該書是信息系統(tǒng)領(lǐng)域的業(yè)內(nèi)專家所著��,全面概述了信息系統(tǒng)的管理風險的方法與策略��,內(nèi)容新穎獨特�,其中配有大量的練習和實踐��,比其他同類書籍更加實用�。
原書序言
本書的目的
本書是 Jones & Bartlett Learning 出版社信息系統(tǒng)安全與保障叢書中的一部。該叢書為信息技術(shù)安全��、網(wǎng)絡安全��、信息保障�、信息系統(tǒng)安全相關(guān)課程而設,是對這些關(guān)鍵領(lǐng)域的最新思考和趨勢��,并對這些領(lǐng)域秉承持續(xù)而廣泛的關(guān)注��。叢書標題體現(xiàn)了與現(xiàn)實應用及案例密切相關(guān)的信息安全基本準則�。該叢書由多位注冊信息系統(tǒng)安全專家(CISSP)擔任作者,介紹了信息安全的全方位信息��,并由信息安全領(lǐng)域領(lǐng)先的技術(shù)專家逐一審稿��。本叢書不僅立足當前,而且具有前瞻性思考��,引導讀者應對當今及未來的網(wǎng)絡安全挑戰(zhàn)�。
本書為信息系統(tǒng)中的風險管理提供了一個廣泛而綜合的視角,既涵蓋了風險和風險管理的基本原理�,又包括了更為廣泛的風險管理問題細節(jié)。
本書主要包括以下三個部分�。
第一部分是風險管理業(yè)務的挑戰(zhàn),主要介紹當今管理業(yè)務的相關(guān)問題�,涵蓋風險、威脅及漏洞的細節(jié)�,有助于讀者理解組織機構(gòu)中風險管理的重要性,并包含了許多管理風險的相關(guān)技術(shù)��。這部分內(nèi)容還詳細介紹了當前在組織機構(gòu)中彼此密切相關(guān)的諸多法規(guī)�,并用一章的篇幅論述了風險管理計劃的相關(guān)內(nèi)容。
第二部分是風險緩解�,重點是介紹關(guān)于風險評估的內(nèi)容,主要介紹了各種不同的風險評估方法及其實施步驟��,涵蓋了資產(chǎn)識別��、潛在威脅與漏洞識別的重要性�。這部分內(nèi)容用一章的篇幅介紹了用于風險緩解的各類控制措施,并在其他章節(jié)中介紹了如何制定組織機構(gòu)的風險緩解計劃��,以及如何將風險評估轉(zhuǎn)化為風險緩解計劃。
第三部分是風險緩解計劃�,涵蓋風險緩解計劃的諸多要素,包括業(yè)務影響分析及業(yè)務持續(xù)性計劃��。這部分內(nèi)容的最后兩章具體介紹了災難恢復及計算機事件響應小組計劃的相關(guān)內(nèi)容�。
本書的閱讀方法
本書表達風格實用通俗�,通過文字描述將信息安全概念和程序的相關(guān)案例清晰地呈現(xiàn)給讀者。文中圖表既能清晰簡潔地表達內(nèi)容�,又豐富了內(nèi)容的展現(xiàn)形式。每章小結(jié)為讀者提供了內(nèi)容要點�,有助于讀者了解相關(guān)概念的重要性。
適用本書的讀者范圍
本書適用于計算機科學�、信息科學專業(yè)本科生和研究生,兩年制技術(shù)學院或社區(qū)大學擁有相關(guān)技術(shù)基礎(chǔ)背景知識的學生��,以及了解信息技術(shù)安全基礎(chǔ)并希望擴展相關(guān)知識的讀者�。
Darril Gibson,CISSP��,是YCDA有限責任公司的CEO��,他創(chuàng)作或合著了超過35本書��。Darril定期撰寫��、咨詢和教授各種技術(shù)和安全問題,并持有多項認證��。
徐一帆��,海軍工程大學電子工程學院副教授�,主要負責信息網(wǎng)絡安全方面的研究,目前已發(fā)表該專業(yè)領(lǐng)域論文數(shù)十篇��,研究成果頗豐�。
第一部分 風險管理業(yè)務的挑戰(zhàn)
第1 章 風險管理基礎(chǔ)................................................................................... 1
1.1 什么是風險........................................................................................1
1.2 信息技術(shù)基礎(chǔ)設施風險的主要組成................................................5
1.3 風險管理及其對組織機構(gòu)的影響..................................................13
1.4 風險識別技術(shù)..................................................................................18
1.5 風險管理技術(shù)..................................................................................23
本章小結(jié)...................................................................................................27
第2 章 風險管理:威脅、漏洞及攻擊...................................................... 29
2.1 對威脅的認識與管理......................................................................29
2.2 對漏洞的認識與管理......................................................................35
2.3 對漏洞攻擊的認識與管理..............................................................41
2.4 美國聯(lián)邦政府的信息系統(tǒng)風險管理實踐......................................48
本章小結(jié)...................................................................................................54
第3 章 合規(guī)性的依據(jù)................................................................................. 55
3.1 美國合規(guī)性法規(guī)..............................................................................55
3.2 合規(guī)性的管理機構(gòu)..........................................................................62
3.3 合規(guī)性的組織機構(gòu)政策..................................................................66
3.4 合規(guī)性的標準與指南......................................................................67
本章小結(jié)...................................................................................................81
第4 章 風險管理計劃的制定......................................................................82
4.1 風險管理計劃的目標......................................................................82
4.2 風險管理計劃的范圍......................................................................85
4.3 風險管理計劃中的職責分配..........................................................88
4.4 風險管理計劃中系統(tǒng)實現(xiàn)步驟與進度的描述..............................92
4.5 需求報告..........................................................................................94
4.6 行動和里程碑計劃........................................................................100
4.7 風險管理計劃進展的圖形表達....................................................103
本章小結(jié).................................................................................................106
第二部分 風險緩解
第5 章 風險評估方法的概念....................................................................107
5.1 對風險評估的認識........................................................................107
5.2 風險評估的關(guān)鍵步驟....................................................................110
