信息安全风险管理与实践
正版保障 假一赔十 可开发票
¥
59.88
6.7折
¥
89
全新
库存2件
作者曹雅斌,尤其,何志明主编
出版社电子工业出版社
ISBN9787121422638
出版时间2021-10
装帧平装
开本16开
定价89元
货号11338590
上书时间2024-12-05
商品详情
- 品相描述:全新
- 商品描述
-
作者简介
曹雅斌,毕业于清华大学机械工程系。长期负责质量安全管理和认证认可领域的政策法规、制度体系建设以及测评、认证工作的组织实施。现任职于中国网络安全审查技术与认证中心,负责网络信息安全人员培训与认证工作。
尤其,中国网络安全审查技术与认证中心(原中国信息安全认证中心)培训与人员认证部副主任,高级工程师。《信息技术 安全技术 信息安全管理体系 要求》《信息技术 安全技术 信息安全管理体系 控制实践指南》《公共安全 业务连续性管理体系 要求》《公共安全 业务连续性管理系 指南》等多项国家标准、行业标准主要起草人之一;出版信息安全管理体系专著1 部。国际标准化组织 ISO/IEC SC27/WG1(信息技术 安全技术 信息安全管理国际标准起草组) 注册专家;中国合格评定国家认可委员会(CNAS)信息安全专业委员会秘书长。
何志明,现任北京红戎信安技术有限公司总经理,负责公司运营和信息安全风险管理培训工作,参与了教材编写、课件讲义制作、授课和教学实践,了解和掌握信息安全风险管理的基础知识和基本技能,有网络与信息安全从业20多年的经历,对网络安全现状及发展趋势有独立见解,对网络安全企业经营有丰富的管理经验。
目录
第1章 概述 1
1.1 风险和风险管理 1
1.1.1 风险 1
1.1.2 风险的基本特性 2
1.1.3 风险的构成要素 4
1.1.4 风险管理 5
1.2 信息安全风险管理 8
1.2.1 信息安全 8
1.2.2 信息安全风险 13
1.2.3 信息安全风险管理 15
1.3 信息安全风险评估 19
1.3.1 信息安全风险评估的定义 19
1.3.2 信息安全风险评估的目的和意义 19
1.3.3 信息安全风险评估的原则 20
1.3.4 信息安全风险评估过程 21
1.3.5 信息安全风险管理与风险评估的关系 21
1.4 小结 22
习题 22
第2章 信息安全风险管理相关标准 23
2.1 标准化组织 23
2.1.1 国际的标准化组织 23
2.1.2 部分国家的标准化组织及相关标准 25
2.1.3 我国信息安全风险管理标准体系框架 29
2.2 风险管理标准ISO 31000 30
2.2.1 风险管理历史沿革 30
2.2.2 ISO 31000:2018主要内容 32
2.2.3 新旧版本标准比较 38
2.3 信息安全风险管理标准ISO/IEC 27005 39
2.3.1 ISO/IEC 27000系列标准 39
2.3.2 ISO/IEC 27005版本的演化 39
2.3.3 ISO/IEC 27005:2018标准主要内容 40
2.3.4 ISO 31000与ISO/IEC 27005的比较 43
2.4 信息安全风险评估规范GB/T 20984 44
2.4.1 我国信息安全风险评估发展历程 44
2.4.2 GB/T 20984规范主要内容 45
2.4.3 GB/T 20984与ISO 31000与ISO/IEC 27005的关系 53
2.5 小结 54
习题 54
第3章 环境建立 55
3.1 环境建立概述 55
3.1.1 环境建立定义 55
3.1.2 环境建立目的和依据 56
3.1.3 基本准则 57
3.1.4 范围和边界 58
3.1.5 信息安全风险管理组织 58
3.2 环境建立过程 59
3.2.1 风险管理准备 59
3.2.2 调查与分析 63
3.2.3 信息安全分析 64
3.2.4 基本原则确立 65
3.2.5 实施规划 66
3.3 环境建立文档 67
3.4 风险评估准备 67
3.4.1 确定信息安全风险评估的目标 68
3.4.2 确定信息安全风险评估的范围 68
3.4.3 组建风险评估团队 69
3.4.4 进行系统调研 72
