![《信息安全风险管理与实践曹雅斌著》[62M]百度网盘|pdf下载|亲测有效](/downpdf2/uploads/2024-01-20/692498f254dcf2b2.jpg "信息安全风险管理与实践曹雅斌著")
信息安全风险管理与实践曹雅斌著 pdf下载
8.99¥
10.99¥
内容简介
本篇主要提供信息安全风险管理与实践曹雅斌著电子书的pdf版本下载,本电子书下载方式为百度网盘方式,点击以上按钮下单完成后即会通过邮件和网页的方式发货,有问题请联系邮箱ebook666@outlook.com
| 图书基本信息 | |||
| 图书名称 | 信息安全风险管理与实践 | 作者 | 曹雅斌 著 |
| 定价 | 89元 | 出版社 | 电子工业出版社 |
| ISBN | 9787121422638 | 出版日期 | |
| 字数 | 页码 | 448 | |
| 版次 | 装帧 | 平装 | |
| 开本 | 16开 | 商品重量 | |
| 内容提要 | |
| 本书从信息安全风险管理的基本概念入手,以信息安全风险管理标准――/IEC 27005《信息技术―安全技术―信息安全风险管理》为主线,全面介绍了信息安全风险管理相关国际标准和国家标准;详细介绍了信息安全风险管理的环境建立,发展战略和业务识别,资产识别,威胁识别,脆弱性识别,已有安全措施识别;还介绍了风险分析,风险评价及风险评估输出,风险处置,沟通与咨询、监视与评审等内容;并给出了信息安全风险管理综合实例。本书还重点讲解了脆弱性识别中的物理脆弱性识别、网络脆弱性识别、系统脆弱性识别、应用脆弱性识别、数据脆弱性识别和管理脆弱性识别等内容。本书力图通过小案例与综合实例,理论联系实践,使读者了解、掌握和运用信息安全风险管理的理论与实践方法。 本书是信息安全保障人员认证信息安全风险管理方向的培训教材,面向部门、企事业单位从事信息安全风险管理或风险评估的专业人员,也适用于信息安全专业人士、大学生或对信息安全风险管理感兴趣的读者使用。 |
| 目录 | |
| 章 概述t1 1.1 风险和风险管理t1 1.1.1 风险t1 1.1.2 风险的基本特性t2 1.1.3 风险的构成要素t4 1.1.4 风险管理t5 1.2 信息安全风险管理t8 1.2.1 信息安全t8 1.2.2 信息安全风险t13 1.2.3 信息安全风险管理t15 1.3 信息安全风险评估t19 1.3.1 信息安全风险评估的定义t19 1.3.2 信息安全风险评估的目的和意义t19 1.3.3 信息安全风险评估的原则t20 1.3.4 信息安全风险评估过程t21 1.3.5 信息安全风险管理与风险评估的关系t21 1.4 小结t22 习题tt22 第2章 信息安全风险管理相关标准t23 2.1 标准化组织t23 2.1.1 国际的标准化组织t23 2.1.2 部分国家的标准化组织及相关标准t25 2.1.3 我国信息安全风险管理标准体系框架t29 2.2 风险管理标准 31000t30 2.2.1 风险管理历史沿革t30 2.2.2 31000:2018主要内容t32 2.2.3 新旧版本标准比较t38 2.3 信息安全风险管理标准/IEC 27005t39 2.3.1 /IEC 27000系列标准t39 2.3.2 /IEC 27005版本的演化t39 2.3.3 /IEC 27005:2018标准主要内容t40 2.3.4 31000与/IEC 27005的比较t43 2.4 信息安全风险评估规范GB/T 20984t44 2.4.1 我国信息安全风险评估发展历程t44 2.4.2 GB/T 20984规范主要内容t45 2.4.3 GB/T 20984与 31000与/IEC 27005的关系t53 2.5 小结t54 习题tt54 第3章 环境建立t55 3.1 环境建立概述t55 3.1.1 环境建立定义t55 3.1.2 环境建立目的和依据t56 3.1.3 基本准则t57 3.1.4 范围和边界t58 3.1.5 信息安全风险管理组织t58 3.2 环境建立过程t59 3.2.1 风险管理准备t59 3.2.2 调查与分析t63 3.2.3 信息安全分析t64 3.2.4 基本原则确立t65 3.2.5 实施规划t66 3.3 环境建立文档t67 3.4 风险评估准备t67 3.4.1 确定信息安全风险评估的目标t68 3.4.2 确定信息安全风险评估的范围t68 