信息安全管理 (2008 年度畅销榜NO.15531 )

本书由OCTAVE方法的开发者编写，是OCTAVE原则和实施的权威指南。本书提供了评估和管理信息安全风险的系统方法；描述了自主评估的实施过程；演示了如何剪裁评估方法，使其适合不同组织的需要。\r\n

第I部分 引言\r\n\r\n第1章 信息安全管理\r\n\r\n1.1 信息安全\r\n1.2 信息安全风险评估和管理\r\n1.3 一种信息安全风险评估的方法\r\n\r\n第2章 信息安全风险评估的原则和属性\r\n\r\n2.1 简介\r\n2.2 信息安全风险管理的原则\r\n2.3 信息安全风险评估的属性\r\n2.4 信息安全风险评估的输出\r\n\r\n第II部分 OCTAVE Method\r\n\r\n第3章 OCTAVE Method简介\r\n\r\n3.1 OCTAVE Method\r\n3.2 把属性和输出映射到OCTAVE Method\r\n3.3 示例场景简介\r\n\r\n第4章 为OCTAVE做准备\r\n\r\n4.1 准备概述\r\n4.2 争取高层管理部门支持OCTAVE\r\n4.3 挑选分析团队成员\r\n4.4 选择OCTAVE涉及的业务区域\r\n4.5 选择参与者\r\n4.6 协调后勤工作\r\n4.7 示例场景\r\n\r\n第5章 标识组织的标识\r\n\r\n5.1 过程1~3概述\r\n5.2 标识资产及其相对优先级\r\n5.3 标识涉及的区域\r\n5.4 标识最重要的资产安全需求\r\n5.5 获取当前的安全实践和组织弱点的知识\r\n\r\n第6章 建立威胁配置文件\r\n\r\n6.1 过程4概述\r\n6.2 讨论会之前：整理从过程1~中收集的信息\r\n6.3 选择关键资产\r\n6.4 提炼关键资产的安全需求\r\n6.5 标识对关键资产的威胁\r\n\r\n第7章 标识关键组件\r\n\r\n7.1 过程5概述\r\n7.2 标识组件的关键种类\r\n7.3 标识要研究的基础结构组件\r\n\r\n第8章 评估选定的组件\r\n\r\n8.1 过程6概述\r\n8.2 讨论会开始之前：对选定的基础结构组件运行弱点评估工具\r\n8.3 评审技术弱点总结结果\r\n\r\n第9章 执行风险分析\r\n\r\n9.1 过程7简介\r\n9.2 标识对关键资产的威胁所产生影响\r\n9.3 建立风险评估标准\r\n9.4 评估对关键资产的威胁所产生的影响\r\n9.5 应用概率于风险分析\r\n\r\n第10章 开发保护策略——讨论会A\r\n\r\n \r\n10.1 过程8A简介\r\n10.2 讨论会之间：整理从过程1~3收集的信息\r\n10.3 评审风险信息\r\n10.4 制定保护策略\r\n10.5 建立风险缓和计划\r\n10.6 制定行为列表\r\n10.7 在风险缓和中应用概率\r\n\r\n第11章 开发保护策略——讨论会B\r\n\r\n11.1 过程8B简介\r\n11.2 讨论会之前：准备与高层管理部门会面\r\n11.3 介绍风险信息\r\n11.4 评审并提练保护策略、缓和计划和行动列表\r\n11.5 确定后续步骤\r\n11.6 第II部分总结\r\n\r\n第III部分 OCTAVE方法的变体\r\n\r\n第12章 剪裁OCTAVE方法简介\r\n\r\n12.1 可能性范围\r\n12.2 为组织剪载OCTAVE方法\r\n\r\n第13章 实际应用\r\n\r\n13.1 引言\r\n13.2 小型组织\r\n13.3 超大型的、分散的组织\r\n13.4 综合的Web入口服务提供商\r\n13.5 大型组织和小型组织\r\n13.6 其他需要考虑的问题\r\n\r\n第14章信息安全风险管理\r\n\r\n14.1 引言\r\n14.2 管理信息安全风险的框架\r\n14.3 实施信息安全风险管理\r\n14.4总结\r\n\r\n术语表\r\n参考书目 \r\n\r\n附录\r\n\r\n附录A OCTAVE Method的示例场景\r\n\r\nA.1 MedSite的OCTAVE最终报告：引言\r\nA.2 为MedSite制定的保护策略\r\nA.3 关键资产的风险和缓和计划\r\nA.4 技术弱点评估结果及建议的行动\r\nA.5 补充信息\r\n\r\n附录B 工作表\r\n\r\nB.1 问题征集工作表\r\nB.2 资产配置文件工作表\r\nB.3 策略和行为\r\n\r\n附录C 实践目录\r\n\r\n参考文献