信息安全管理（影印版）

定　价：¥39.00

作　者：	（美）克里斯多夫·阿尔伯兹（Christopher Alberts），（美）奥黛莉·多诺菲（Audrey Dorofee）著
出版社：	清华大学出版社
丛编项：	卡内基·梅隆大学软件工程丛书
标　签：	暂缺

购买这本书可以去

ISBN：	9787302070450	出版时间：	2003-09-01	包装：	平装
开本：	21cm	页数：	471	字数：

内容简介

　　本书由OCTAVE方法的开发者编写，是OCTAVE原则和实施的权威指南。本书提供了评估和管理信息安全风险的系统方法，描述了自主评估的实施过程；演示了如何剪裁评估方法；使其适合不同组织的需要。本书还阐述了重要概念和技术的运行实例，提供了一系列便利的评估工作表和一套可以与组织自己的目录相比较的最佳实践目录。

作者简介

　　Christopher Alberts和Audrey Dorofee是软件工程研究所（Software Engineering Institute， SEI）联网系统生存规划组的高级技术员。他们是OCTAVE方法的主要研发人员。在加盟SEI之前，Alberts是卡内基·梅隆大学软件工程研究所的科学家，在那里他研制出了用于危险环境作业的移动机器人。他还在AT&T贝尔实验室工作过，设计了支持美国电报电话分司（AT&T）先进生产过程的信息系统。

图书目录

ListofFigures
ListofTables
Preface
Acknowledgments

PartIIntroduction
Chapter1ManagingInformationSecurityRisks
1.1informationSecurity
WhatIsInformationSecurity?
VulnerabilityAssessment
InformationSystemsAud/t
InformationSecurityRiskEvaluat/on
ManagedServiceProviders
ImplementingaRiskManagementApproach
1.2InformationSecurityRiskEvaluation
andManagement
EvaluationActivities
RiskEvaluationandManagement
1.3AnApproachtoInformationSecurity
RiskEvaluations
OCTAVEApproach
InformationSecurityRisk
ThreePhases
OCTAVEVariations
CommonElements

Chapter2PrinciplesandAttributesofInformationSecurityRiskEvaluations
2.1Introduction
2.2InformationSecurityRiskManagementPrinciples
2.2.1InformationSecurityRiskEvaluationPrinciples
2.2.2RiskManagementPrinciples
2.2.3OrganizationalandCulturalPrinciples
2.3InformationSecurityRiskEvaluationAttributes
2.4InformationSecurityRiskEvaluationOutputs
2.4.1Phase1:BufidAsset-BasedThreatProfiles
2.4.2Phase2:IdentifyInfrastructureVulnerabilities
2.4.3Phase3:DevelopSecurityStrategyandPlans

PartIITheOCTAVEMethod
Chapter3introductiontotheOCTAVEMethod
3.1OverviewoftheOCTAVEMethod
3.1.1Preparation
3.1.2Phase1:BuildAsset-BasedThreatProfiles
3.1.3Phase2:IdentifyInfrastructureVulnerabilities
3.1.4Phase3:DevelopSecurityStrategyandPlans
3.2MappingAttributesandOutputstotheOCTAVEMethod
3.2.1AttributesandtheOCTAVEMethod
3.2.2OutputsandtheOCTAVEMethod
3.3IntroductiontotheSampleScenario

Chapter4PreparingforOCTAVE
4.1OverviewofPreparation
4.2ObtainSeniorManagementSponsorship
ofOCTAVE
4.3SelectAnalysisTeamMembers
4.4SelectOperationalAreastoParticipateinOCTAVE
4.5SelectParticipants
4.6CoordinateLogistics
4.7SampleScenario

Chapter5IdentifyingOrganizationalKnowledge(Processes1to3)
5.1OverviewofProcesses1to3
5.2IdentifyAssetsandRelativePriorities
5.3IdentifyAreasofConcern
5.4IdentifySecurityRequirementsforMostImportantAssets
5.5CaptureKnowledgeofCurrentSecurityPracticesandOrganizationalVulnerabilities

