作者:(美)DarrilGibson著
页数:22,442页
出版社:电子工业出版社
出版日期:2018
ISBN:9787121331978
电子书格式:pdf/epub/txt
内容简介
该书是信息系统领域的业内专家所著,全面概述了信息系统的管理风险的方法与策略,内容新颖独特,其中配有大量的练习和实践,比其他同类书籍更加实用。
作者简介
Darril Gibson,CISSP,是YCDA有限责任公司的CEO,他创作或合著了超过35本书。Darril定期撰写、咨询和教授各种技术和安全问题,并持有多项认证。
徐一帆,海军工程大学电子工程学院副教授,主要负责信息网络安全方面的研究,目前已发表该专业领域论文数十篇,研究成果颇丰。
本书特色
该书是信息系统领域的业内专家所著,全面概述了信息系统的管理风险的方法与策略,内容新颖独特,其中配有大量的练习和实践,比其他同类书籍更加实用。
目录
第一部分 风险管理业务的挑战
第1 章 风险管理基础……………………………………………………………………….. 1
1.1 什么是风险…………………………………………………………………………….1
1.2 信息技术基础设施风险的主要组成…………………………………………5
1.3 风险管理及其对组织机构的影响…………………………………………..13
1.4 风险识别技术……………………………………………………………………….18
1.5 风险管理技术……………………………………………………………………….23
本章小结………………………………………………………………………………………27
第2 章 风险管理:威胁、漏洞及攻击……………………………………………… 29
2.1 对威胁的认识与管理…………………………………………………………….29
2.2 对漏洞的认识与管理…………………………………………………………….35
2.3 对漏洞攻击的认识与管理……………………………………………………..41
2.4 美国联邦政府的信息系统风险管理实践………………………………..48
本章小结………………………………………………………………………………………54
第3 章 合规性的依据……………………………………………………………………… 55
3.1 美国合规性法规……………………………………………………………………55
3.2 合规性的管理机构………………………………………………………………..62
3.3 合规性的组织机构政策…………………………………………………………66
3.4 合规性的标准与指南…………………………………………………………….67
本章小结………………………………………………………………………………………81
第4 章 风险管理计划的制定…………………………………………………………….82
4.1 风险管理计划的目标…………………………………………………………….82
4.2 风险管理计划的范围…………………………………………………………….85
4.3 风险管理计划中的职责分配………………………………………………….88
4.4 风险管理计划中系统实现步骤与进度的描述…………………………92
4.5 需求报告………………………………………………………………………………94
4.6 行动和里程碑计划………………………………………………………………100
4.7 风险管理计划进展的图形表达…………………………………………….103
本章小结…………………………………………………………………………………….106
第二部分 风险缓解
第5 章 风险评估方法的概念…………………………………………………………..107
5.1 对风险评估的认识………………………………………………………………107
5.2 风险评估的关键步骤…………………………………………………………..110
5.3 风险评估的类型………………………………………………………………….112
5.4 风险评估的挑战………………………………………………………………….124
5.5 风险评估的最佳做法…………………………………………………………..130
本章小结…………………………………………………………………………………….131
第6 章 风险评估的实施………………………………………………………………….132
6.1 风险评估方法的选择…………………………………………………………..132
6.2 管理结构的辨识………………………………………………………………….136
6.3 风险评估范围内资产与活动的辨识……………………………………..137
6.4 关联威胁的辨识与评估……………………………………………………….142
6.5 关联漏洞的辨识与评估……………………………………………………….144
6.6 应对措施的辨识与评估……………………………………………………….146
6.7 基于评估需求的方法选择……………………………………………………150
6.8 制定风险缓解建议………………………………………………………………153
6.9 提交风险评估结果………………………………………………………………156
6.10 实施风险评估的最佳做法………………………………………………….156
本章小结…………………………………………………………………………………….157
第7 章 受保护资源及活动的辨识…………………………………………………….158
7.1 系统访问及可用性………………………………………………………………158
7.2 系统的人工和自动功能……………………………………………………….161
7.3 硬件资产…………………………………………………………………………….163
7.4 软件资产…………………………………………………………………………….164
7.5 人力资源…………………………………………………………………………….166
7.6 数据及信息资源………………………………………………………………….167
7.7 典型信息技术基础设施七个领域的资产和库存管理………………..173
7.8 维持运营所需设施及供应的辨识…………………………………………178
本章小结…………………………………………………………………………………….184
第8 章 威胁、脆弱性及漏洞的辨识与分析………………………………………185
8.1 威胁评估…………………………………………………………………………….185
8.2 脆弱性评估…………………………………………………………………………193
8.3 漏洞评估…………………………………………………………………………….205
本章小结…………………………………………………………………………………….212
第9 章 风险缓解安全控制的辨识与分析………………………………………….213
9.1 现场控制…………………………………………………………………………….213
9.2 计划控制…………………………………………………………………………….214
9.3 控制类别…………………………………………………………………………….214
9.4 程序控制范例……………………………………………………………………..218
9.5 技术控制范例……………………………………………………………………..226
9.6 物理控制范例……………………………………………………………………..234
9.7 风险缓解安全控制的最佳做法…………………………………………….238
本章小结…………………………………………………………………………………….239
第10 章 组织机构中的风险缓解计划……………………………………………….240
10.1 组织机构中风险缓解的起点………………………………………………240
10.2 组织机构中风险管理的范围………………………………………………241
10.3 合法性及合规性问题对组织机构影响的认识和评估………………..252
10.4 合法性及合规性意义的诠释………………………………………………261
10.5 典型信息技术基础构架七个领域合法性及合规性意义
的影响评估……………………………………………………………………….261
10.6 安防措施对风险缓解助益的评估……………………………………….263
10.7 对合法性及合规性需求操作意义的认识…………………………….263
10.8 组织机构中风险缓解及风险降低的要素辨识……………………..264
10.9 费用效益分析的实施…..
