该书是信息系统领域的业内专家所著，全面概述了信息系统的管理风险的方法与策略，内容新颖独特，其中配有大量的练习和实践，比其他同类书籍更加实用。

原书序言 本书的目的 本书是 Jones ＆ Bartlett Learning 出版社信息系统安全与保障丛书中的一部。该丛书为信息技术安全、网络安全、信息保障、信息系统安全相关课程而设，是对这些关键领域的最新思考和趋势，并对这些领域秉承持续而广泛的关注。丛书标题体现了与现实应用及案例密切相关的信息安全基本准则。该丛书由多位注册信息系统安全专家（CISSP）担任作者，介绍了信息安全的全方位信息，并由信息安全领域领先的技术专家逐一审稿。本丛书不仅立足当前，而且具有前瞻性思考，引导读者应对当今及未来的网络安全挑战。 本书为信息系统中的风险管理提供了一个广泛而综合的视角，既涵盖了风险和风险管理的基本原理，又包括了更为广泛的风险管理问题细节。 本书主要包括以下三个部分。 第一部分是风险管理业务的挑战，主要介绍当今管理业务的相关问题，涵盖风险、威胁及漏洞的细节，有助于读者理解组织机构中风险管理的重要性，并包含了许多管理风险的相关技术。这部分内容还详细介绍了当前在组织机构中彼此密切相关的诸多法规，并用一章的篇幅论述了风险管理计划的相关内容。 第二部分是风险缓解，重点是介绍关于风险评估的内容，主要介绍了各种不同的风险评估方法及其实施步骤，涵盖了资产识别、潜在威胁与漏洞识别的重要性。这部分内容用一章的篇幅介绍了用于风险缓解的各类控制措施，并在其他章节中介绍了如何制定组织机构的风险缓解计划，以及如何将风险评估转化为风险缓解计划。 第三部分是风险缓解计划，涵盖风险缓解计划的诸多要素，包括业务影响分析及业务持续性计划。这部分内容的最后两章具体介绍了灾难恢复及计算机事件响应小组计划的相关内容。 本书的阅读方法 本书表达风格实用通俗，通过文字描述将信息安全概念和程序的相关案例清晰地呈现给读者。文中图表既能清晰简洁地表达内容，又丰富了内容的展现形式。每章小结为读者提供了内容要点，有助于读者了解相关概念的重要性。 适用本书的读者范围 本书适用于计算机科学、信息科学专业本科生和研究生，两年制技术学院或社区大学拥有相关技术基础背景知识的学生，以及了解信息技术安全基础并希望扩展相关知识的读者。