5.3 風險評估的類型............................................................................112
5.4 風險評估的挑戰(zhàn)............................................................................124
5.5 風險評估的最佳做法....................................................................130
本章小結(jié).................................................................................................131
第6 章 風險評估的實施............................................................................132
6.1 風險評估方法的選擇....................................................................132
6.2 管理結(jié)構(gòu)的辨識............................................................................136
6.3 風險評估范圍內(nèi)資產(chǎn)與活動的辨識............................................137
6.4 關(guān)聯(lián)威脅的辨識與評估................................................................142
6.5 關(guān)聯(lián)漏洞的辨識與評估................................................................144
6.6 應對措施的辨識與評估................................................................146
6.7 基于評估需求的方法選擇............................................................150
6.8 制定風險緩解建議........................................................................153
6.9 提交風險評估結(jié)果........................................................................156
6.10 實施風險評估的最佳做法..........................................................156
本章小結(jié).................................................................................................157
第7 章 受保護資源及活動的辨識.............................................................158
7.1 系統(tǒng)訪問及可用性........................................................................158
7.2 系統(tǒng)的人工和自動功能................................................................161
7.3 硬件資產(chǎn)........................................................................................163
7.4 軟件資產(chǎn)........................................................................................164
7.5 人力資源........................................................................................166
7.6 數(shù)據(jù)及信息資源............................................................................167
7.7 典型信息技術(shù)基礎(chǔ)設施七個領(lǐng)域的資產(chǎn)和庫存管理....................173
7.8 維持運營所需設施及供應的辨識................................................178
本章小結(jié).................................................................................................184
第8 章 威脅��、脆弱性及漏洞的辨識與分析.............................................185
8.1 威脅評估........................................................................................185
8.2 脆弱性評估....................................................................................193
8.3 漏洞評估........................................................................................205
本章小結(jié).................................................................................................212
第9 章 風險緩解安全控制的辨識與分析.................................................213
9.1 現(xiàn)場控制........................................................................................213
9.2 計劃控制........................................................................................214
9.3 控制類別........................................................................................214
9.4 程序控制范例................................................................................218
9.5 技術(shù)控制范例................................................................................226
9.6 物理控制范例................................................................................234
9.7 風險緩解安全控制的最佳做法....................................................238
本章小結(jié).................................................................................................239
第10 章 組織機構(gòu)中的風險緩解計劃.......................................................240
10.1 組織機構(gòu)中風險緩解的起點......................................................240
10.2 組織機構(gòu)中風險管理的范圍......................................................241
10.3 合法性及合規(guī)性問題對組織機構(gòu)影響的認識和評估....................252
10.4 合法性及合規(guī)性意義的詮釋......................................................261
10.5 典型信息技術(shù)基礎(chǔ)構(gòu)架七個領(lǐng)域合法性及合規(guī)性意義
的影響評估..................................................................................261
10.6 安防措施對風險緩解助益的評估..............................................263
10.7 對合法性及合規(guī)性需求操作意義的認識..................................263
10.8 組織機構(gòu)中風險緩解及風險降低的要素辨識..........................264
10.9 費用效益分析的實施.....