第1 章 风险管理基础……………………………………………………………………….. 1
1.1 什么是风险…………………………………………………………………………….1
1.2 信息技术基础设施风险的主要组成…………………………………………5
1.3 风险管理及其对组织机构的影响…………………………………………..13
1.4 风险识别技术……………………………………………………………………….18
1.5 风险管理技术……………………………………………………………………….23
本章小结………………………………………………………………………………………27
第2 章 风险管理:威胁、漏洞及攻击……………………………………………… 29
2.1 对威胁的认识与管理…………………………………………………………….29
2.2 对漏洞的认识与管理…………………………………………………………….35
2.3 对漏洞攻击的认识与管理……………………………………………………..41
2.4 美国联邦政府的信息系统风险管理实践………………………………..48
本章小结………………………………………………………………………………………54
第3 章 合规性的依据……………………………………………………………………… 55
3.1 美国合规性法规……………………………………………………………………55
3.2 合规性的管理机构………………………………………………………………..62
3.3 合规性的组织机构政策…………………………………………………………66
3.4 合规性的标准与指南…………………………………………………………….67
本章小结………………………………………………………………………………………81
第4 章 风险管理计划的制定…………………………………………………………….82
4.1 风险管理计划的目标…………………………………………………………….82
4.2 风险管理计划的范围…………………………………………………………….85
4.3 风险管理计划中的职责分配………………………………………………….88
4.4 风险管理计划中系统实现步骤与进度的描述…………………………92
4.5 需求报告………………………………………………………………………………94
4.6 行动和里程碑计划………………………………………………………………100
4.7 风险管理计划进展的图形表达…………………………………………….103
本章小结…………………………………………………………………………………….106
第二部分 风险缓解
第5 章 风险评估方法的概念…………………………………………………………..107
5.1 对风险评估的认识………………………………………………………………107
5.2 风险评估的关键步骤…………………………………………………………..110
5.3 风险评估的类型………………………………………………………………….112
5.4 风险评估的挑战………………………………………………………………….124
5.5 风险评估的最佳做法…………………………………………………………..130
本章小结…………………………………………………………………………………….131
第6 章 风险评估的实施………………………………………………………………….132
6.1 风险评估方法的选择…………………………………………………………..132
6.2 管理结构的辨识………………………………………………………………….136
6.3 风险评估范围内资产与活动的辨识……………………………………..137
6.4 关联威胁的辨识与评估……………………………………………………….142
6.5 关联漏洞的辨识与评估……………………………………………………….144
6.6 应对措施的辨识与评估……………………………………………………….146
6.7 基于评估需求的方法选择……………………………………………………150
6.8 制定风险缓解建议………………………………………………………………153
6.9 提交风险评估结果………………………………………………………………156
6.10 实施风险评估的最佳做法………………………………………………….156
本章小结…………………………………………………………………………………….157
第7 章 受保护资源及活动的辨识…………………………………………………….158
7.1 系统访问及可用性………………………………………………………………158
7.2 系统的人工和自动功能……………………………………………………….161
7.3 硬件资产…………………………………………………………………………….163
7.4 软件资产…………………………………………………………………………….164
7.5 人力资源…………………………………………………………………………….166
7.6 数据及信息资源………………………………………………………………….167
7.7 典型信息技术基础设施七个领域的资产和库存管理………………..173
7.8 维持运营所需设施及供应的辨识…………………………………………178
本章小结…………………………………………………………………………………….184
第8 章 威胁、脆弱性及漏洞的辨识与分析………………………………………185
8.1 威胁评估…………………………………………………………………………….185
8.2 脆弱性评估…………………………………………………………………………193
8.3 漏洞评估…………………………………………………………………………….205
本章小结…………………………………………………………………………………….212
第9 章 风险缓解安全控制的辨识与分析………………………………………….213
9.1 现场控制…………………………………………………………………………….213
9.2 计划控制…………………………………………………………………………….214
9.3 控制类别…………………………………………………………………………….214
9.4 程序控制范例……………………………………………………………………..218
9.5 技术控制范例……………………………………………………………………..226
9.6 物理控制范例……………………………………………………………………..234
9.7 风险缓解安全控制的最佳做法…………………………………………….238
本章小结…………………………………………………………………………………….239
第10 章 组织机构中的风险缓解计划……………………………………………….240
10.1 组织机构中风险缓解的起点………………………………………………240
10.2 组织机构中风险管理的范围………………………………………………241
10.3 合法性及合规性问题对组织机构影响的认识和评估………………..252
10.4 合法性及合规性意义的诠释………………………………………………261
10.5 典型信息技术基础构架七个领域合法性及合规性意义
的影响评估……………………………………………………………………….261
10.6 安防措施对风险缓解助益的评估……………………………………….263
10.7 对合法性及合规性需求操作意义的认识…………………………….263
10.8 组织机构中风险缓解及风险降低的要素辨识……………………..264
10.9 费用效益分析的实施…..