第一部分 风险管理业务的挑战 第1 章 风险管理基础................................................................................... 1 1.1 什么是风险........................................................................................1 1.2 信息技术基础设施风险的主要组成................................................5 1.3 风险管理及其对组织机构的影响..................................................13 1.4 风险识别技术..................................................................................18 1.5 风险管理技术..................................................................................23 本章小结...................................................................................................27 第2 章 风险管理：威胁、漏洞及攻击...................................................... 29 2.1 对威胁的认识与管理......................................................................29 2.2 对漏洞的认识与管理......................................................................35 2.3 对漏洞攻击的认识与管理..............................................................41 2.4 美国联邦政府的信息系统风险管理实践......................................48 本章小结...................................................................................................54 第3 章 合规性的依据................................................................................. 55 3.1 美国合规性法规..............................................................................55 3.2 合规性的管理机构..........................................................................62 3.3 合规性的组织机构政策..................................................................66 3.4 合规性的标准与指南......................................................................67 本章小结...................................................................................................81 第4 章 风险管理计划的制定......................................................................82 4.1 风险管理计划的目标......................................................................82 4.2 风险管理计划的范围......................................................................85 4.3 风险管理计划中的职责分配..........................................................88 4.4 风险管理计划中系统实现步骤与进度的描述..............................92 4.5 需求报告..........................................................................................94 4.6 行动和里程碑计划........................................................................100 4.7 风险管理计划进展的图形表达....................................................103 本章小结.................................................................................................106 第二部分 风险缓解 第5 章 风险评估方法的概念....................................................................107 5.1 对风险评估的认识........................................................................107 5.2 风险评估的关键步骤....................................................................110 5.3 风险评估的类型............................................................................112 5.4 风险评估的挑战............................................................................124 5.5 风险评估的最佳做法....................................................................130 本章小结.................................................................................................131 第6 章 风险评估的实施............................................................................132 6.1 风险评估方法的选择....................................................................132 6.2 管理结构的辨识............................................................................136 6.3 风险评估范围内资产与活动的辨识............................................137 6.4 关联威胁的辨识与评估................................................................142 6.5 关联漏洞的辨识与评估................................................................144 6.6 应对措施的辨识与评估................................................................146 6.7 基于评估需求的方法选择............................................................150 6.8 制定风险缓解建议........................................................................153 6.9 提交风险评估结果........................................................................156 6.10 实施风险评估的最佳做法..........................................................156 本章小结.................................................................................................157 第7 章 受保护资源及活动的辨识.............................................................158 7.1 系统访问及可用性........................................................................158 7.2 系统的人工和自动功能................................................................161 7.3 硬件资产........................................................................................163 7.4 软件资产........................................................................................164 7.5 人力资源........................................................................................166 7.6 数据及信息资源............................................................................167 7.7 典型信息技术基础设施七个领域的资产和库存管理....................173 7.8 维持运营所需设施及供应的辨识................................................178 本章小结.................................................................................................184 第8 章 威胁、脆弱性及漏洞的辨识与分析.............................................185 8.1 威胁评估........................................................................................185 8.2 脆弱性评估....................................................................................193 8.3 漏洞评估........................................................................................205 本章小结.................................................................................................212 第9 章 风险缓解安全控制的辨识与分析.................................................213 9.1 现场控制........................................................................................213 9.2 计划控制........................................................................................214 9.3 控制类别........................................................................................214 9.4 程序控制范例................................................................................218 9.5 技术控制范例................................................................................226 9.6 物理控制范例................................................................................234 9.7 风险缓解安全控制的最佳做法....................................................238 本章小结.................................................................................................239 第10 章 组织机构中的风险缓解计划.......................................................240 10.1 组织机构中风险缓解的起点......................................................240 10.2 组织机构中风险管理的范围......................................................241 10.3 合法性及合规性问题对组织机构影响的认识和评估....................252 10.4 合法性及合规性意义的诠释......................................................261 10.5 典型信息技术基础构架七个领域合法性及合规性意义 的影响评估..................................................................................261 10.6 安防措施对风险缓解助益的评估..............................................263 10.7 对合法性及合规性需求操作意义的认识..................................263 10.8 组织机构中风险缓解及风险降低的要素辨识..........................264 10.9 费用效益分析的实施..................................................................265 10.10 组织机构中风险缓解计划的最佳做法....................................267 本章小结.................................................................................................267 第11 章 风险评估向风险缓解计划的转化...............................................268 11.1 对信息技术基础设施风险评估的审查......................................268 11.2 风险评估转化为风险缓解计划的实施过程..............................274 11.3 应需缓解的风险要素排序..........................................................283 11.4 风险要素及其缓解方法的确认..................................................286 11.5 已辨识风险要素的费用效益分析..............................................287 11.6 风险缓解计划的实施..................................................................289 11.7 风险缓解计划的跟进..................................................................293 11.8 风险评估向风险缓解计划转化的最佳做法..............................295 本章小结.................................................................................................296 第三部分 风险缓解计划 第12 章 基于业务影响分析的风险缓解..................................................297 12.1 什么是业务影响分析..................................................................297 12.2 业务影响分析的范围..................................................................300 12.3 业务影响分析的目标..................................................................302 12.4 业务影响分析的步骤..................................................................312 12.5 确定任务关键型业务功能和流程..............................................318 12.6 从业务功能及流程到信息技术系统的映射..............................319 12.7 业务影响分析的最佳做法..........................................................320 本章小结.................................................................................................321 第13 章 基于业务持续性计划的风险缓解...............................................322 13.1 什么是业务持续性计划..............................................................322 13.2 业务持续性计划的要素..............................................................324 13.3 业务持续性计划如何缓解组织机构的风险..............................348 13.4 灾难恢复计划的最佳做法..........................................................349 本章小结.................................................................................................349 第14 章 基于灾难恢复计划的风险缓解...................................................351 14.1 什么是灾难恢复计划..................................................................351 14.2 关键成功因素..............................................................................354 14.3 灾难恢复计划的要素..................................................................365 14.4 灾难恢复计划如何缓解组织机构的风险..................................377 14.5 灾难恢复计划的最佳做法..........................................................378 本章小结.................................................................................................379 第15 章 基于计算机事件响应小组计划的风险缓解...............................381 15.1 什么是计算机事件响应小组计划..............................................381 15.2 计算机事件响应小组计划的目的..............................................383 15.3 计算机事件响应小组计划的要素..............................................385 15.4 计算机事件响应小组计划如何缓解组织机构的风险....................407 15.5 实施计算机事件响应小组计划的最佳做法..............................407 本章小结.................................................................................................408 附录A 缩写词.............................................................................................409 附录B 关键术语.........................................................................................418 参考文献........................................................................................................437

徐一帆，海军工程大学电子工程学院副教授，主要负责信息网络安全方面的研究，目前已发表该专业领域论文数十篇，研究成果颇丰。