企业信息安全风险管理操作手册.doc

企业信息安全风险管理操作手册

TOC\o1-2\h\u17226第1章信息安全风险管理概述 4

15901.1风险管理的重要性 4

316221.2风险管理的基本概念 4

199791.3信息安全风险管理体系 4

14603第2章风险管理组织与职责 5

88462.1风险管理组织结构 5

122672.1.1风险管理领导小组 5

35432.1.2风险管理办公室 5

304652.1.3风险管理执行小组 5

132852.1.4部门风险管理员 5

206042.2各部门职责与角色 5

29762.2.1风险管理领导小组 5

182852.2.2风险管理办公室 6

114002.2.3风险管理执行小组 6

212832.2.4部门风险管理员 6

161892.3风险管理人员的素质要求 6

30240第3章风险识别与评估 7

202403.1风险识别方法 7

158443.1.1文档审查 7

279513.1.2问卷调查 7

291563.1.3安全审计 7

230943.1.4威胁情报分析 7

295403.1.5专家访谈 7

207653.2风险评估方法 7

74473.2.1定性评估 7

99603.2.2定量评估 7

104083.2.3情景分析 7

195853.2.4漏洞评估 7

45053.2.5风险矩阵 8

278043.3风险定性与定量分析 8

266563.3.1定性分析 8

280643.3.2定量分析 8

235293.3.3风险分析报告 8

8164第4章风险分类与排序 8

178924.1风险分类 8

252794.1.1数据泄露风险 8

290664.1.2系统安全风险 9

80024.1.3网络安全风险 9

105574.1.4应用安全风险 9

116684.1.5法律法规风险 9

262844.2风险排序方法 9

87664.2.1按照风险影响程度排序 9

203274.2.2按照风险发生概率排序 9

110034.2.3按照风险应对成本排序 9

99924.2.4综合排序 9

78634.3风险评估报告 10

275414.3.1风险分类及描述 10

171304.3.2风险排序 10

138364.3.3风险应对措施 10

62634.3.4风险监测与预警 10

21024.3.5风险评估周期 10

21671第5章风险应对策略与措施 10

149045.1风险应对策略 10

38505.1.1风险规避 10

34475.1.2风险降低 10

131125.1.3风险转移 10

224725.1.4风险接受 10

322075.2风险应对措施 11

43615.2.1技术措施 11

179485.2.2管理措施 11

78275.2.3物理措施 11

87835.3风险应对计划的制定与实施 11

212845.3.1风险应对计划的制定 11

87605.3.2风险应对措施的实施 11

3891第6章风险监控与沟通 11

319506.1风险监控方法 11

32766.1.1实施风险监测 11

120526.1.2风险监测流程 12

315906.1.3风险预警机制 12

161606.2风险沟通机制 12

295236.2.1内部沟通 12

113356.2.2外部沟通 12

178446.2.3沟通方式与内容 12

76146.3风险信息共享与报告 12

54076.3.1风险信息共享机制 12

110566.3.2风险报告 12

174906.3.3风险信息公开 12

14105第7章风险评估工具与技术 13

296137.1风险评估软件工具 13

207117.1.1风险评估管理系统（RAMS） 13

192717.1.2漏洞扫描工具 13

13267.1.3配置管理工具 13

324707.2风险评估模型 13

298117.2.1概率影响模型 13

86537.2.2蒙特卡洛模拟 14

34197.2.3