信息安全风险评估方法与应用

目录 1

第1章　信息安全风险评估发展状况 1

1.1　信息安全风险评估概述 1

1.1.1　基本概念 1

1.1.2　现实意义 2

1.2　国外信息安全风险评估发展状况 3

1.2.1　美国信息安全风险评估状况 3

1.2.2 英国BS 7799标准 6

1.2.3　澳大利亚AS/NZS 4360 15

1.2.4　其他国家和地区的情况 16

1.3　我国信息安全风险评估发展现状 16

1.3.1　面临的主要问题 17

1.3.2　采取的具体措施 18

本章小结 20

第2章　信息安全风险评估理论与方法 21

2.1　信息安全风险评估策略 21

2.1.1　风险评估依据 21

2.1.2　风险评估原则 22

2.1.3　术语与定义 23

2.1.4　风险评估原理 25

2.2　信息安全风险评估组织管理 27

2.2.1　角色及职责 27

2.2.2　形式与运用 29

2.2.3　综合考核指标 30

2.2.4　对信息系统生命周期的支持 31

2.2.5　方案论证、实施与审批 32

2.3.1　风险评估的准备 33

2.3　信息安全风险评估实施流程 33

2.3.2　资产识别 34

2.3.3　威胁识别 38

2.3.4　脆弱性识别 41

2.3.5 已有安全措施的确认 43

2.3.6　风险识别 43

2.3.7　风险评估结果记录 45

2.4　信息安全风险评估基本方法 47

2.4.1　风险评估方法概述 47

2.4.2　典型的风险评估方法 52

2.4.3　各种风险评估方法比较 63

2.5　信息安全风险评估基础工作 66

2.5.1　风险评估工具 66

2.5.2　风险计算工具 72

2.5.3　风险评估数据收集工具 78

本章小结 81

第3章　信息安全风险管理框架与流程 82

3.1　风险管理概述 82

3.1.1　基本概念 82

3.1.2 目的和意义 82

3.1.3　范围和对象 83

3.1.4　角色和责任 84

3.1.5　内容和过程 85

3.2　对象确立 85

3.2.1　对象确立概述 85

3.2.2　对象确立过程 86

3.2.3　对象确立文档 88

3.3.1　风险分析概述 89

3.3.2　风险分析过程 89

3.3　风险分析 89

3.3.3　风险分析文档 93

3.4　风险控制 95

3.4.1　风险控制概述 95

3.4.2　风险控制过程 98

3.4.3　风险控制文档 101

3.5 审核批准 102

3.5.1　审核批准概述 102

3.5.2　审核批准过程 102

3.5.3　审核批准文档 107

3.6.1　监控与审查概述 108

3.6　监控与审查 108

3.6.2　监控与审查过程 109

3.6.3　监控与审查文档 112

3.7　沟通与咨询 112

3.7.1　沟通与咨询概述 112

3.7.2　沟通与咨询过程 114

3.7.3　沟通与咨询文档 117

3.8　信息系统周期各阶段的风险管理 118

3.8.1　与信息系统生命周期和信息安全目标的关系 118

3.8.2　规划阶段的信息安全风险管理 120

3.8.3　设计阶段的信息安全风险管理 122

3.8.4　实施阶段的信息安全风险管理 124

3.8.5　运维阶段的信息安全风险管理 127

3.8.6　废弃阶段的信息安全风险管理 129

本章小结 131

第4章　信息安全风险评估实践应用案例 132

4.1　应用案例1 132

4.1.1 自评估原则 132

4.1.2　评估流程 134

4.1.3　实施过程 137

4.1.4　进度计划 147

4.2　应用案例2 148

4.2.1　评估依据及原则 148

4.2.2　需求配合及验收方案 149

4.2.3　评估实施流程 150

4.2.4　项目进度计划 166

4.3　应用案例3 169

4.3.1　风险评估准备阶段 170

4.3.2　信息收集阶段 171

4.3.3　风险要素识别与分析 175

4.3.4　风险分析阶段 185

4.3.5　总结与审核阶段 186

4.3.6　评估进度计划及组织结构 187

4.4　应用案例4 188

4.4.1　政务网络风险评估准备阶段 188

4.4.2　政务网络关键业务和信息资产识别与分析 190

4.4.3　政务网络信息系统威胁与脆弱性识别和分析 192

4.4.4　政务网络信息安全风险的评估与确定 198

本章小结 201

参考文献 202