3.4.3 组建风险评估团队t69 3.4.4 进行系统调研t72 3.4.5 确定信息安全风险评估依据和方法t 72 3.4.6 选定评估工具t73 3.4.7 制定信息安全风险评估方案t73 3.4.8 准备阶段工作保障t74 3.5 项目管理基础t75 3.5.1 项目管理概述t75 3.5.2 项目管理的重点知识领域t77 3.5.3 项目生命周期t93 3.5.4 项目管理过程t95 3.6 小结t97 习题tt98 第4章 发展战略和业务识别t99 4.1 风险识别概述t99 4.1.1 风险识别的定义t99 4.1.2 风险识别的原则t101 4.1.3 风险识别的方法工具t101 4.2 发展战略和业务识别内容t102 4.2.1 发展战略识别t102 4.2.2 业务识别内容t104 4.2.3 发展战略、业务与资产关系t105 4.2.4 发展战略识别和业务识别的目的和意义t106 4.3 发展战略和业务识别方法和工具t106 4.3.1 发展战略识别方法和工具t106 4.3.2 业务识别方法和工具t107 4.4 发展战略和业务识别过程和输出t108 4.4.1 发展战略识别过程和输出t108 4.4.2 业务识别过程和输出t109 4.5 发展战略和业务识别案例t113 4.5.1 发展战略识别t113 4.5.2 业务识别与业务赋值t114 4.6 小结t115 习题tt116 第5章 资产识别t117 5.1 资产识别内容t117 5.1.1 资产识别的定义t117 5.1.2 资产分类t118 5.1.3 资产赋值t119 5.2 资产识别方法和工具t122 5.2.1 资产识别方法t122 5.2.2 资产识别工具t124 5.3 资产识别过程和输出t125 5.3.1 资产识别过程t125 5.3.2 资产识别输出t128 5.4 资产识别案例t128 5.5 小结t133 习题tt134 第6章 威胁识别t135 6.1 威胁识别内容t135 6.1.1 威胁识别定义t135 6.1.2 威胁属性t135 6.1.3 威胁分类t136 6.1.4 威胁赋值t137 6.2 威胁识别方法和工具t140 6.2.1 威胁识别方法t140 6.2.2 威胁识别工具t143 6.3 威胁识别过程和输出t143 6.3.1 威胁识别过程t143 6.3.2 威胁识别输出t150 6.4 威胁识别案例t150 6.5 小结t152 习题tt153 第7章 脆弱性识别t154 7.1 脆弱性识别概述t154 7.1.1 脆弱性识别定义t154 7.1.2 脆弱性赋值t158 7.1.3 脆弱性识别原则t158 7.1.4 脆弱性识别方法和工具t159 7.2 物理脆弱性识别t162 7.2.1 物理安全相关定义t162 7.2.2 物理脆弱性识别内容t165 7.2.3 物理脆弱性识别方法和工具t176 7.2.4 物理脆弱性识别过程t180 7.2.5 物理脆弱性识别案例t182 7.3 网络脆弱性识别t184 7.3.1 网络安全相关定义t184 7.3.2 网络脆弱性识别内容t190 7.3.3 网络脆弱性识别方法和工具t197 7.3.4 网络脆弱性识别过程t199 7.3.5 网络脆弱性识别案例t200 7.4 系统脆弱性识别t204 7.4.1 系统安全相关定义t204 7.4.2 系统脆弱性识别内容t211 7.4.3 系统脆弱性识别方法和工具t216 7.4.4 系统脆弱性识别过程t221 7.4.5 系统脆弱性识别案例t222 7.5 应用脆弱性识别t227 7.5.1 应用中间件安全和应用系统安全的相关定义t227 7.5.2 应用中间件和应用系统脆弱性识别内容t237 7.5.3 应用中间件和应用系统脆弱性识别方法和工具t244 7.5.4 应用中间件和应用系统脆弱性识别过程t247 7.5.5 应用中间件和应用系统脆弱性识别案例t248 7.6 数据脆弱性识别t250 7.6.1 数据安全的相关定义t250 7.6.2 数据脆弱性识别内容t259 7.6.3 数据脆弱性识别方法和工具t260 7.6.4 数据脆弱性识别过程t261 7.6.5 数据脆弱性识别案例t261 7.7 管理脆弱性识别t263 7.7.1 管理安全相关定义t263 7.7.2 管理脆弱性识别内容t265 7.7.3 管理脆弱性识别方法 和工具t271 7.7.4 管理脆弱性识别过程t277 