信息安全風險評估（第2版）

第一篇 概念
第1章 風險及其概念
1．1 為什么是“風”險?
1．2 風險的定義
1．3 風險與信息安全
第2章 風險評估與風險管理
2．1 區(qū)分風險評估/管理
2．2 有關的術(shù)語解析
2．3 信息安全風險評估/管理（ISRA/ISRM）
第二篇 方法
第3章 風險評估（RiskAssessment）
3．1 風險評估準備
3．2 識別并評價資產(chǎn)
3．3 識別威脅和脆弱性
3．4 識別和評價控制措施
3．5 分析可能性和影響
3．6 更詳細的方法（可選）
3．7 分析風險的大小
3．8 編寫風險評估報告
第4章 風險應對（RiskTreatment）
4．1 應對選項
4．2 基本流程
第三篇 實踐
第5章 一個完整的案例
5．1 案例描述
5．2 風險評估準備工作
5．3 識別和評價資產(chǎn)
5．4 識別威脅和脆弱性
5．5 分析暴露和影響
5．6 分析發(fā)生容易度和可能性
5．7 分析風險大小
5．8 編寫風險評估報告
第6章 幾個需要討論的問題
6．1 實踐中難點分析
6．2 風險評估工具
第四篇 深入閱讀
第7章 相關的標準/方法綜述
7．1 可以參考的風險管理通用標準
7．2 現(xiàn)行可參考的ISRA/ISRM標準
7．3 已經(jīng)廢棄的ISRA/ISRM標準
7．4 容易誤讀為ISRA/ISRM的標準
主要參考文獻
附錄A GB/T23694—2013風險管理術(shù)語
附錄B GB/T31722—2015信息技術(shù)安全技術(shù)信息安全風險管理
附錄C GB/T20984—2007信息安全技術(shù)信息安全風險評估規(guī)范
附錄D GB/T31509—2015信息安全技術(shù)信息安全風險評估實施指南