Chapter6CreatingThreatProfiles(Process4)
6.1OverviewofProcess4
6.2BeforetheWorkshop:ConsolidateInformationfromProcesses1to3
6.3SelectCriticalAssets
6.4RefineSecurityRequirementsforCriticalAssets
6.5IdentifyThreatstoCriticalAssets

Chapter7IdentifyingKeyComponents(Process5)
7.1OverviewofProcess5
7.2IdentifyKeyClassesofComponents
7.3IdentifyInfrastructureComponentstoExamine

Chapter8EvaluatingSelectedComponents(Process6)
8.1OverviewofProcess6
8.2BeforetheWorkshop:RunVulnerabilityEvaluationToolsonSelectedInfrastructureComponents
8.3ReviewTechnologyVulnerabilitiesandSummarizeResults

Chapter9ConductingtheRiskAnalysis(Process7)
9.1OverviewofProcess7
9.2IdentifytheImpactofThreatstoCriticalAssets
9.3CreateRiskEvaluationCriteria
9.4EvaluatetheImpactofThreatstoCriticalAssets
9.5incorporatingProbabilityintotheRiskAnalysis
9.5.1WhatIsProbability?
9.5.2ProbabilityintheOCTAVEMethod

Chapter10DevelopingaProtectionStrategy--WorkshopA(Process8A)
10.1OverviewofProcess8A
10.2BeforetheWorkshop:Consolidate
InformationfromProcesses1to3
10.3ReviewRiskInformation
10.4CreateProtectionStrategy
10.5CreateRiskMitigationPlans
10.6CreateActionList
10.7IncorporatingProbabilityintoRiskMitigation

Chapter11DevelopingaProtectionStrategy--WorkshopB(Process8B)
11.1OverviewofProcess8B
11.2BeforetheWorkshop:PreparetoMeetwithSeniorManagement
11.3PresentRiskInformation
11.4ReviewandRefineProtectionStrategy,MitigationPlans,andActionList
11.5CreateNextSteps
11.6SummaryofPartII

PartIIIVariationsontheOCTAVEApproach
Chapter12AnIntroductiontoTailoringOCTAVE
12.1TheRangeofPossibilities
12.2TailoringtheOCTAVEMethodtoYourOrganization
12.2.1TailoringtheEvaluation
12,2.2TailoringArt/facts

Chapter13PracticalApplications
13.1Introduction
13.2TheSmallOrganization
13.2.1CompanyS
13.2.2ImplementingOCTAVEinSmallOrganizations
13.3VeryLarge,DispersedOrganizations
13.4IntegratedWebPortalServiceProviders
13.5LargeandSmallOrganizations
13.6OtherConsiderations

Chapter14InformationSecurityRiskManagement
14.1Introduction
14.2AFrameworkforManagingInformationSecurityRisks
14:2.1Identify
14.2.2Analyze
14.2.3Plan
14.2.4Implement
14.2.5Monitor
14.2.6Control
14.3ImplementingInformationSecurityRiskManagement
14.4Summary
Glossary
Bibliography

AppendixACaseScenariofortheOCTAVEMethod
A.1MedSiteOCTAVEFinalReport:Introduction
A.2ProtectionStrategyforMedSite
A.2.1Near-TermActionItems
A.3RisksandMitigationPlansforCriticalAssets
A.3.1PaperMedicalRecords
A.3,2PersonalComputers
A.3.3PIDS
A.3.4ABCSystems
A.3.5ECDS
A.4TechnologyVulnerabilityEvaluationResults
andRecommendedActions
A.5AdditionalInformation
A.5.1RiskImpactEvaluationCriteria
A.5.20therAssets
A.5.3ConsolidatedSurveyResults
AppendixBWorksheets
B.1KnowledgeElicitationWorksheets
B.1.1AssetWorksheet
B.1.2AreasofConcernWorksheet
B.1.3SecurityRequirementsWorksheet
B.1.4PracticeSurveys
B.1.5ProtectionStrategyWorksheet
B.2AssetProfileWorksheets
B.2.1CriticalAssetInformation
B.2.2SecurityRequirements
B.2.3ThreatProNeforCriticalAsset
B.2.4System(s)ofInterest
B.2.5KeyClassesofComponents
B.2.6InfrastructureComponentstoExamine
B.2.7SummarizeTechnologyVulnerabilities
B.2.8RecordActionItems
B.2.9RiskImpactDescriptions
B.2.10RiskEvaluationCriteriaWorksheet
B.2.11RiskProfileWorksheet
B.2.12RiskMitigationPlans
B.3StrategiesandActions
B.3.1CurrentSecurityPracticesWorksheets
B.3.2ProtectionStrategyWorksheets
B.3.3ActionListWorksheet
AppendixCCatalogofPractices
AbouttheAuthors
Index

