信息安全风险管理方法及ISO/IEC27001标准应用案例

第1章 绪论

1.1 研究背景及意义

1.2 国内外信息安全风险管理研究现状

1.2.1 信息安全风险管理方法

1.2.2 信息安全风险评估方法

1.2.3 信息安全风险决策

1.3 本书研究思路和主要内容

1.3.1 研究思路

1.3.2 主要内容

第2章 基于层次结构的信息安全资产识别与评估模型

2.1 信息安全风险管理的基本理论

2.1.1 主要概念

2.1.2 信息安全风险的界定

2.2 信息安全风险识别与评估流程

2.2.1 资产识别与评估

2.2.2 威胁识别与评估

2.2.3 脆弱性识别和评估

2.2.4 已有安全措施确认

2.2.5 风险计算与处理

2.2.6 安全措施的选取

2.3 层次化的资产识别与评估方法

2.3.1 问题描述

2.3.2 作业-资产识别模型

2.3.3 层次化的关键资产评估模型

第3章 基于区间数的模糊层次风险分析与评估模型

3.1 引言

3.2 信息安全风险识别与分析

3.2.1 风险各要素映射关系

3.2.2 安全事件的矩阵识别模型

3.2.3 安全事件与风险分析

3.3 信息安全风险评估方法

3.3.1 信息安全风险评估方法概述

3.3.2 区间数及判断矩阵

3.3.3 层次分析法

3.3.4 模糊评价法

3.3.5 基于区间数判断矩阵的模糊层次风险评估法

3.4 实例分析

3.5 本章小结

第4章 基于PROMETEE狙的信息安全风险控制模型

4.1 引言

4.2 信息安全风险控制的具体内容

4.2.1 信息安全需求的确定

4.2.2 信息安全风险控制的原则

4.2.3 信息安全风险控制的方式

4.2.4 信息安全风险控制的保障策略

4.3 基于PROMETHEE的多属性安全措施控制方法

4.3.1 安全措施有效性指数

4.3.2 安全措施的成本-效益分析

4.3.3 安全措施的PROMETHEE决策模型

4.3.4 安全措施的PROMETHEE灵敏度分析

4.3.5 算例

4.4 本章小结

第5章 基于博弈论的信息安全风险决策模型

5.1 引言

5.2 信息安全技术决策的投资博弈模型

5.2.1 博弈论概述

5.2.2 不完全信息博弈的安全技术策略选择

5.2.3 不同安全技术策略的分析比较

5.3 基于成本分析的安全技术自适应投资策略

5.3.1 入侵检测响应系统的博弈模型

5.3.2 入侵响应的条件成本分析验证

5.4 本章小结

第6章 信息安全风险管理实证研究

6.1 引言

6.2 项目背景介绍

6.2.1 信用卡中心概述

6.2.2 信用卡中心信息安全现状

6.3 信息安全风险评估方法

6.3.1 关键信息资产识别

6.3.2 风险分析与评估

6.3.3 安全状况及建议

第7章 结论与展望

附表

附录

参考文献

探寻科学、合理、实用的信息安全风险管理方法已成为信息安全领域研究的热点之一。《信息安全风险管理方法及ISO\IEC27001标准应用案例》以层次分析法、模糊理论、多属性决策理论和博弈论为主要分析工具，对信息安全风险识别、评估、控制和决策进行研究，构建了一套较为完整的信息安全风险管理方法的理论体系。