信息安全风险评估实践.doc

信息安全风险评估实践

TOC\o1-2\h\u4646第1章信息安全风险评估基础 4

275021.1信息安全风险概述 4

70021.1.1信息安全的重要性 4

126651.1.2信息安全风险的定义 4

127741.1.3信息安全风险的分类 4

28021.2风险评估的基本概念 4

186231.2.1风险评估的定义 4

278331.2.2风险评估的目标 4

281.2.3风险评估的原则 5

168111.3风险评估的方法与流程 5

237521.3.1风险评估方法 5

131291.3.2风险评估流程 5

8878第2章风险评估前期准备 5

318602.1确定评估目标与范围 5

136152.1.1分析组织业务与信息安全需求 5

161392.1.2确定评估目标 5

129942.1.3确定评估范围 6

234052.2收集评估所需资料 6

283912.2.1组织内部资料 6

3112.2.2外部资料 6

175362.3确定评估团队与分工 6

109242.3.1评估团队成员 6

194562.3.2分工与职责 6

173第3章风险识别 7

71933.1资产识别 7

212953.1.1资产分类与标识 7

124923.1.2资产清单编制 7

293213.1.3资产价值评估 7

133203.2威胁识别 7

225493.2.1威胁来源分析 7

318083.2.2威胁分类 7

166323.2.3威胁描述 7

308723.3脆弱性识别 7

133263.3.1脆弱性来源分析 7

162843.3.2脆弱性分类 8

297713.3.3脆弱性描述 8

237183.4风险识别方法与技术 8

110253.4.1定性分析法 8

64793.4.2定量分析法 8

128743.4.3漏洞扫描与渗透测试 8

111763.4.4安全审计 8

256773.4.5威胁情报分析 8

14100第4章风险分析 8

183794.1定性风险分析 8

155984.1.1风险识别 8

246734.1.2风险评估 9

172504.1.3风险分析结果 9

288034.2定量风险分析 9

276884.2.1风险量化方法 9

81434.2.2风险量化过程 9

168994.2.3风险量化结果 9

207634.3风险评估结果整理与输出 9

315294.3.1风险评估报告结构 9

35024.3.2风险评估结果整理 9

81944.3.3风险评估报告输出 9

22406第5章风险评估工具与模型 10

166185.1常用风险评估工具介绍 10

6725.1.1奥斯卡（OSCAR） 10

314355.1.2OpenVAS 10

300995.1.3QualysGuard 10

188985.1.4RSAArcher 10

297005.2风险评估模型选择与运用 10

252305.2.1ISO31000风险管理框架 10

270705.2.2NISTSP80030 10

197645.2.3OCTAVE 11

90695.2.4CMM（CapabilityMaturityModel） 11

71405.3工具与模型的优缺点分析 11

26365.3.1工具优缺点 11

71945.3.2模型优缺点 11

25170第6章风险评估在关键领域的应用 12

93976.1网络安全风险评估 12

180716.1.1网络安全风险评估概述 12

279696.1.2网络安全风险评估方法 12

158796.1.3网络安全风险评估应用案例 12

896.2云计算风险评估 12

211586.2.1云计算风险评估概述 12

108526.2.2云计算风险评估方法 12

102196.2.3云计算风险评估应用案例 13

38376.3移动安全风险评估 13

125446.3.1移动安全风险评估概述 13

88936.3.2移动安全风险评估方法 13

281326.3.3移动