第I部分引言
第1章信息安全管理
1.1信息安全
1.2信息安全风险评估和管理
1.3一种信息安全风险评估的方法
第2章信息安全风险评估的原则和属性
2.1简介
2.2信息安全风险管理原则
2.3信息安全风险评估的属性
2.4信息安全风险评估的输出,

第II部分OCTAVE方法
第3章OCTAVEMethod简介
3.1OCTAVE方法简介
3.2把属性和输出映射到OCTAVEMethod
3.3情节实例简介
第4章为OCTAVE做准备
4.1准备概述
4.2争取高层管理部门支持OCTAVE
4.3挑选分析团队成员
4.4选择OCTAVE涉及的业务区域
4.5选择参与者
4.6协调后勤工作
4.7情节实例
第5章标识组织的知识
5.1过程1到3概述
5.2标识资源及其相对优先级
5.3标识涉及区域
5.4标识最重要的资源的安全需求
5.5获取当前的安全实践和组织弱点的知识
第6章建立威胁配置文件
6.1过程4概述
6.2讨论会之前：整理从过程1到3中收集的信息
6.3选择关键资源
6.4提炼关键资源的安全需求
6.5标识对关键资源的威胁
第7章标识关键组件
7.1过程5概述
7.2标识组件的关键种类
7.3标识要研究的基础结构组件
第8章评估选定的组件
8.1过程6概述
8.2讨论会之前：对基础结构组件运行弱点评估工具
8.3技术弱点评估及结果总结
第9章执行风险分析
9.1过程7简介
9.2标识关键资源的威胁所产生的影响
9.3建立风险评估标准
9.4评估关键资源的威胁产生的影响
9.5应用概率于风险分析
第10章开发保护策略--讨论会A
10.1过程8A简介
10.2讨论会之前：整理从过程1到3中收集的信息
10.3评审风险信息
10.4制定保护策略
10.5建立风险缓和计划
10.6制定行动列表
10.7在风险缓和中应用概率
第11章开发保护策略--讨论会B
11.1过程8B简介
11.2讨论会之前：准备与高层管理部门会面
11.3介绍风险信息
11.4评审并提炼保护策略.缓和计划和行动列表
11.5确定后续步骤
11.6第Ⅱ部分总结

第III部分OCTAVE方法的变体
第12章剪裁OCTAVE方法简介
12.1可能性范围
12.2为组织剪裁OCTAVE方法
第13章实际应用
13.1引言
13.2小型组织
13.3超大型的.分散的组织
13.4综合的Web入口服务提供商
13.5大型组织和小型组织
13.6其他需要考虑的问题
第14章信息安全风险管理
14.1引言
14.2信息安全风险管理的框架
14.3实施信息安全风险管理
14.4总结
术语表

附录
附录AOCTAVE方法的实例情节
A.1MedSite的OCTAVE最终报告：引言
A.2为MedSite制定的保护策略
A.3对关键资源的风险和缓和计划
A.4技术弱点评估结果及建议的行动
A.5补充信息
附录B工作表
B.1问题征集工作表
B.2资源配置文件工作表
B.3策略和行动
附录C实践目录