第1章 概述
1.1 風(fēng)險(xiǎn)起源
1.1.1 風(fēng)險(xiǎn)的發(fā)展歷程
1.1.2 風(fēng)險(xiǎn)定義
1.1.3 風(fēng)險(xiǎn)管理
1.2 風(fēng)險(xiǎn)管理的模型
1.2.1 風(fēng)險(xiǎn)管理對(duì)象
1.2.2 信息安全屬性
1.2.3 風(fēng)險(xiǎn)管理環(huán)節(jié)
1.3 信息安全風(fēng)險(xiǎn)特性
1.3.1 風(fēng)險(xiǎn)的基本特性
1.3.2 風(fēng)險(xiǎn)的不確定性
1.3.3 風(fēng)險(xiǎn)的影響
1.4 信息安全風(fēng)險(xiǎn)要素與關(guān)系
1.4.1 基本要素
1.4.2 關(guān)系
第2章 信息安全風(fēng)險(xiǎn)管理相關(guān)標(biāo)準(zhǔn)
2.1 ISO／IEC31000
2.1.1 ISO／IEC31000標(biāo)準(zhǔn)內(nèi)容簡(jiǎn)介
2.1.2 風(fēng)險(xiǎn)管理的原則
2.1.3 風(fēng)險(xiǎn)管理的框架
2.1.4 風(fēng)險(xiǎn)管理的過(guò)程
2.2 ISO／IEC 13335
2.2.1 ISO／IEC 13335標(biāo)準(zhǔn)內(nèi)容簡(jiǎn)介
2.2.2 ISO／IEC 13335的信息安全概念
2.2.3 ISO／IEC 13335的安全要素
2.2.4 ISO／IEC 13335的八個(gè)安全要素之間的關(guān)系以及風(fēng)險(xiǎn)管理關(guān)系模型
2.3 ISO／IEC 27005
2.3.1 ISO／IEC 27005標(biāo)準(zhǔn)內(nèi)容簡(jiǎn)介
2.3.2 IS0／IEC 27005風(fēng)險(xiǎn)管理過(guò)程
2.4 卡內(nèi)基梅隆
2.4.1 OCTAVE概述
2.4.2 OCTAVE Method介紹
2.4.3 OCTAVE-S介紹
2.5 GB／T 20984
2.5.1 GB／T 20984標(biāo)準(zhǔn)的內(nèi)容簡(jiǎn)介
2.5.2 GB／T 20984的風(fēng)險(xiǎn)評(píng)估
第3章 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)現(xiàn)
3.1 風(fēng)險(xiǎn)評(píng)估過(guò)程框架
3.1.1 風(fēng)險(xiǎn)評(píng)估原則
3.1.2 風(fēng)險(xiǎn)評(píng)估過(guò)程框架
3.2 風(fēng)險(xiǎn)識(shí)別階段
3.2.1 建立環(huán)境
3.2.2 風(fēng)險(xiǎn)評(píng)估前期調(diào)查
3.2.3 風(fēng)險(xiǎn)評(píng)估工具準(zhǔn)備
3.2.4 資產(chǎn)識(shí)別
3.2.5 威脅識(shí)別
3.2.6 脆弱性識(shí)別
3.2.7 安全措施分析
3.3 風(fēng)險(xiǎn)分析階段
3.3.1 風(fēng)險(xiǎn)分析
3.3.2 風(fēng)險(xiǎn)計(jì)算
3.4 風(fēng)險(xiǎn)評(píng)價(jià)階段
3.5 風(fēng)險(xiǎn)評(píng)估的報(bào)告
3.6 風(fēng)險(xiǎn)評(píng)估的評(píng)審
第4章 信息安全風(fēng)險(xiǎn)處置
4.1 風(fēng)險(xiǎn)處置過(guò)程框架
4.2 風(fēng)險(xiǎn)處置方法
4.3 風(fēng)險(xiǎn)處置措施選擇與實(shí)施
4.3.1 選擇風(fēng)險(xiǎn)處置方法
4.3.2 準(zhǔn)備和實(shí)施風(fēng)險(xiǎn)處置計(jì)劃
4.4 風(fēng)險(xiǎn)處置的監(jiān)視與評(píng)審
4.4.1 風(fēng)險(xiǎn)處置有效性的監(jiān)視與評(píng)審的必要性
4.4.2 風(fēng)險(xiǎn)處置有效性的監(jiān)督與評(píng)審示意圖（如圖4-3所示）
4.4.3 風(fēng)險(xiǎn)處置有效性的監(jiān)督與評(píng)審的原則
4.5 典型的風(fēng)險(xiǎn)處置措施
第5章 信息安全風(fēng)險(xiǎn)管理案例
5.1 案例背景
5.2 確定風(fēng)險(xiǎn)管理框架
5.3 風(fēng)險(xiǎn)識(shí)別
5.3.1 建立環(huán)境
5.3.2 前期調(diào)查
5.3.3 工具準(zhǔn)備
5.3.4 風(fēng)險(xiǎn)要素識(shí)別
5.4 風(fēng)險(xiǎn)分析
5.4.1 計(jì)算安全事件可能性
5.4.2 計(jì)算安全事件損失
5.4.3 計(jì)算風(fēng)險(xiǎn)值
5.5 風(fēng)險(xiǎn)評(píng)價(jià)
5.6 風(fēng)險(xiǎn)處置
5.6.1 現(xiàn)存風(fēng)險(xiǎn)判斷
5.6.2 控制措施選擇
5.7 風(fēng)險(xiǎn)管理評(píng)審
附錄1：風(fēng)險(xiǎn)評(píng)估的工具和方法
附表1-1 風(fēng)險(xiǎn)評(píng)估的方法
附錄2：系統(tǒng)調(diào)研調(diào)查表
附表2-1 單位基本情況調(diào)查表
附表2-2 參與測(cè)評(píng)項(xiàng)目相關(guān)人員名單
附表2-3 信息資產(chǎn)登記表
附表2-4 信息系統(tǒng)等級(jí)情況
附表2-5 外聯(lián)線路及設(shè)備端口網(wǎng)絡(luò)邊界情況
附表2-6 信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)環(huán)境情況
附表2-7 安全設(shè)備情況
附表2-8 網(wǎng)絡(luò)設(shè)備情況
附表2-9 終端設(shè)備情況
附表2-10 服務(wù)器設(shè)備情況
附表2-11 應(yīng)用系統(tǒng)軟件情況
附表2-12 業(yè)務(wù)系統(tǒng)功能登記表
附表2-13 信息系統(tǒng)承載業(yè)務(wù)（服務(wù)）表
附表2-14 業(yè)務(wù)數(shù)據(jù)情況調(diào)查
附表2-15 數(shù)據(jù)備份情況
附表2-16 應(yīng)用系統(tǒng)軟件處理流程（多表）
附表2-17 管理文檔情況調(diào)查（制度類文檔）
附表2-18 管理文檔情況調(diào)查（記錄類文檔）
附表2-19 安全威脅情況
參考文獻(xiàn)