3.4.5 确定信息安全风险评估依据和方法 72
3.4.6 选定评估工具 73
3.4.7 制定信息安全风险评估方案 73
3.4.8 准备阶段工作保障 74
3.5 项目管理基础 75
3.5.1 项目管理概述 75
3.5.2 项目管理的重点知识领域 77
3.5.3 项目生命周期 93
3.5.4 项目管理过程 95
3.6 小结 97
习题 98
第4章 发展战略和业务识别 99
4.1 风险识别概述 99
4.1.1 风险识别的定义 99
4.1.2 风险识别的原则 101
4.1.3 风险识别的方法工具 101
4.2 发展战略和业务识别内容 102
4.2.1 发展战略识别 102
4.2.2 业务识别内容 104
4.2.3 发展战略、业务与资产关系 105
4.2.4 发展战略识别和业务识别的目的和意义 106
4.3 发展战略和业务识别方法和工具 106
4.3.1 发展战略识别方法和工具 106
4.3.2 业务识别方法和工具 107
4.4 发展战略和业务识别过程和输出 108
4.4.1 发展战略识别过程和输出 108
4.4.2 业务识别过程和输出 109
4.5 发展战略和业务识别案例 113
4.5.1 发展战略识别 113
4.5.2 业务识别与业务赋值 114
4.6 小结 115
习题 116
第5章 资产识别 117
5.1 资产识别内容 117
5.1.1 资产识别的定义 117
5.1.2 资产分类 118
5.1.3 资产赋值 119
5.2 资产识别方法和工具 122
5.2.1 资产识别方法 122
5.2.2 资产识别工具 124
5.3 资产识别过程和输出 125
5.3.1 资产识别过程 125
5.3.2 资产识别输出 128
5.4 资产识别案例 128
5.5 小结 133
习题 134
第6章 威胁识别 135
6.1 威胁识别内容 135
6.1.1 威胁识别定义 135
6.1.2 威胁属性 135
6.1.3 威胁分类 136
6.1.4 威胁赋值 137
6.2 威胁识别方法和工具 140
6.2.1 威胁识别方法 140
6.2.2 威胁识别工具 143
6.3 威胁识别过程和输出 143
6.3.1 威胁识别过程 143
6.3.2 威胁识别输出 150
6.4 威胁识别案例 150
6.5 小结 152
习题 153
第7章 脆弱性识别 154
7.1 脆弱性识别概述 154
7.1.1 脆弱性识别定义 154
7.1.2 脆弱性赋值 158
7.1.3 脆弱性识别原则 158
7.1.4 脆弱性识别方法和工具 159
7.2 物理脆弱性识别 162
7.2.1 物理安全相关定义 162
7.2.2 物理脆弱性识别内容 165
7.2.3 物理脆弱性识别方法和工具 176
7.2.4 物理脆弱性识别过程 180
7.2.5 物理脆弱性识别案例 182
7.3 网络脆弱性识别 184
7.3.1 网络安全相关定义 184
7.3.2 网络脆弱性识别内容 190
7.3.3 网络脆弱性识别方法和工具 197
7.3.4 网络脆弱性识别过程 199
7.3.5 网络脆弱性识别案例 200
7.4 系统脆弱性识别 204
7.4.1 系统安全相关定义 204
7.4.2 系统脆弱性识别内容 211
7.4.3 系统脆弱性识别方法和工具 216
7.4.4 系统脆弱性识别过程 221
7.4.5 系统脆弱性识别案例 222
7.5 应用脆弱性识别 227
7.5.1 应用中间件安全和应用系统安全的相关定义 227
7.5.2 应用中间件和应用系统脆弱性识别内容 237
7.5.3 应用中间件和应用系统脆弱性识别方法和工具 244
7.5.4 应用中间件和应用系统脆弱性识别过程 247
7.5.5 应用中间件和应用系统脆弱性识别案例 248
7.6 数据脆弱性识别 250
7.6.1 数据安全的相关定义 250
7.6.2 数据脆弱性识别内容 259
7.6.3 数据脆弱性识别方法和工具 260
7.6.4 数据脆弱性识别过程 261
7.6.5 数据脆弱性识别案例 261
7.7 管理脆弱性识别 263
7.7.1 管理安全相关定义 263
