信息安全風(fēng)險(xiǎn)評估規(guī)范國家標(biāo)準(zhǔn)理解與實(shí)施

內(nèi)容概要

本書為GB／T 20984—2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》的宣貫教材，對廣大讀者理解與實(shí)施該標(biāo)準(zhǔn)具有重要的參考價(jià)值。　　本書介紹了國內(nèi)外信息安全風(fēng)險(xiǎn)評估發(fā)展的現(xiàn)狀，給出了GB／T 20984 —2007的主要內(nèi)容、基礎(chǔ)理論、實(shí)施流程和組織管理等內(nèi)容，并對風(fēng)險(xiǎn)評估的基本方法、基礎(chǔ)工具、管理控制以及在等級保護(hù)制度建設(shè)中的作用等方面進(jìn)行了闡述，最后給出了依據(jù)國標(biāo)實(shí)施風(fēng)險(xiǎn)評估的4個(gè)實(shí)踐案例。本書旨在使信息安全風(fēng)險(xiǎn)評估作為科學(xué)的方法真正能夠?yàn)榇蟊娝邮?、理解和運(yùn)用，可適應(yīng)不同層次和不同專業(yè)讀者的需求。

書籍目錄

第1章　信息安全風(fēng)險(xiǎn)評估發(fā)展概況　1.1　信息安全風(fēng)險(xiǎn)評估基本概念　1.2　信息安全風(fēng)險(xiǎn)評估重要意義　1.3　國外信息安全風(fēng)險(xiǎn)評估發(fā)展?fàn)顩r　1.4　我國信息安全風(fēng)險(xiǎn)評估發(fā)展現(xiàn)狀第2章 GB／T 20984—2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》編制情況和主要內(nèi)容　2.1　任務(wù)來源和編制原則　2.2　編制過程　2.3　標(biāo)準(zhǔn)主要內(nèi)容概述　2.4　與相關(guān)標(biāo)準(zhǔn)的對比和分析　2.5　主要意見的處理經(jīng)過和依據(jù)　2.6　貫徹標(biāo)準(zhǔn)的要求和措施建議　2.7　預(yù)期經(jīng)濟(jì)和社會(huì)效益第3章 GB／T 20984—2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》基礎(chǔ)理論　3.1　信息安全風(fēng)險(xiǎn)評估原則和依據(jù)　3.2　信息安全風(fēng)險(xiǎn)評估術(shù)語　3.3　信息安全風(fēng)險(xiǎn)評估基礎(chǔ)模型　3.4　風(fēng)險(xiǎn)評估方法綜述第4章　GB／T 20984—2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》實(shí)施流程　4.1　風(fēng)險(xiǎn)評估準(zhǔn)備　4.2　資產(chǎn)識(shí)別　4.3　威脅識(shí)別　4.4　脆弱性識(shí)別　4.5　已有安全措施確認(rèn)　4.6　風(fēng)險(xiǎn)分析　4.7　風(fēng)險(xiǎn)評估文檔記錄　4.8　信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評估第5章　GB／T 20984—2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》風(fēng)險(xiǎn)評估組織管理　5.1　信息安全風(fēng)險(xiǎn)評估工作形式　5.2　風(fēng)險(xiǎn)評估中的角色及職責(zé)　5.3　風(fēng)險(xiǎn)評估角色的適用情況　5.4　風(fēng)險(xiǎn)評估的綜合考核指標(biāo)　5.5　對信息系統(tǒng)生命周期的支持　5.6　方案論證、實(shí)施與審批第6章 信息安全風(fēng)險(xiǎn)評估基本方法　6.1　典型的風(fēng)險(xiǎn)評估方法與理論　6.2　各種風(fēng)險(xiǎn)評估方法比較　6.3　風(fēng)險(xiǎn)的計(jì)算方法第7章　信息安全風(fēng)險(xiǎn)評估基礎(chǔ)工具　7.1　風(fēng)險(xiǎn)評估工具　7.2　風(fēng)險(xiǎn)計(jì)算工具　7.3　風(fēng)險(xiǎn)評估數(shù)據(jù)收集工具第8章　信息安全風(fēng)險(xiǎn)管理框架與流程　8.1　風(fēng)險(xiǎn)管理概述　8.2　對象確立　8.3　風(fēng)險(xiǎn)評估　8.4　風(fēng)險(xiǎn)控制　8.5　審核批準(zhǔn)　8.6　監(jiān)控與審查　8.7　溝通與咨詢第9章　等級保護(hù)與風(fēng)險(xiǎn)評估　9.1　信息安全等級保護(hù)發(fā)展歷程　9.2　等級保護(hù)實(shí)質(zhì)內(nèi)容　9.3　信息安全等級保護(hù)標(biāo)準(zhǔn)體系　9.4　信息安全等級保護(hù)與風(fēng)險(xiǎn)評估的關(guān)系第10章　信息系統(tǒng)全面評估應(yīng)用案例　10.1　評估依據(jù)及原則　10.2　需求配合及驗(yàn)收方案　10.3　評估實(shí)施流程　10.4　項(xiàng)目進(jìn)度計(jì)劃第11章　銀行國際業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)評估案例　11.1　風(fēng)險(xiǎn)評估概述　11.2　××銀行國際業(yè)務(wù)系統(tǒng)概況　11.3　資產(chǎn)識(shí)別　11.4　威脅識(shí)別　11.5　脆弱性識(shí)別　11.6　風(fēng)險(xiǎn)分析第12章 電信運(yùn)營企業(yè)風(fēng)險(xiǎn)評估案例　12.1　項(xiàng)目概述　12.2　風(fēng)險(xiǎn)評估準(zhǔn)備階段　12.3　信息收集階段　12.4　風(fēng)險(xiǎn)要素識(shí)別與分析　12.5　風(fēng)險(xiǎn)分析階段　12.6　安全加固及優(yōu)化第13章 電子政務(wù)網(wǎng)絡(luò)風(fēng)險(xiǎn)評估案例　13.1 項(xiàng)目概述　13.2　政務(wù)網(wǎng)絡(luò)風(fēng)險(xiǎn)評估準(zhǔn)備階段　13.3　政務(wù)網(wǎng)絡(luò)關(guān)鍵業(yè)務(wù)和信息資產(chǎn)識(shí)別與分析　13.4　政務(wù)網(wǎng)絡(luò)信息系統(tǒng)威脅與脆弱性識(shí)別和分析　13.5　政務(wù)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的評估與確定第14章 骨干傳送網(wǎng)風(fēng)險(xiǎn)評估案例　14.1　評估范圍和分類　14.2 網(wǎng)絡(luò)和業(yè)務(wù)資產(chǎn)分析　14.3　威脅分析　14.4　脆弱性分析　14.5　風(fēng)險(xiǎn)分析

