信息安全风险评估实施教程(含光盘)

　　本书是《信息安全风险评估方法与应用》的配套教材，主要介绍了信息安全风险评估的基本概念、原理、流程和方法，给出了依据国家标准《信息安全风险评估规范》进行的两个评估案例。为方便读者熟悉与掌握风险评估的流程，本书提供了操作演示光盘。同时，在附录部分为《信息安全风险评估方法与应用》（已由清华大学出版社出版）的各章节配了一套练习题并提供了答案。
　　 本书可作为信息安全风险评估专业的培训教程，也可供从事相关专业的教学或工程技术人员参考。

第1章 信息安全风险评估实施流程
1.1 风险评估的准备
1.2 资产识别
1.3 威胁识别
1.4 脆弱性识别
1.5 已有安全措施确认
1.6 风险分析
1.7 风险评估文件记录
1.8 练习题及答案
第2章 某oa系统信息安全风险评估方案
2.1 风险评估概述
2.2 oa系统概况
2.3 资产识别
2.4 威胁识别
2.5 脆弱性识别
2.6 风险分析
第3章 业务系统信息安全风险评估方案
3.1 风险评估概述
3.2 该业务系统概况
3.3 资产识别

　　信息安全风险评估是依据国家信息安全风险评估有关管理要求和技术标准，对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措施有效性的分析，判断脆弱性被威胁源利用后可能发生的安全事件以及其所造成的负面影响程度来识别信息安全风险。
　　信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。没有准确及时的风险评估，将使得各个机构无法对其信息安全的状况做出准确的判断。因为任何信息系统都会有安全风险，信息安全建设的宗旨之一，就是在综合考虑成本与效益的前提下，通过安全措施来控制风险，并使残余风险降低到可接受的范围内。所以，所谓安全的信息系统，实际是指信息系统在实施了风险评估并做出风险控制后，仍然存在可被接受的残余风险的信息系统。.
　　信息安全风险评估工作是信息安全的新领域，无论在评估理论研究，还是在评估具体实践上，都对信息安全风险评估的组织者和实施者提出了新的要求。为确保风险评估工作的有效实施，提高风险评估人员的业务能力，本书将信息安全风险评估领域的最新研究成果及其在实践中的具体做法整理成册，并以习题形式帮助读者掌握风险评估的基本内容。希望通过有关知识的推广与普及，规范和指导信息安全风险评估的实践。..
　　本书分为信息安全风险评估流程和信息安全风险评估案例两大部分。第1章介绍了信息安全风险评估的实施流程，并在该章后附有练习题。为便于读者对风险评估实施流程有一个更加直观的理解，随书附上信息安全风险评估实施流程演示系统的光盘，结合第1章的内容，详细阐述了评估实施各阶段的工作目标、内容和方式等。在第2、3章分别介绍了两个具体的风险评估实施案例，便于读者理解在实践工作中如何运用风险评估的原理、方法和规范。第4章给出演示系统的操作说明。在附录A部分为《信息安全风险评估方法与应用》（已由清华大学出版社出版）一书的各章节配了一套练习题并附有答案。...
　　作者
　　2006.9