信息安全风险评估：概念、方法和实践【2025|PDF下载-Epub版本|mobi电子书|kindle百度云盘下载】

信息安全风险评估：概念、方法和实践PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第一部分　概念3

第1章　从风险说起3

1.1 风险概念的由来3

1.2　风险的定义4

第2章　认识风险评估6

2.1 与风险评估相关的概念6

2.1.1 风险管理6

2.1.2　风险分析7

2.1.3　风险评价10

2.1.4　风险处理11

2.2 区别风险评估和风险管理11

2.3　风险管理的发展历程12

2.4　风险评估工具13

2.4.1 工具概述13

2.4.2　工具示例14

2.4.3　工具发展展望15

2.5　信息安全风险评估17

第二部分　方法21

第3章　方法综述21

3.1 风险评估与信息安全管理体系21

3.2　站在组织的视角评估风险24

3.3　相关标准介绍25

3.3.1　ISO/IEC TR 13335-325

3.3.2 OCTAVE27

3.3.3 NIST SP800-3030

3.3.4　The Security Risk Management Guide32

3.3.5 BS 7799-3:200636

3.3.6 ISO/IEC FCD 2700538

第4章　风险评估的基本过程40

4.1　风险评估准备40

4.1.1 得到高层管理者对评估活动的支持40

4.1.2　确定本次风险评估的范围41

4.1.3　组建风险评估核心小组42

4.1.4　全员动员43

4.1.5　制定详细可行的工作计划表43

4.1.6　准备各种可能的工具44

4.2　识别并评价资产46

4.2.1　信息资产的定义46

4.2.2　资产的分类46

4.2.3　识别资产49

4.2.4　评价资产52

4.3　识别威胁和威胁可以利用的脆弱性57

4.3.1　威胁的定义57

4.3.2　脆弱性的定义58

4.3.3　威胁和脆弱性的识别60

4.4　识别和评价控制措施69

4.4.1　控制措施的定义69

4.4.2　控制措施的识别71

4.5　分析可能性和影响72

4.5.1　分析可能性72

4.5.2　分析影响73

4.5.3　更详细的方法74

4.6　分析风险的大小78

4.7　编写风险评估报告79

4.7.1　编写报告注意事项79

4.7.2　如何编写报告80

4.8　风险处理82

4.8.1　风险处理选项82

4.8.2　风险处理过程83

第三部分　实践87

第5章 完整的风险评估应用实例87

5.1 e-BookStore案例描述87

5.2　进行风险评估88

5.2.1　风险评估准备工作88

5.2.2　识别和评价资产92

5.2.3　识别威胁和脆弱性102

5.2.4　识别现有的控制措施并分析有效性106

5.2.5　分析暴露和影响119

5.2.6　分析发生容易度和可能性119

5.2.7　分析风险大小119

5.2.8　编写风险评估报告122

第6章 实践难点与深入研究125

6.1 实践中难点分析125

6.1.1 资产识别的细致程度125

6.1.2　资产关联的识别或评价125

6.1.3　威胁的识别126

6.1.4　脆弱性的描述126

6.1.5　风险计算方法的确定126

6.2　深入阅读指南127

6.2.1 信息安全或ISMS相关文献127

6.2.2　信息安全风险评估相关文献127

6.2.3　其他相关文献128

附录A　资产分类表130

附录B　威胁和脆弱性对应表138

附录C　风险评估程序示例146

附录D　风险处理程序示例154

附录E　风险分析方法介绍157

参考文献171