章節(jié)摘錄

第1章 信息安全風(fēng)險(xiǎn)評估發(fā)展概況1.1 信息安全風(fēng)險(xiǎn)評估基本概念信息安全風(fēng)險(xiǎn)是人為或自然的威脅利用系統(tǒng)存在的脆弱性引發(fā)的安全事件，并由于受損信息資產(chǎn)的重要性而對機(jī)構(gòu)造成的影響。信息安全風(fēng)險(xiǎn)評估，則是指依據(jù)國家風(fēng)險(xiǎn)評估有關(guān)管理要求和技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其存儲(chǔ)、處理和傳輸?shù)男畔⒌臋C(jī)密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評價(jià)的過程。通過對信息及信息系統(tǒng)的重要性、面臨的威脅、其自身的脆弱性以及已采取安全措施有效性的分析，判斷脆弱性被威脅源利用后可能發(fā)生的安全事件以及其所造成的負(fù)面影響程度來識(shí)別信息安全的安全風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)評估是建立信息安全保障機(jī)制中的一種科學(xué)方法。對信息系統(tǒng)而言，存在風(fēng)險(xiǎn)并不意味著不安全，只要風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)，就可以達(dá)到系統(tǒng)穩(wěn)定運(yùn)行的目的。風(fēng)險(xiǎn)評估的結(jié)果為保障信息系統(tǒng)的安全建設(shè)、穩(wěn)定運(yùn)行提供了技術(shù)參考。在規(guī)劃與設(shè)計(jì)階段，風(fēng)險(xiǎn)評估的結(jié)果是安全需求的來源，為信息系統(tǒng)的安全建設(shè)提供依據(jù)；在系統(tǒng)運(yùn)行維護(hù)階段，由于信息系統(tǒng)的動(dòng)態(tài)性，需要定期地進(jìn)行風(fēng)險(xiǎn)評估，以了解、掌握系統(tǒng)安全狀態(tài)，風(fēng)險(xiǎn)評估是保證系統(tǒng)安全的動(dòng)態(tài)措施。同時(shí)，風(fēng)險(xiǎn)評估是信息系統(tǒng)安全等級確定及建設(shè)過程中一種不可或缺的技術(shù)手段。信息安全風(fēng)險(xiǎn)評估是信息安全保障體系建立過程中的重要的評價(jià)方法和決策機(jī)制。沒有準(zhǔn)確及時(shí)的風(fēng)險(xiǎn)評估，將使得各個(gè)機(jī)構(gòu)無法對其信息安全的狀況做出準(zhǔn)確的判斷。因?yàn)槿魏涡畔⑾到y(tǒng)都會(huì)有安全風(fēng)險(xiǎn)，信息安全建設(shè)的宗旨之一，就是在綜合考慮成本與效益的前提下，通過安全措施來控制風(fēng)險(xiǎn)，使殘余風(fēng)險(xiǎn)降低到可接受的范圍內(nèi)。1.2 信息安全風(fēng)險(xiǎn)評估重要意義通過風(fēng)險(xiǎn)評估，能及早發(fā)現(xiàn)和解決問題，防患于未然。當(dāng)前，尤其迫切需要對我國信息化發(fā)展過程中形成的基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)進(jìn)行持續(xù)的風(fēng)險(xiǎn)評估，隨時(shí)掌握我國重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)的安全狀態(tài)，及時(shí)采取有針對性的應(yīng)對措施，為建立全方位的國家信息安全保障體系提供服務(wù)。

編輯推薦

《信息安全風(fēng)險(xiǎn)評估規(guī)范國家標(biāo)準(zhǔn)理解與實(shí)施》旨在使信息安全風(fēng)險(xiǎn)評估作為科學(xué)的方法真正能夠?yàn)榇蟊娝邮?、理解和運(yùn)用，可適應(yīng)不同層次和不同專業(yè)讀者的需求。

圖書封面

評論、評分、閱讀與下載

---

    信息安全風(fēng)險(xiǎn)評估規(guī)范國家標(biāo)準(zhǔn)理解與實(shí)施 PDF格式下載

---