内容简介
本书由OCTAVE方法的开发者编写,是OCTAVE原则和实施的指南。本书提供了评估和管理信息安全风险的系统方法:描述了自主评估的实施过程:演示了如何剪裁评估方法,使其适合不同组织的需要。
目录
第I部分 引 言 第1章 信息安全管理 1. 1 信息安全 1. 2 信息安全风险评估和管理 1. 3 一种信息安全风险评估的方法 第2章 信息安全风险评估的原则和属性 2. 1 简介 2. 2 信息安全风险管理的原则 2. 3 信息安全风险评估的属性 2. 4 信息安全风险评估的输出 第II部分 OCTAVE Method 第3章 OCTAVEMethod简介 3. 1 OCTAVEMethod简介 3. 2 把属性和输出映射到OCTAVEMethod 3. 3 示例场景简介 第4章 为OCTAVE做准备 4. 1 准备概述 4. 2 争取高层管理部门支持OCTAVE 4. 3 挑选分析团队成员 4. 4 选择OCTAVE涉及的业务区域 4. 5 选择参与者 4. 6 协调后勤工作 4. 7 示例场景 第5章 标识组织的知识 5. 1 过程1~3概述 5. 2 标识资产及其相对优先级 5. 3 标识涉及的区域 5. 4 标识要的资产的安全需求 5. 5 获取当前的安全实践和组织弱点的知识 第6章 建立威胁配置文件 6. 1 过程4概述 6. 2 讨论会之前:整理从过程1~3中收集的信息 6. 3 选择关键资产 6. 4 提炼关键资产的安全需求 6. 5 标识对关键资产的威胁 第7章 标识关键组件 7. 1 过程5概述 7. 2 标识组件的关键种类 7. 3 标识要研究的基础结构组件 第8章 评估选定的组件 8. 1 过程6概述 8. 2 讨论会开始之前:对选定的基础结构组件运行弱点评估工具 8. 3 评审技术弱点并总结结果 第9章 执行风险分析 9. 1 过程7简介 9. 2 标识对关键资产的威胁所产生的影响 9. 3 建立风险评估标准 9. 4 评估对关键资产的威胁所产生的影响 9, 5 应用概率于风险分析 第10章 开发保护策略--讨论会A 10. 1 过程8A简介 10. 2 讨论会之前:整理从过程1~3中收集的信息 10. 3 评审风险信息 10. 4 制定保护策略 10. 5 建立风险缓和计划 10. 6 制定行动列表 10. 7 在风险缓和中应用概率 第11章 开发保护策略--讨论会B 11. 1 过程8B简介 11. 2 讨论会之前:准备与高层管理部门会面 11. 3 介绍风险信息 11. 4 评审并提炼保护策略. 缓和计划和行动列表 11. 5 确定后续步骤 11. 6 第Ⅱ部分总结 第III部分 OCTAVE方法的变体 第12章 剪裁OCTAVE方法简介 12. 1 可能性范围 12. 2 为组织剪裁OCTAVE方法 第13章 实际应用 13. 1 引言 13. 2 小型组织 13. 3 超大型的. 分散的组织 13. 4 综合的Web入口服务提供商 13. 5 大型组织和小型组织 13. 6 其他需要考虑的问题 第14章 信息安全风险管理 14. 1 引言 14. 2 管理信息安全风险的框架 14. 3 实施信息安全风险管理 14. 4 总结 术语表 参考书目 附 录 附录A OCTAVEMethod的示例场景 A. 1 MedSite的OCTAVE报告:引言 A. 2 为MedSite制定的保护策略 A. 3 关键资产的风险和缓和计划 A. 4 技术弱点评估结果及建议的行动 A. 5 补充信息 附录B 工作表 B. 1 问题征集工作表 B. 2 资产配置文件工作表 B. 3 策略和行动 附录C 实践目录 参考文献