7.7.5 管理脆弱性识别案例t278 7.8 小结t285 习题tt285 第8章 已有安全措施识别t286 8.1 已有安全措施识别内容t286 8.1.1 已有安全措施识别的 相关定义t286 8.1.2 与其他风险评估阶段的关系t288 8.1.3 已有安全措施有效性确认t289 8.2 已有安全措施识别与确认方法和工具t290 8.2.1 已有安全措施识别与确认的方法t290 8.2.2 已有安全措施识别与确认的工具t294 8.3 已有安全措施识别与确认过程t295 8.3.1 已有安全措施识别与确认原则t295 8.3.2 管理和操作控制措施识别与确认过程t296 8.3.3 技术性控制措施识别与确认过程t297 8.4 已有安全措施识别输出t299 8.5 已有安全措施识别案例t299 8.5.1 案例背景描述t299 8.5.2 案例实施过程t300 8.5.3 案例输出t303 8.6 小结t305 习题tt305 第9章 风险分析t306 9.1 风险分析概述t306 9.1.1 风险分析的定义t306 9.1.2 风险分析的地位t306 9.1.3 风险分析原理t306 9.1.4 风险分析流程t308 9.2 风险计算t314 9.2.1 风险计算原理t314 9.2.2 使用矩阵法计算风险t316 9.2.3 使用相乘法计算风险t321 9.3 风险分析案例t323 9.3.1 基本情况描述t323 9.3.2 高层信息安全风险评估t325 9.3.3 详细信息安全风险评估t326 9.3.4 风险计算t327 9.4 小结t328 习题tt328 0章 风险评价及风险评估输出t329 10.1 风险评价概述t329 10.1.1 风险评价定义t329 10.1.2 风险评价方法准则t329 10.1.3 风险评价方法t330 10.2 风险评价判定t332 10.2.1 资产风险评价t332 10.2.2 业务风险评价t333 10.2.3 风险评价结果t333 10.3 风险评价示例t334 10.3.1 从多角度进行风险评价t334 10.3.2 信息系统总体风险评价t335 10.4 风险评估文档输出t336 10.4.1 风险评估文档记录要求t337 10.4.2 风险评估文档的主要内容t337 10.5 被评估对象生命周期各阶段的风险评估t338 10.5.1 被评估对象的生命周期t338 10.5.2 规划阶段的风险评估t338 10.5.3 设计阶段的风险评估t339 10.5.4 实施阶段的风险评估t340 10.5.5 运维阶段的风险评估t340 10.5.6 废弃阶段的风险评估t341 10.6 风险评估报告示例t342 10.7 小结t343 习题tt343 1章 风险处置t344 11.1 风险处置概述t344 11.1.1 风险处置定义t344 11.1.2 风险处置目的和依据t344 11.1.3 风险处置原则t345 11.1.4 风险处置方式t345 11.2 风险处置准备t347 11.2.1 确定风险处置范围和边界t348 11.2.2 明确风险处置角色和责任t348 11.2.3 确定风险处置目标t349 11.2.4 选择风险处置方式t350 11.2.5 制定风险处置计划t350 11.2.6 获得决策层批准t350 11.3 风险处置实施t351 11.3.1 风险处置方案制定t352 11.3.2 风险处置方案实施t359 11.3.3 残余风险处置与评估t361 11.3.4 风险处置相关文档t361 11.4 风险处置效果评价t362 11.4.1 评价原则t363 11.4.2 评价方法t363 11.4.3 评价方案t364 11.4.4 评价实施t364 11.4.5 持续改进t365 11.5 风险处置案例t365 11.5.1 项目背景t365 11.5.2 风险处置准备t366 11.5.3 风险处置实施t368 11.5.4 风险处置效果评价t374 11.6 风险接受t376 11.6.1 风险接受定义t376 11.6.2 风险接受准则t376 11.7 批准留存t377 11.7.1 批准留存定义t377 11.7.2 批准留存原则t377 11.7.3 批准留存过程t378 11.8 小结t381 习题tt381 2章 沟通与咨询、监视与评审t384 12.1 沟通与咨询t384 12.1.1 