7.7.2 管理脆弱性识别内容 265
7.7.3 管理脆弱性识别方法
和工具 271
7.7.4 管理脆弱性识别过程 277
7.7.5 管理脆弱性识别案例 278
7.8 小结 285
习题 285
第8章 已有安全措施识别 286
8.1 已有安全措施识别内容 286
8.1.1 已有安全措施识别的
相关定义 286
8.1.2 与其他风险评估阶段的关系 288
8.1.3 已有安全措施有效性确认 289
8.2 已有安全措施识别与确认方法和工具 290
8.2.1 已有安全措施识别与确认的方法 290
8.2.2 已有安全措施识别与确认的工具 294
8.3 已有安全措施识别与确认过程 295
8.3.1 已有安全措施识别与确认原则 295
8.3.2 管理和操作控制措施识别与确认过程 296
8.3.3 技术性控制措施识别与确认过程 297
8.4 已有安全措施识别输出 299
8.5 已有安全措施识别案例 299
8.5.1 案例背景描述 299
8.5.2 案例实施过程 300
8.5.3 案例输出 303
8.6 小结 305
习题 305
第9章 风险分析 306
9.1 风险分析概述 306
9.1.1 风险分析的定义 306
9.1.2 风险分析的地位 306
9.1.3 风险分析原理 306
9.1.4 风险分析流程 308
9.2 风险计算 314
9.2.1 风险计算原理 314
9.2.2 使用矩阵法计算风险 316
9.2.3 使用相乘法计算风险 321
9.3 风险分析案例 323
9.3.1 基本情况描述 323
9.3.2 高层信息安全风险评估 325
9.3.3 详细信息安全风险评估 326
9.3.4 风险计算 327
9.4 小结 328
习题 328
第10章 风险评价及风险评估输出 329
10.1 风险评价概述 329
10.1.1 风险评价定义 329
10.1.2 风险评价方法准则 329
10.1.3 风险评价方法 330
10.2 风险评价判定 332
10.2.1 资产风险评价 332
10.2.2 业务风险评价 333
10.2.3 风险评价结果 333
10.3 风险评价示例 334
10.3.1 从多角度进行风险评价 334
10.3.2 信息系统总体风险评价 335
10.4 风险评估文档输出 336
主编推荐
"网络安全工作从业者推荐阅读、网络安全渗透测试方向认证考试指导 "
精彩内容
本书从信息安全风险管理的基本概念入手,以信息安全风险管理标准——ISO/IEC 27005《信息技术—安全技术—信息安全风险管理》为主线,全面介绍了信息安全风险管理相关国际标准和国家标准;详细介绍了信息安全风险管理的环境建立,发展战略和业务识别,资产识别,威胁识别,脆弱性识别,已有安全措施识别;还介绍了风险分析,风险评价及风险评估输出,风险处置,沟通与咨询、监视与评审等内容;并给出了信息安全风险管理综合实例。本书还重点讲解了脆弱性识别中的物理脆弱性识别、网络脆弱性识别、系统脆弱性识别、应用脆弱性识别、数据脆弱性识别和管理脆弱性识别等内容。本书力图通过小案例与综合实例,理论联系实践,使读者了解、掌握和运用信息安全风险管理的理论与实践方法。 本书是信息安全保障人员认证信息安全风险管理方向的培训教材,面向政府部门、企事业单位从事信息安全风险管理或风险评估的专业人员,也适用于信息安全专业人士、大学生或对信息安全风险管理感兴趣的读者使用。
媒体评论
信息安全保障人员学习与实践指导,网络安全认证考试参考全面介绍了信息安全风险管理相关国际标准和国家标准;详细介绍了信息安全风险管理内容;并给出了信息安全风险管理综合实例网络安全工作从业者必读、网络安全渗透测试方向认证考试指导
本书紧扣信息安全风险管理主线,涵盖了信息安全风险管理的各个环节,并依据最新颁布的国际和国家标准,结合信息安全风险管理最佳实践,对相关课程内容进行了大规模的修订完善和补充调整,以满足IT从业者和人员培训认证的学习需要,帮助从事网络安全技术岗位和管理岗位的人员提升信息安全风险管理能力。——魏 昊中国网络安全审查技术与认证中心
— 没有更多了 —
以下为对购买帮助不大的评价