信息化已融入到人类社会的每一个角落，不断推动着社会的进步和发展。然而，无处不在的信息孕育着随时可能发生的风险，信息安全事件时有发生，信息安全问题也成为全社会共同关注的问题，信息系统的安全、管理、风险与控制日益成为突出的问题。信息安全研究所涉及的领域相当广泛，信息安全的建设是一个系统工程，正确的做法是遵循国内外相关信息安全标准与最佳实践，考虑组织对信息安全各个层面的需求，在风险评估的基础上引入合理的控制措施，建立信息安全管理体系以保证信息的安全属性。绝大多数信息安全问题是管理方面的缺陷，因此信息安全管理是十分重要的课题，在解决信息安全问题中占重要地位，其发展对信息安全人才的培养提出了更高的要求。风险评估是信息安全管理体系和信息安全风险管理的基础，是建立信息安全保障体系的必要前提，通过风险评估能够将信息安全活动的重点放在重要的问题上。本书旨在通过本课程的学习，帮助学生了解信息安全管理、信息安全风险评估的基本知识、相关标准，理解信息安全管理体系的建立过程以及风险评估的实施过程，进而在实际工作中得到应用，对组织的具体实践提供理论指导，帮助组织建立合理的信息安全管理体系。

本书从信息安全管理、风险评估的概念出发，全面、系统地介绍了信息安全管理体系、信息安全风险评估、信息系统安全等级保护、云计算安全管理与风险评估、IT治理等内容。全书由基本知识、信息安全风险评估、信息安全管理三部分构成，共分为11章。第1章引论，着重介绍了信息安全管理和风险评估相关的基本概念及其发展过程、现状和发展趋势，初步介绍了信息安全管理与风险评估的关系； 第2章信息安全管理的主要内容，主要介绍了信息安全管理体系模型、建立信息安全管理体系的基本过程，讨论了国内外信息安全管理相关标准以及主要的信息安全管理工具； 第3章信息安全风险评估的主要内容，主要介绍了风险评估模型、实施风险评估的总体流程，讨论了国内外相关标准以及主要的风险评估工具； 第4章IT治理概述，主要介绍了IT治理概念和基础内容，围绕国际上公认的IT治理标准，重点讨论了IT治理支持手段； 第5章信息安全风险评估实施流程，充分讨论了风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析等实施风险评估的各阶段作业流程和各方面内容，介绍了风险处置计划和风险评估报告的内容； 第6章信息系统生命周期各阶段的风险评估，介绍了信息系统生命周期中规划阶段、设计阶段、实施阶段、运维阶段和废弃阶段中风险评估的工作内容； 第7章建立信息安全管理体系的工作流程，深入细致地讨论了信息安全管理体系的策划与准备、设计与建立、实施与运行、体系审核、改进与保持等各阶段的工作内容； 第8章信息安全管理体系的认证，从信息安全管理体系认证概念出发，介绍了认证的目的、范围、认证机构，及认证过程等内容； 第9章信息安全管理控制措施，详细阐述了选择控制措施的方法和过程，围绕国内外较为通用的标准、重点讨论了信息安全管理控制规范； 第10章信息系统安全等级保护标准体系，从等级保护基本知识出发，详细讨论了等级保护实施方法和过程，着重分析了等级保护与信息安全管理体系、等级保护与信息安全风险评估的关系； 第11章云计算的安全管理与风险评估，介绍了云计算的模式与架构，着重分析了云计算的信息安全问题，重点讨论了云计算风险评估的特点和方式，深入阐述了云计算的风险控制措施。

全书结构合理、内容全面、概念清晰、深入浅出，符合教学特点和需求，业务实用性强，紧跟信息安全管理与风险评估研究以及IT应用的发展趋势，融入了最新的创新内容。

本书既可作为高等院校信息安全专业、信息管理与信息系统专业、管理科学与工程专业及计算机相关专业的本科生和研究生的教材，也可作为从事信息化相关工作的管理人员、信息安全管理人员、网络与信息系统安全管理人员、IT相关人员的参考书。

本书是作者长期从事理论研究和科学实践以及教学经验和成果的归纳总结，作者精心设计安排全书的结构和内容，以适应不同层次和不同专业读者的需求。书中汲取了大量国内外本领域代表文献的精华，参考了大量的国内外有关研究成果，在此，谨向书中提到和参考文献列出的作者表示感谢。作者所指导的学生刘换、宋健豪等参与了编写本书的相关工作，在此一并表示感谢。同时感谢北京信息科技大学信息管理学院的领导、全体教师的大力支持和帮助。最后，衷心感谢清华大学出版社为本书出版付出的辛勤劳动。

信息技术在飞速发展，信息安全管理和风险评估也在不断创新和发展，其理念和技术等都在不断地更新。书稿虽经多次修改，但由于作者水平有限，书中难免存在不足和疏漏之处，诚望使用本教材的师生和读者不吝指教。

本书配套的教学电子课件，读者可登录清华大学出版社网站（http://www.tup.com.cn）下载。

编者

2013年4月于北京