导语

  

    达瑞尔·吉布森著的《信息系统中的风险管理(第2版)》为信息系统中的风险管理提供了一个广泛而综合的视角，既涵盖了风险和风险管理的基本原理，又包括了更为广泛的风险管理问题细节。
    本书表达风格实用通俗，通过文字描述将信息安全概念和程序的相关案例清晰地呈现给读者。文中图表既能清晰简洁地表达内容，又丰富了内容的展现形式。每章小结为读者提供了内容要点，有助于读者了解相关概念的重要性。

内容提要

  

    信息系统所面临的风险和挑战业已成为任何国家、组织和个人都无法回避的重大问题。达瑞尔·吉布森著的《信息系统中的风险管理(第2版)》则从综合、系统的视角探讨了信息系统中的风险管理问题，其中既包含了风险和风险管理的基本原理，又涉及了风险管理中各项子问题的细节，主要包括以下三个部分：风险管理业务的挑战；风险缓解；风险缓解计划。本书是信息系统、风险管理、信息安全等多学科领域的交叉融合之作，具有其独到的特色。它既可以作为信息安全、计算机科学与技术、管理科学与工程、信息系统管理、电子商务等专业本科和研究生教学使用，也可以作为信息系统建设与管理的工程技术人员、监管人员及管理者的参考用书。

第一部分  风险管理业务的挑战
  第1章  风险管理基础
    1.1 什么是风险
    1.2 信息技术基础设施风险的主要组成
    1.3 风险管理及其对组织机构的影响
    1.4 风险识别技术
    1.5 风险管理技术
    本章小结
  第2章  风险管理：威胁、漏洞及攻击
    2.1 对威胁的认识与管理
    2.2 对漏洞的认识与管理
    2.3 对漏洞攻击的认识与管理
    2.4 美国联邦政府的信息系统风险管理实践
    本章小结
  第3章  合规性的依据
    3.1 美国合规性法规
    3.2 合规性的管理机构
    3.3 合规性的组织机构政策
    3.4 合规性的标准与指南
    本章小结
  第4章  风险管理计划的制定
    4.1 风险管理计划的目标
    4.2 风险管理计划的范围
    4.3 风险管理计划中的职责分配
    4.4 风险管理计划中系统实现步骤与进度的描述
    4.5 需求报告
    4.6 行动和里程碑计划
    4.7 风险管理计划进展的图形表达
    本章小结
第二部分  风险缓解
  第5章  风险评估方法的概念
    5.1 对风险评估的认识
    5.2 风险评估的关键步骤
    5.3 风险评估的类型
    5.4 风险评估的挑战
    5.5 风险评估的最佳做法
    本章小结
  第6章  风险评估的实施
    6.1 风险评估方法的选择
    6.2 管理结构的辨识
    6.3 风险评估范围内资产与活动的辨识
    6.4 关联威胁的辨识与评估
    6.5 关联漏洞的辨识与评估
    6.6 应对措施的辨识与评估
    6.7 基于评估需求的方法选择
    6.8 制定风险缓解建议
    6.9 提交风险评估结果
    6.10 实施风险评估的最佳做法
    本章小结
  第7章  受保护资源及活动的辨识
    7.1 系统访问及可用性
    7.2 系统的人工和自动功能
    7.3 硬件资产
    7.4 软件资产
    7.5 人力资源
    7.6 数据及信息资源
    7.7 典型信息技术基础设施七个领域的资产和库存管理
    7.8 维持运营所需设施及供应的辨识
    本章小结
  第8章  威胁、脆弱性及漏洞的辨识与分析
    8.1 威胁评估
    8.2 脆弱性评估
    8.3 漏洞评估
    本章小结
  第9章  风险缓解安全控制的辨识与分析
    9.1 现场控制
    9.2 计划控制
    9.3 控制类别
    9.4 程序控制范例
    9.5 技术控制范例
    9.6 物理控制范例
    9.7 风险缓解安全控制的最佳做法
    本章小结
  第10章  组织机构中的风险缓解计划
    10.1 组织机构中风险缓解的起点
    10.2 组织机构中风险管理的范围
    10.3 合法性及合规性问题对组织机构影响的认识和评估
    10.4 合法性及合规性意义的诠释
    10.5 典型信息技术基础构架七个领域合法性及合规性意义的影响评估
    10.6 安防措施对风险缓解助益的评估
    10.7 对合法性及合规性需求操作意义的认识
    10.8 组织机构中风险缓解及风险降低的要素辨识
    10.9 费用效益分析的实施
    10.10 组织机构中风险缓解计划的最佳做法
    本章小结
  第11章  风险评估向风险缓解计划的转化
    11.1 对信息技术基础设施风险评估的审查
    11.2 风险评估转化为风险缓解计划的实施过程
    11.3 应需缓解的风险要素排序
    11.4 风险要素及其缓解方法的确认
    11.5 已辨识风险要素的费用效益分析
    11.6 风险缓解计划的实施
    11.7 风险缓解计划的跟进
    11.8 风险评估向风险缓解计划转化的最佳做法
    本章小结
第三部分  风险缓解计划
  第12章  基于业务影响分析的风险缓解
    12.1 什么是业务影响分析
    12.2 业务影响分析的范围
    12.3 业务影响分析的目标
    12.4 业务影响分析的步骤
    12.5 确定任务关键型业务功能和流程
    12.6 从业务功能及流程到信息技术系统的映射
    12.7 业务影响分析的最佳做法
    本章小结
  第13章  基于业务持续性计划的风险缓解
    13.1 什么是业务持续性计划
    13.2 业务持续性计划的要素
    13.3 业务持续性计划如何缓解组织机构的风险
    13.4 灾难恢复计划的最佳做法
    本章小结
  第14章  基于灾难恢复计划的风险缓解
    14.1 什么是灾难恢复计划
    14.2 关键成功因素
    14.3 灾难恢复计划的要素
    14.4 灾难恢复计划如何缓解组织机构的风险
    14.5 灾难恢复计划的最佳做法
    本章小结
  第15章  基于计算机事件响应小组计划的风险缓解
    15.1 什么是计算机事件响应小组计划
    15.2 计算机事件响应小组计划的目的
    15.3 计算机事件响应小组计划的要素
    15.4 计算机事件响应小组计划如何缓解组织机构的风险
    15.5 实施计算机事件响应小组计划的最佳做法
   本章小结
附录A 缩写词
附录B 关键术语
参考文献