該書是信息系統領域的業內專家所著,全面概述了信息系統的管理風險的方法與策略�,內容新穎獨特����,其中配有大量的練習和實踐�����,比其他同類書籍更加實用。
原書序言
本書的目的
本書是 Jones & Bartlett Learning 出版社信息系統安全與保障叢書中的一部���。該叢書為信息技術安全、網絡安全��、信息保障����、信息系統安全相關課程而設,是對這些關鍵領域的最新思考和趨勢�,并對這些領域秉承持續而廣泛的關注����。叢書標題體現了與現實應用及案例密切相關的信息安全基本準則����。該叢書由多位注冊信息系統安全專家(CISSP)擔任作者,介紹了信息安全的全方位信息,并由信息安全領域領先的技術專家逐一審稿���。本叢書不僅立足當前,而且具有前瞻性思考,引導讀者應對當今及未來的網絡安全挑戰。
本書為信息系統中的風險管理提供了一個廣泛而綜合的視角����,既涵蓋了風險和風險管理的基本原理�,又包括了更為廣泛的風險管理問題細節�。
本書主要包括以下三個部分。
第一部分是風險管理業務的挑戰��,主要介紹當今管理業務的相關問題��,涵蓋風險�����、威脅及漏洞的細節,有助于讀者理解組織機構中風險管理的重要性����,并包含了許多管理風險的相關技術。這部分內容還詳細介紹了當前在組織機構中彼此密切相關的諸多法規,并用一章的篇幅論述了風險管理計劃的相關內容�����。
第二部分是風險緩解����,重點是介紹關于風險評估的內容,主要介紹了各種不同的風險評估方法及其實施步驟�,涵蓋了資產識別��、潛在威脅與漏洞識別的重要性�����。這部分內容用一章的篇幅介紹了用于風險緩解的各類控制措施,并在其他章節中介紹了如何制定組織機構的風險緩解計劃,以及如何將風險評估轉化為風險緩解計劃���。
第三部分是風險緩解計劃,涵蓋風險緩解計劃的諸多要素,包括業務影響分析及業務持續性計劃。這部分內容的最后兩章具體介紹了災難恢復及計算機事件響應小組計劃的相關內容��。
本書的閱讀方法
本書表達風格實用通俗��,通過文字描述將信息安全概念和程序的相關案例清晰地呈現給讀者���。文中圖表既能清晰簡潔地表達內容�����,又豐富了內容的展現形式。每章小結為讀者提供了內容要點��,有助于讀者了解相關概念的重要性�����。
適用本書的讀者范圍
本書適用于計算機科學、信息科學專業本科生和研究生����,兩年制技術學院或社區大學擁有相關技術基礎背景知識的學生�,以及了解信息技術安全基礎并希望擴展相關知識的讀者����。
Darril Gibson,CISSP���,是YCDA有限責任公司的CEO,他創作或合著了超過35本書��。Darril定期撰寫���、咨詢和教授各種技術和安全問題����,并持有多項認證。
徐一帆,海軍工程大學電子工程學院副教授,主要負責信息網絡安全方面的研究���,目前已發表該專業領域論文數十篇,研究成果頗豐。
第一部分 風險管理業務的挑戰
第1 章 風險管理基礎................................................................................... 1
1.1 什么是風險........................................................................................1
1.2 信息技術基礎設施風險的主要組成................................................5
1.3 風險管理及其對組織機構的影響..................................................13
1.4 風險識別技術..................................................................................18
1.5 風險管理技術..................................................................................23
本章小結...................................................................................................27
第2 章 風險管理:威脅、漏洞及攻擊...................................................... 29
2.1 對威脅的認識與管理......................................................................29
2.2 對漏洞的認識與管理......................................................................35
2.3 對漏洞攻擊的認識與管理..............................................................41
2.4 美國聯邦政府的信息系統風險管理實踐......................................48
本章小結...................................................................................................54
第3 章 合規性的依據................................................................................. 55
3.1 美國合規性法規..............................................................................55
3.2 合規性的管理機構..........................................................................62
3.3 合規性的組織機構政策..................................................................66
3.4 合規性的標準與指南......................................................................67
本章小結...................................................................................................81
第4 章 風險管理計劃的制定......................................................................82
4.1 風險管理計劃的目標......................................................................82
4.2 風險管理計劃的范圍......................................................................85
4.3 風險管理計劃中的職責分配..........................................................88
4.4 風險管理計劃中系統實現步驟與進度的描述..............................92
4.5 需求報告..........................................................................................94
4.6 行動和里程碑計劃........................................................................100
4.7 風險管理計劃進展的圖形表達....................................................103
本章小結.................................................................................................106
第二部分 風險緩解
第5 章 風險評估方法的概念....................................................................107
5.1 對風險評估的認識........................................................................107
5.2 風險評估的關鍵步驟....................................................................110
5.3 風險評估的類型............................................................................112
5.4 風險評估的挑戰............................................................................124
5.5 風險評估的最佳做法....................................................................130
本章小結.................................................................................................131
第6 章 風險評估的實施............................................................................132
6.1 風險評估方法的選擇....................................................................132
6.2 管理結構的辨識............................................................................136
6.3 風險評估范圍內資產與活動的辨識............................................137
6.4 關聯威脅的辨識與評估................................................................142
6.5 關聯漏洞的辨識與評估................................................................144
6.6 應對措施的辨識與評估................................................................146
6.7 基于評估需求的方法選擇............................................................150
6.8 制定風險緩解建議........................................................................153
6.9 提交風險評估結果........................................................................156
6.10 實施風險評估的最佳做法..........................................................156
本章小結.................................................................................................157
第7 章 受保護資源及活動的辨識.............................................................158
7.1 系統訪問及可用性........................................................................158
7.2 系統的人工和自動功能................................................................161
7.3 硬件資產........................................................................................163
7.4 軟件資產........................................................................................164
7.5 人力資源........................................................................................166
7.6 數據及信息資源............................................................................167
7.7 典型信息技術基礎設施七個領域的資產和庫存管理....................173
7.8 維持運營所需設施及供應的辨識................................................178
本章小結.................................................................................................184
第8 章 威脅���、脆弱性及漏洞的辨識與分析.............................................185
8.1 威脅評估........................................................................................185
8.2 脆弱性評估....................................................................................193
8.3 漏洞評估........................................................................................205
本章小結.................................................................................................212
第9 章 風險緩解安全控制的辨識與分析.................................................213
9.1 現場控制........................................................................................213
9.2 計劃控制........................................................................................214
9.3 控制類別........................................................................................214
9.4 程序控制范例................................................................................218
9.5 技術控制范例................................................................................226
9.6 物理控制范例................................................................................234
9.7 風險緩解安全控制的最佳做法....................................................238
本章小結.................................................................................................239
第10 章 組織機構中的風險緩解計劃.......................................................240
10.1 組織機構中風險緩解的起點......................................................240
10.2 組織機構中風險管理的范圍......................................................241
10.3 合法性及合規性問題對組織機構影響的認識和評估....................252
10.4 合法性及合規性意義的詮釋......................................................261
10.5 典型信息技術基礎構架七個領域合法性及合規性意義
的影響評估..................................................................................261
10.6 安防措施對風險緩解助益的評估..............................................263
10.7 對合法性及合規性需求操作意義的認識..................................263
10.8 組織機構中風險緩解及風險降低的要素辨識..........................264
10.9 費用效益分析的實施.....
新書資訊