《信息系統中的風險管理(第二版)》是2017年電子工業出版社出版的圖書,作者是[美] Darril Gibson(達瑞爾·吉布森)。
基本介紹
- 書名:信息系統中的風險管理(第二版)
- 作者:[美] Darril Gibson(達瑞爾·吉布森)
- 出版社:電子工業出版社
- 出版時間:2017年12月01日
- 頁數:464 頁
- 開本:16 開
- ISBN:9787121331978
內容簡介,目錄,
內容簡介
該書是信息系統領域的業內專家所著,全面概述了信息系統的管理風險的方法與策略,內容新穎獨戒判籃特,其中配有大量的練習和實踐,比其他同類書籍更加實用。
目錄
第一部分 風險管理業務的挑戰
第1 章 風險管理基礎 1
1.1 什麼是風險 1
1.2 信息技術基礎設施風險的主要組成 5
1.3 風險管理及其對組織機構的影響 13
1.全催4 風險識別技術 18
1.5 風險管理技術 23
本章小結 27
第2 章 風險管理:威脅、漏洞及攻擊 29
2.1 對威脅的認識與管理 29
2.2 對漏洞的認識與管理 35
2.3 對漏洞攻擊的認識與管理 41
2.4 美國聯邦政府的信息系統風險管理實踐 48
本章小結 54
第3 章 合規性的依據 55
3.1 美國合規性法規 55
3.2 合規性的管理機構 62
3.3 合規性的組織機構政策 66
3.4 合規性的標準與指南 67
本章小結 81
第4 章 風險管理計畫的制定 82
4.1 風險管理計畫的目標 82
4.2 風險管理計畫的範圍 85
4.3 風險管理計畫中的職責分配 88
4.4 風險管理計畫中系統實現步驟與進度的描述 92
4.5 需求報告 94
4.6 行動和里程碑計畫 100
4.7 風險管理計畫進展的圖形表達 103
本章小結 106
第二部分 風險緩解
第5 章 風險評估方法的概念 107
5.1 對風險評估的認識 107
5.2 風險評估的關鍵步驟 110
5.3 風險評估的類型 112
5.4 風險評估的挑戰 124
5.5 風險評估的最佳做法 130
本章小結 131
第6 章 風險評估的實施 132
6.1 風險評估方法的選擇 132
6.2 管理結構的辨識再檔企估 136
6.3 風險評估範圍內資產與活動的辨識 137
6.4 關聯威脅的辨識與評估 142
6.5 關聯漏洞的辨識與評估 144
6.6 應對措施的辨識與評估 146
6.7 基於評估需求的方法選擇 150
6.8 制定風險緩解建議 153
6.9 提交風險評估結果 156
6.10 實施風險評估的最佳做法 156
本章小結 157
第7 章 受保護資源及活動的辨識 158
7.1 系統訪問及可用性 158
7.2 系統的人工和自動功能 161
7.3 硬體資產 163
7.4 軟體資產 164
7.5 人力資源 166
7.6 數據及信息資源 167
7.7 典型信息技術基礎設施七個領域的資產和庫存管理 173
7.8 維持運營所需設施及供應的辨識 178
本章小結 184
第8 章 威脅、脆弱性及漏洞的辨識與分析 185
8.1 威脅評估 185
8.2 脆弱性評估 193
8.3 漏洞評估 205
本章小結 212
第9 章 風險緩解安全控制的辨識與分析 213
9.1 現場控制 213
9.2 計畫控制 214
9.3 控制類別 214
9.4 程式控制範例 218
9.5 技術控制範例 226
9.6 物理控制範例 234
9.7 風險緩解安全控制的最佳做法 238
本章小結 239
第10 章 組織機構中的風險緩解計畫 240
10.1 組織機構中風險緩解的起點 240
10.2 組織機構中風險管理的範圍 241
10.3 合法性及合規性問題對組織機構影響的認識和評估 252
10.4 合法性及合規性意義的詮釋 261
10.5 典型信息技術基礎構架七個領域合法性及合規性意義
的影響評估駝嚷煮拒 261
10.6 安防措施對風險緩解助益的評估 263
10.7 對合法性及合規性需求操作意義的認識 263
10.8 組織機構中風險緩解及風險降低的要素辨識 264
10.9 費用效益分析的實施 265
10.10 組織機構中風險緩解計畫的最佳做法 267
本章小結 267
第11 章 風險評估向風險緩解計畫的轉化 268
11.1 對信息技術基礎設施風險評估的審查 268
11.2 風險評估轉化為風險緩解計畫的實施過程 274
11.3 應需緩解的風險要素排序 283
11.4 風險要素及其緩解方法的確認 286
11.朽坑趨5 已辨識風險要素屑甩求的費用效益分析 287
11.匪滲匙6 風險緩解計畫的實施 289
11.7 風險緩解計畫的跟進 293
11.8 風險評估向風險緩解計畫轉化的最佳做法 295
本章小結 296
第三部分 風險緩解計畫
