本书从信息安全风险管理的基本概念手,以信息安全风险管理标准——ISO/IEC 27005《信息技术—安全技术—信息安全风险管理》为主线,全面介绍了信息安全风险管理相关国际标准和国家标准;详细介绍了信息安全风险管理的环境建立,发展战略和业务识别,资产识别,威胁识别,脆弱性识别,已有安全措施识别;还介绍了风险分析,风险评价及风险评估输出,风险处置,沟通与咨询、监视与评审等内容;并给出了信息安全风险管理综合实例。本书还重讲解了脆弱性识别中的物理脆弱性识别、网络脆弱性识别、系统脆弱性识别、应用脆弱性识别、数据脆弱性识别和管理脆弱性识别等内容。本书力图通过小案例与综合实例,理论联系实践,使读者了解、掌握和运用信息安全风险管理的理论与实践方法。 本书是信息安全保障人员认证信息安全风险管理方向的培训教材,面向政府部门、企事业单位从事信息安全风险管理或风险评估的专业人员,也适用于信息安全专业人士、大学生或对信息安全风险管理感兴趣的读者使用。<br/>【作者】<br/>曹雅斌,毕业于清华大学机械工程系。长期负责质量安全管理和认证认可领域的政策法规、制度体系建设以及测评、认证工作的组织实施。现任职于中国网络安全审查技术与认证中心,负责网络信息安全人员培训与认证工作。尤其,中国网络安全审查技术与认证中心(原中国信息安全认证中心)培训与人员认证部副主任,高级工程师。《信息技术 安全技术 信息安全管理体系 要求》《信息技术 安全技术 信息安全管理体系 控制实践指南》《公共安全 业务连续性管理体系 要求》《公共安全 业务连续性管理系 ?指南》等多项国家标准、行业标准主要起草人之一;出版信息安全管理体系专著1 部。国际标准化组织 ISO/IEC SC27/WG1(信息技术 安全技术 信息安全管理国际标准起草组) 注册专家;中国合格评定国家认可委员会(CNAS)信息安全专业委员会秘书长。何志明,现任北京红戎信安技术有限公司总经理,负责公司运营和信息安全风险管理培训工作,参与了教材编写、课件讲义制作、授课和教学实践,了解和掌握信息安全风险管理的基础知识和基本技能,有网络与信息安全从业20多年的经历,对网络安全现状及发展趋势有独立见解,对网络安全企业经营有丰富的管理经验。<br/>
評論0