第一部分基 本 知 识
第1章引论
1.1信息安全管理概述
1.1.1信息安全管理的内涵
1.1.2信息安全管理发展状况
1.2信息安全风险评估概述
1.2.1信息安全风险评估的内涵
1.2.2风险评估的意义
1.2.3信息安全风险评估发展状况
1.3信息安全管理与风险评估的关系
思考题
第2章信息安全管理的主要内容
2.1信息安全管理体系模型
2.1.1信息安全管理体系及其产业链
2.1.2PDCA模型
2.1.3建立信息安全管理体系的流程概述
2.1.4信息安全管理体系与PDCA循环
2.2信息安全管理相关标准
2.2.1国外信息安全管理相关标准
2.2.2国内信息安全管理相关标准
2.3信息安全管理工具
思考题
第3章信息安全风险评估的主要内容
3.1信息安全风险评估工作概述
3.1.1风险评估依据
3.1.2风险评估原则
3.1.3风险评估组织管理
3.2风险评估基础模型
3.2.1风险要素关系模型
3.2.2风险分析原理
3.2.3风险评估方法
3.2.4风险评估实施流程概述
3.3风险评估相关标准
3.3.1国外信息安全风险评估相关标准
3.3.2国内信息安全风险评估相关标准
3.4风险评估工具
思考题
第4章IT治理概述
4.1IT治理
4.2IT治理支持手段
思考题
第二部分信息安全风险评估
第5章信息安全风险评估实施流程
5.1风险评估准备
5.2资产识别
5.2.1工作内容
5.2.2参与人员
5.2.3工作方式
5.2.4工具及资料
5.2.5输出结果
5.3威胁识别
5.3.1工作内容
5.3.2参与人员
5.3.3工作方式
5.3.4工具及资料
5.3.5输出结果
5.4脆弱性识别
5.4.1工作内容
5.4.2参与人员
5.4.3工作方式
5.4.4工具及资料
5.4.5输出结果
5.5已有安全措施确认
5.5.1工作内容
5.5.2参与人员
5.5.3工作方式
5.5.4工具及资料
5.5.5输出结果
5.6风险分析
5.7风险处理计划
5.7.1现存风险判断
5.7.2控制目标确定
5.7.3控制措施选择
5.8风险评估报告
思考题
第6章信息系统生命周期各阶段的风险评估
6.1规划阶段的信息安全风险评估
6.2设计阶段的信息安全风险评估
6.3实施阶段的信息安全风险评估
6.4运维阶段的信息安全风险评估
6.5废弃阶段的信息安全风险评估
思考题
第三部分信息安全管理
第7章建立信息安全管理体系的工作流程
7.1信息安全管理体系的策划与准备
7.1.1信息安全管理体系
7.1.2信息安全管理体系的准备
7.2信息安全管理体系的设计与建立
7.2.1编写信息安全管理体系文件
7.2.2建立信息安全管理框架
7.3信息安全管理体系的实施与运行
7.3.1信息安全管理体系的试运行
7.3.2实施和运行ISMS工作
7.3.3管理信息安全事件
7.3.4保持ISMS持续有效
7.4信息安全管理体系的审核
7.4.1审核的概念
7.4.2ISMS内部审核
7.4.3信息安全管理体系管理评审
7.5信息安全管理体系的改进与保持
7.5.1持续改进
7.5.2纠正措施
7.5.3预防措施
思考题
第8章信息安全管理体系的认证
8.1信息安全管理认证
8.1.1认证的定义
8.1.2认证的目的和作用
8.1.3认证范围
8.2认证的基本条件与认证机构的选择
8.2.1认证条件
8.2.2认证机构
8.3信息安全管理体系的认证过程
8.3.1认证的准备
8.3.2认证的实施
8.3.3证书与标志
8.3.4维持认证
思考题
第9章信息安全管理控制措施
9.1选择控制措施的方法
9.2选择控制措施的过程
9.3风险管理
9.4信息安全管理控制规范
9.4.1从需求解析信息安全管理控制措施
9.4.2从安全问题解析信息安全管理控制措施
9.4.3控制目标与控制措施详述
思考题
第10章信息系统安全等级保护标准体系
10.1信息系统安全等级保护
10.1.1等级保护概述
10.1.2等级保护实施方法与过程
10.2ISMS与等级保护
10.3等级保护与风险评估
10.3.1风险评估是等级保护制度建设的基础
10.3.2等级保护和风险评估的宏观联系
10.3.3风险评估是信息系统安全等级保护的技术支撑
10.3.4风险评估在等级保护周期中的作用
10.3.5风险评估在等级保护层次中的应用
思考题
第11章云计算的安全管理与风险评估
11.1云计算概述
11.2云计算的信息安全问题
11.3云计算的风险评估与控制措施
11.3.1云计算的风险评估
11.3.2云计算的安全措施
思考题
附录信息安全管理与风险评估相关表格(参考示例)
参考文献
