信息安全管理

第I部分 引言
第1章 信息安全管理
1.1 信息安全
1.2 信息安全風險評估和管理
1.3 一種信息安全風險評估的方法
第2章 信息安全風險評估的原則和屬性
2.1 簡介
2.2 信息安全風險管理的原則
2.3 信息安全風險評估的屬性
2.4 信息安全風險評估的輸出
第II部分 OCTAVE Method
第3章 OCTAVE Method簡介
3.1 OCTAVE Method
3.2 把屬性和輸出映射到OCTAVE Method
3.3 示例場景簡介
第4章 為OCTAVE做準備
4.1 準備概述
4.2 爭取高層管理部門支持OCTAVE
4.3 挑選分析團隊成員
4.4 選擇OCTAVE涉及的業(yè)務區(qū)域
4.5 選擇參與者
4.6 協(xié)調(diào)后勤工作
4.7 示例場景
第5章 標識組織的標識
5.1 過程1~3概述
5.2 標識資產(chǎn)及其相對優(yōu)先級
5.3 標識涉及的區(qū)域
5.4 標識最重要的資產(chǎn)安全需求
5.5 獲取當前的安全實踐和組織弱點的知識
第6章 建立威脅配置文件
6.1 過程4概述
6.2 討論會之前：整理從過程1~中收集的信息
6.3 選擇關鍵資產(chǎn)
6.4 提煉關鍵資產(chǎn)的安全需求
6.5 標識對關鍵資產(chǎn)的威脅
第7章 標識關鍵組件
7.1 過程5概述
7.2 標識組件的關鍵種類
7.3 標識要研究的基礎結(jié)構(gòu)組件
第8章 評估選定的組件
8.1 過程6概述
8.2 討論會開始之前：對選定的基礎結(jié)構(gòu)組件運行弱點評估工具
8.3 評審技術弱點總結(jié)結(jié)果
第9章 執(zhí)行風險分析
9.1 過程7簡介
9.2 標識對關鍵資產(chǎn)的威脅所產(chǎn)生影響
9.3 建立風險評估標準
9.4 評估對關鍵資產(chǎn)的威脅所產(chǎn)生的影響
9.5 應用概率于風險分析
第10章 開發(fā)保護策略——討論會A
 
10.1 過程8A簡介
10.2 討論會之間：整理從過程1~3收集的信息
10.3 評審風險信息
10.4 制定保護策略
10.5 建立風險緩和計劃
10.6 制定行為列表
10.7 在風險緩和中應用概率
第11章 開發(fā)保護策略——討論會B
11.1 過程8B簡介
11.2 討論會之前：準備與高層管理部門會面
11.3 介紹風險信息
11.4 評審并提練保護策略、緩和計劃和行動列表
11.5 確定后續(xù)步驟
11.6 第II部分總結(jié)
第III部分 OCTAVE方法的變體
第12章 剪裁OCTAVE方法簡介
12.1 可能性范圍
12.2 為組織剪載OCTAVE方法
第13章 實際應用
13.1 引言
13.2 小型組織
13.3 超大型的、分散的組織
13.4 綜合的Web入口服務提供商
13.5 大型組織和小型組織
13.6 其他需要考慮的問題
第14章信息安全風險管理
14.1 引言
14.2 管理信息安全風險的框架
14.3 實施信息安全風險管理
14.4總結(jié)
術語表
參考書目 
附錄
附錄A OCTAVE Method的示例場景
A.1 MedSite的OCTAVE最終報告：引言
A.2 為MedSite制定的保護策略
A.3 關鍵資產(chǎn)的風險和緩和計劃
A.4 技術弱點評估結(jié)果及建議的行動
A.5 補充信息
附錄B 工作表
B.1 問題征集工作表
B.2 資產(chǎn)配置文件工作表
B.3 策略和行為
附錄C 實踐目錄
參考文獻