第12 章 基於業務影響分析的風險緩解 297
12.1 什麼是業務影響分析 297
12.2 業務影響分析的範圍 300
12.3 業務影響分析的目標 302
12.4 業務影響分析的步驟 312
12.5 確定任務關鍵型業務功能和流程 318
12.6 從業務功能及流程到信息技術系統的映射 319
12.7 業務影響分析的最佳做法 320
本章小結 321
第13 章 基於業務持續性計畫的風險緩解 322
13.1 什麼是業務持續性計畫 322
13.2 業務持續性計畫的要素 324
13.3 業務持續性計畫如何緩解組織機構的風險 348
13.4 災難恢復計畫的最佳做法 349
本章小結 349
第14 章 基於災難恢復計畫的風險緩解 351
14.1 什麼是災難恢復計畫 351
14.2 關鍵成功因素 354
14.3 災難恢復計畫的要素 365
14.4 災難恢復計畫如何緩解組織機構的風險 377
14.5 災難恢復計畫的最佳做法 378
本章小結 379
第15 章 基於計算機事件回響小組計畫的風險緩解 381
15.1 什麼是計算機事件回響小組計畫 381
15.2 計算機事件回響小組計畫的目的 383
15.3 計算機事件回響小組計畫的要素 385
15.4 計算機事件回響小組計畫如何緩解組織機構的風險 407
15.5 實施計算機事件回響小組計畫的最佳做法 407
本章小結 408
附錄A 縮寫詞 409
附錄B 關鍵術語 418
參考文獻 437
本章小結 184
第8 章 威脅、脆弱性及漏洞的辨識與分析 185
8.1 威脅評估 185
8.2 脆弱性評估 193
8.3 漏洞評估 205
本章小結 212
第9 章 風險緩解安全控制的辨識與分析 213
9.1 現場控制 213
9.2 計畫控制 214
9.3 控制類別 214
9.4 程式控制範例 218
9.5 技術控制範例 226
9.6 物理控制範例 234
9.7 風險緩解安全控制的最佳做法 238
本章小結 239
第10 章 組織機構中的風險緩解計畫 240
10.1 組織機構中風險緩解的起點 240
10.2 組織機構中風險管理的範圍 241
10.3 合法性及合規性問題對組織機構影響的認識和評估 252
10.4 合法性及合規性意義的詮釋 261
10.5 典型信息技術基礎構架七個領域合法性及合規性意義
的影響評估 261
10.6 安防措施對風險緩解助益的評估 263
10.7 對合法性及合規性需求操作意義的認識 263
10.8 組織機構中風險緩解及風險降低的要素辨識 264
10.9 費用效益分析的實施 265
10.10 組織機構中風險緩解計畫的最佳做法 267
本章小結 267
第11 章 風險評估向風險緩解計畫的轉化 268
11.1 對信息技術基礎設施風險評估的審查 268
11.2 風險評估轉化為風險緩解計畫的實施過程 274
11.3 應需緩解的風險要素排序 283
11.4 風險要素及其緩解方法的確認 286
11.5 已辨識風險要素的費用效益分析 287
11.6 風險緩解計畫的實施 289
11.7 風險緩解計畫的跟進 293
11.8 風險評估向風險緩解計畫轉化的最佳做法 295
本章小結 296
第三部分 風險緩解計畫
第12 章 基於業務影響分析的風險緩解 297
12.1 什麼是業務影響分析 297
12.2 業務影響分析的範圍 300
12.3 業務影響分析的目標 302
12.4 業務影響分析的步驟 312
12.5 確定任務關鍵型業務功能和流程 318
12.6 從業務功能及流程到信息技術系統的映射 319
12.7 業務影響分析的最佳做法 320
本章小結 321
第13 章 基於業務持續性計畫的風險緩解 322
13.1 什麼是業務持續性計畫 322
13.2 業務持續性計畫的要素 324
13.3 業務持續性計畫如何緩解組織機構的風險 348
13.4 災難恢復計畫的最佳做法 349
本章小結 349
第14 章 基於災難恢復計畫的風險緩解 351
14.1 什麼是災難恢復計畫 351
14.2 關鍵成功因素 354
14.3 災難恢復計畫的要素 365
14.4 災難恢復計畫如何緩解組織機構的風險 377
14.5 災難恢復計畫的最佳做法 378
本章小結 379
第15 章 基於計算機事件回響小組計畫的風險緩解 381
15.1 什麼是計算機事件回響小組計畫 381
15.2 計算機事件回響小組計畫的目的 383
15.3 計算機事件回響小組計畫的要素 385
15.4 計算機事件回響小組計畫如何緩解組織機構的風險 407
15.5 實施計算機事件回響小組計畫的最佳做法 407
本章小結 408
附錄A 縮寫詞 409
附錄B 關鍵術語 418
參考文獻 437
