书籍详情

信息系统中的风险管理(第二版)

信息系统中的风险管理(第二版)

作者:[美] Darril Gibson(达瑞尔·吉布森) 著;徐一帆 译

出版社:电子工业出版社

出版时间:2017-12-01

ISBN:9787121331978

定价:¥105.00

购买这本书可以去
内容简介
  该书是信息系统领域的业内专家所著,全面概述了信息系统的管理风险的方法与策略,内容新颖独特,其中配有大量的练习和实践,比其他同类书籍更加实用。
作者简介
  Darril Gibson,CISSP,是YCDA有限责任公司的CEO,他创作或合著了超过35本书。Darril定期撰写、咨询和教授各种技术和安全问题,并持有多项认证。徐一帆,海军工程大学电子工程学院副教授,主要负责信息网络安全方面的研究,目前已发表该专业领域论文数十篇,研究成果颇丰。
目录
第一部分 风险管理业务的挑战
第1 章 风险管理基础 1
1.1 什么是风险 1
1.2 信息技术基础设施风险的主要组成 5
1.3 风险管理及其对组织机构的影响 13
1.4 风险识别技术 18
1.5 风险管理技术 23
本章小结 27
第2 章 风险管理:威胁、漏洞及攻击 29
2.1 对威胁的认识与管理 29
2.2 对漏洞的认识与管理 35
2.3 对漏洞攻击的认识与管理 41
2.4 美国联邦政府的信息系统风险管理实践 48
本章小结 54
第3 章 合规性的依据 55
3.1 美国合规性法规 55
3.2 合规性的管理机构 62
3.3 合规性的组织机构政策 66
3.4 合规性的标准与指南 67
本章小结 81
第4 章 风险管理计划的制定 82
4.1 风险管理计划的目标 82
4.2 风险管理计划的范围 85
4.3 风险管理计划中的职责分配 88
4.4 风险管理计划中系统实现步骤与进度的描述 92
4.5 需求报告 94
4.6 行动和里程碑计划 100
4.7 风险管理计划进展的图形表达 103
本章小结 106
第二部分 风险缓解
第5 章 风险评估方法的概念 107
5.1 对风险评估的认识 107
5.2 风险评估的关键步骤 110
5.3 风险评估的类型 112
5.4 风险评估的挑战 124
5.5 风险评估的最佳做法 130
本章小结 131
第6 章 风险评估的实施 132
6.1 风险评估方法的选择 132
6.2 管理结构的辨识 136
6.3 风险评估范围内资产与活动的辨识 137
6.4 关联威胁的辨识与评估 142
6.5 关联漏洞的辨识与评估 144
6.6 应对措施的辨识与评估 146
6.7 基于评估需求的方法选择 150
6.8 制定风险缓解建议 153
6.9 提交风险评估结果 156
6.10 实施风险评估的最佳做法 156
本章小结 157
第7 章 受保护资源及活动的辨识 158
7.1 系统访问及可用性 158
7.2 系统的人工和自动功能 161
7.3 硬件资产 163
7.4 软件资产 164
7.5 人力资源 166
7.6 数据及信息资源 167
7.7 典型信息技术基础设施七个领域的资产和库存管理 173
7.8 维持运营所需设施及供应的辨识 178
本章小结 184
第8 章 威胁、脆弱性及漏洞的辨识与分析 185
8.1 威胁评估 185
8.2 脆弱性评估 193
8.3 漏洞评估 205
本章小结 212
第9 章 风险缓解安全控制的辨识与分析 213
9.1 现场控制 213
9.2 计划控制 214
9.3 控制类别 214
9.4 程序控制范例 218
9.5 技术控制范例 226
9.6 物理控制范例 234
9.7 风险缓解安全控制的最佳做法 238
本章小结 239
第10 章 组织机构中的风险缓解计划 240
10.1 组织机构中风险缓解的起点 240
10.2 组织机构中风险管理的范围 241
10.3 合法性及合规性问题对组织机构影响的认识和评估 252
10.4 合法性及合规性意义的诠释 261
10.5 典型信息技术基础构架七个领域合法性及合规性意义
的影响评估 261
10.6 安防措施对风险缓解助益的评估 263
10.7 对合法性及合规性需求操作意义的认识 263
10.8 组织机构中风险缓解及风险降低的要素辨识 264
10.9 费用效益分析的实施 265
10.10 组织机构中风险缓解计划的最佳做法 267
本章小结 267
第11 章 风险评估向风险缓解计划的转化 268
11.1 对信息技术基础设施风险评估的审查 268
11.2 风险评估转化为风险缓解计划的实施过程 274
11.3 应需缓解的风险要素排序 283
11.4 风险要素及其缓解方法的确认 286
11.5 已辨识风险要素的费用效益分析 287
11.6 风险缓解计划的实施 289
11.7 风险缓解计划的跟进 293
11.8 风险评估向风险缓解计划转化的最佳做法 295
本章小结 296
第三部分 风险缓解计划
第12 章 基于业务影响分析的风险缓解 297
12.1 什么是业务影响分析 297
12.2 业务影响分析的范围 300
12.3 业务影响分析的目标 302
12.4 业务影响分析的步骤 312
12.5 确定任务关键型业务功能和流程 318
12.6 从业务功能及流程到信息技术系统的映射 319
12.7 业务影响分析的最佳做法 320
本章小结 321
第13 章 基于业务持续性计划的风险缓解 322
13.1 什么是业务持续性计划 322
13.2 业务持续性计划的要素 324
13.3 业务持续性计划如何缓解组织机构的风险 348
13.4 灾难恢复计划的最佳做法 349
本章小结 349
第14 章 基于灾难恢复计划的风险缓解 351
14.1 什么是灾难恢复计划 351
14.2 关键成功因素 354
14.3 灾难恢复计划的要素 365
14.4 灾难恢复计划如何缓解组织机构的风险 377
14.5 灾难恢复计划的最佳做法 378
本章小结 379
第15 章 基于计算机事件响应小组计划的风险缓解 381
15.1 什么是计算机事件响应小组计划 381
15.2 计算机事件响应小组计划的目的 383
15.3 计算机事件响应小组计划的要素 385
15.4 计算机事件响应小组计划如何缓解组织机构的风险 407
15.5 实施计算机事件响应小组计划的最佳做法 407
本章小结 408
附录A 缩写词 409
附录B 关键术语 418
参考文献 437
猜您喜欢

读书导航