260
7.6.4 数据脆弱性识别过程261
7.6.5 数据脆弱性识别案例261
7.7 管理脆弱性识别263
7.7.1 管理安全相关定义263
7.7.2 管理脆弱性识别内容265
7.7.3 管理脆弱性识别方法
和工具271
7.7.4 管理脆弱性识别过程277
7.7.5 管理脆弱性识别案例278
7.8 小结285
习题285
第8章 已有安全措施识别286
8.1 已有安全措施识别内容286
8.1.1 已有安全措施识别的
相关定义286
8.1.2 与其他风险评估阶段的关系288
8.1.3 已有安全措施有效性确认289
8.2 已有安全措施识别与确认方法和工具290
8.2.1 已有安全措施识别与确认的方法290
8.2.2 已有安全措施识别与确认的工具294
8.3 已有安全措施识别与确认过程295
8.3.1 已有安全措施识别与确认原则295
8.3.2 管理和操作控制措施识别与确认过程296
8.3.3 技术性控制措施识别与确认过程297
8.4 已有安全措施识别输出299
8.5 已有安全措施识别案例299
8.5.1 案例背景描述299
8.5.2 案例实施过程300
8.5.3 案例输出303
8.6 小结305
习题305
第9章 风险分析306
9.1 风险分析概述306
9.1.1 风险分析的定义306
9.1.2 风险分析的地位306
9.1.3 风险分析原理306
9.1.4 风险分析流程308
9.2 风险计算314
9.2.1 风险计算原理314
9.2.2 使用矩阵法计算风险316
9.2.3 使用相乘法计算风险321
9.3 风险分析案例323
9.3.1 基本情况描述323
9.3.2 高层信息安全风险评估325
9.3.3 详细信息安全风险评估326
9.3.4 风险计算327
9.4 小结328
习题328
第10章 风险评价及风险评估输出329
10.1 风险评价概述329
10.1.1 风险评价定义329
10.1.2 风险评价方法准则329
10.1.3 风险评价方法330
10.2 风险评价判定332
10.2.1 资产风险评价332
10.2.2 业务风险评价333
10.2.3 风险评价结果333
10.3 风险评价示例334
10.3.1 从多角度进行风险评价334
10.3.2 信息系统总体风险评价335
10.4 风险评估文档输出336
10.4.1 风险评估文档记录要求337
10.4.2 风险评估文档的主要内容337
10.5 被评估对象生命周期各阶段的风险评估338
10.5.1 被评估对象的生命周期338
10.5.2 规划阶段的风险评估338
10.5.3 设计阶段的风险评估339
10.5.4 实施阶段的风险评估340
10.5.5 运维阶段的风险评估340
10.5.6 废弃阶段的风险评估341
10.6 风险评估报告示例342
10.7 小结343
习题343
第11章 风险处置344
11.1 风险处置概述344
11.1.1 风险处置定义344
11.1.2 风险处置目的和依据344
11.1.3 风险处置原则345
11.1.4 风险处置方式345
11.2 风险处置准备347
11.2.1 确定风险处置范围和边界348
11.2.2 明确风险处置角色和责任348
11.2.3 确定风险处置目标349
11.2.4 选择风险处置方式350
11.2.5 制定风险处置计划350
11.2.6 获得决策层批准350
11.3 风险处置实施351
11.3.1 风险处置方案制定352
11.3.2 风险处置方案实施359
11.3.3 残余风险处置与评估361
11.3.4 风险处置相关文档361
11.4 风险处置效果评价362
11.4.1 评价原则363
11.4.2 评价方法363
11.4.3 评价方案364
11.4.4 评价实施364
11.4.5 持续改进365
11.5 风险处置案例365
11.5.1 项目背景365
11.5.2 风险处置准备366
11.5.3 风险处置实施368
11.5.4 风险处置效果评价374
11.6 风险接受376
11.6.1 风险接受定义376
11.6.2 风险接受准则376
11.7 批准留存377
11.7.1 批准留存定义377
|
|
購物車/收銀台(
0
) | 在線留言板
| 付款方式
| 運費計算
| 聯絡我們
| 幫助中心 |
加入書簽
HOME
新書上架