沟通与咨询定义t384 12.1.2 沟通与咨询目的、意义t384 12.1.3 沟通与咨询方式t385 12.1.4 沟通与咨询过程t386 12.1.5 沟通与咨询文档t389 12.2 监视与评审t390 12.2.1 监视与评审定义t390 12.2.2 监视与评审目的、意义t390 12.2.3 监视与评审的内容t390 12.2.4 监视与评审过程t392 12.2.5 监视与评审文档t394 12.3 小结t395 习题tt395 3章 信息安全风险管理综合实例t396 13.1 案例背景t396 13.1.1 案例背景t396 13.1.2 实施思路t397 13.2 环境建立t397 13.2.1 风险管理准备t397 13.2.2 风险管理对象调查与分析t398 13.2.3 风险管理对象安全分析t399 13.2.4 确定风险管理的基本原则t399 13.2.5 制定风险管理的实施规划t400 13.2.6 输出成果t401 13.3 风险评估准备t401 13.3.1 制定风险评估计划t401 13.3.2 进行系统调研t402 13.3.3 确定风险评估工具t403 13.3.4 制定风险评估方案t403 13.3.5 获得支持t403 13.4 风险识别t404 13.4.1 发展战略、业务识别t404 13.4.2 资产识别t406 13.4.3 威胁识别t406 13.4.4 脆弱性识别t407 13.4.5 已有安全措施识别t410 13.4.6 输出成果t410 13.5 风险分析与评价t410 13.5.1 风险分析t411 13.5.2 风险计算t413 13.5.3 风险评价t416 13.5.4 输出成果t418 13.6 风险处置t418 13.6.1 风险处置准备t418 13.6.2 风险处置实施t419 13.6.3 风险处置效果评价t420 13.6.4 输出成果t420 13.7 沟通与咨询、监视与评审t421 13.7.1 沟通与咨询t421 13.7.2 监视与评审t421 13.7.3 输出成果t422 13.8 风险管理报告t422 13.9 小结t422 习题tt423 附录A 风险评估方法t424 附录B 风险评估工具t427 附录C 信息安全相关法律法规t430 参考文献t432 |
| 作者介绍 | |
| 曹雅斌,毕业于清华大学机械工程系。长期负责质量安全管理和认证认可领域的政策法规、制度体系建设以及测评、认证工作的组织实施。现任职于中国网络安全审查技术与认证中心,负责网络信息安全人员培训与认证工作。尤其,中国网络安全审查技术与认证中心(原中国信息安全认证中心)培训与人员认证部副主任,高级工程师。《信息技术 安全技术 信息安全管理体系 要求》《信息技术 安全技术 信息安全管理体系 控制实践指南》《公共安全 业务连续性管理体系 要求》《公共安全 业务连续性管理系 ?指南》等多项国家标准、行业标准主要起草人之一;出版信息安全管理体系专著1 部。国际标准化组织 /IEC SC27/WG1(信息技术 安全技术 信息安全管理国际标准起草组) 注册专家;中国合格评定国家认可委员会(AS)信息安全专业委员会秘书长。何志明,现任北京红戎信安技术有限公司总经理,负责公司运营和信息安全风险管理培训工作,参与了教材编写、课件讲义制作、授课和教学实践,了解和掌握信息安全风险管理的基础知识和基本技能,有网络与信息安全从业20多年的经历,对网络安全现状及发展趋势有独立见解,对网络安全企业经营有丰富的管理经验。 |
![《Spring源码深度解析第2版Spring5.x开发入门java微服务编程实战》[51M]百度网盘|pdf下载|亲测有效](/downpdf2/uploads/cca8b9ea1ab47b71.jpg)
![《玩转C语言程序设计》[71M]百度网盘|pdf下载|亲测有效](/downpdf2/uploads/2024-01-20/2be7c951f87a3474.jpg)
![《(满68包邮)数据中台架构——企业数据化~佳实践张旭,戴丽,訚赛华等著电子工业97871213863》[45M]百度网盘|pdf下载|亲测有效](/downpdf2/uploads/b983f93df1645ee3.jpg)
![《JavaWeb核心技术》[47M]百度网盘|pdf下载|亲测有效](/downpdf2/uploads/55a858fcNf7d46a14.jpg)