信息安全管理与风险评估

　　《信息安全管理与风险评估/21世纪高等学校规划教材·信息管理与信息系统》在系统归纳国内外信息安全管理与风险评估的最佳实践以及近年来研究成果的基础上，全面介绍了信息安全管理、信息安全管理体系、信息安全风险评估的基本知识、相关标准和各项内容，全书涵盖了信息安全管理体系建立流程、风险评估实施流程，以及信息系统安全等级保护、云计算安全管理与风险评估、IT治理等内容。
　　《信息安全管理与风险评估/21世纪高等学校规划教材·信息管理与信息系统》既可作为高等院校信息安全专业、信息管理与信息系统专业、管理科学与工程专业及计算机相关专业的本科生和研究生的教材，也可作为从事信息化相关工作的管理人员、信息安全管理人员、网络与信息系统安全管理人员、IT相关人员的参考书。

第一部分 基本知识
第1章 引论
第2章 信息安全管理的主要内容
第3章 信息安全风险评估的主要内容
第4章 IT治理概述
第二部分 信息安全风险评估
第5章 信息安全风险评估实施流程
第6章 信息系统生命周期各阶段的风险评估
第三部分 信息安全管理
第7章 建立信息安全管理系的工作流程
第8章 信息安全管理体系的认证
第9章 信息安全管理控制措施
第10章 信息系统安全等级保护标准体系
第11章 云计算的安全管理与风险评估
附录 信息安全管理与风险评估相关表格（参考示例）
参考文献

　　3．实施阶段
　　本阶段的主要目标是实施组织所选择的控制目标和控制措施，需要做的有以下几点：
　　1）保证安全、提供培训、提高安全意识
　　应该为信息安全管理体系的运行和所有安全控制措施的实施提供充足资源，提供实施所有控制措施的相关文件，并对信息安全管理体系文件进行维护；还应该进行信息安全教育活动，以提高员工安全意识，在组织中产生良好的风险管理和安全的文化；并对员工进行有关信息安全技能与技术的培训，使员工掌握信息安全的实现手段。
　　2）风险处理
　　对于经过评估可接受的风险，不需要进一步的措施。对于经过评估不可接受的风险，可以采取降低风险或风险转移等方法进行风险处理。如果决定转移风险，应该采取签订合同，参加保险的方式．或采取灵活组织结构（如找合作、合资伙伴）等进一步行动。无论哪一种情况，都必须保证风险转移到的组织能理解风险的性质，并且能够有效地管理这些风险。如果组织决定降低风险，就要在ISMS范围内实施已选择的降低风险的措施。实施的这些措施应与在计划活动中准备的风险控制计划相一致。
　　成功实施该计划要求有效的管理体系，管理体系定义了选择的措施目标与控制措施，落实责任和控制的过程，以及监控这些控制的过程。当一个组织决定接受高于可接受水平的风险时，应获得管理层的批准。在不可接受风险被降低或转移之后，还会有残余风险，控制措施应保证残余风险所产生的影响或破坏能及时被识别并适当管理。
　　4．检查阶段
　　本阶段的主要任务是进行有关方针、标准、法律法规与程序的符合性检查，对存在的问题采取措施，予以改进。检查阶段的目的是保证控制措施有效运行。另外，应该考虑风险评估的对象及范围的变化情况，如果发现风险控制措施不够充分，就必须决定采取必要的纠正措施，此类活动的实行应在PDCA循环的行动阶段。但要注意，纠正措施不能滥用，只有在必要时才采用。在下面这两种情况下要采用纠正措施。
　　（1）为了维护信息安全管理体系文件内部的一致性。
　　（2）如果进行改变，会使组织暴露于不可接受的风险之中。
　　检查活动应该对采用的控制措施与实施过程进行描述，内容包括：对风险的不间断评审，在技术、威胁或功能不断变化的情况下，对处理风险的方法和过程的调整。
　　在确定当前安全状态令人满意的同时，应注意技术的变化、业务的需求与新威胁和脆弱点的出现，尽量预测信息安全管理体系将来的变化，并采取有效措施确保其在将来持续有效地运转。
　　……

　　信息化已融入到人类社会的每一个角落，不断推动着社会的进步和发展。然而，无处不在的信息孕育着随时可能发生的风险，信息安全事件时有发生，信息安全问题也成为全社会共同关注的问题，信息系统的安全、管理、风险与控制日益成为突出的问题。信息安全研究所涉及的领域相当广泛，信息安全的建设是一个系统工程，正确的做法是遵循国内外相关信息安全标准与最佳实践，考虑组织对信息安全各个层面的需求，在风险评估的基础上引入合理的控制措施，建立信息安全管理体系以保证信息的安全属性。绝大多数信息安全问题是管理方面的缺陷，因此信息安全管理是十分重要的课题，在解决信息安全问题中占重要地位，其发展对信息安全人才的培养提出了更高的要求。风险评估是信息安全管理体系和信息安全风险管理的基础，是建立信息安全保障体系的必要前提，通过风险评估能够将信息安全活动的重点放在重要的问题上。本书旨在通过本课程的学习，帮助学生了解信息安全管理、信息安全风险评估的基本知识、相关标准，理解信息安全管理体系的建立过程以及风险评估的实施过程，进而在实际工作中得到应用，对组织的具体实践提供理论指导，帮助组织建立合理的信息安全管理体系。
　　本书从信息安全管理、风险评估的概念出发，全面、系统地介绍了信息安全管理体系、信息安全风险评估、信息系统安全等级保护、云计算安全管理与风险评估、IT治理等内容。全书由基本知识、信息安全风险评估、信息安全管理三部分构成，共分为11章。第1章引论，着重介绍了信息安全管理和风险评估相关的基本概念及其发展过程、现状和发展趋势，初步介绍了信息安全管理与风险评估的关系；第2章信息安全管理的主要内容，主要介绍了信息安全管理体系模型、建立信息安全管理体系的基本过程，讨论了国内外信息安全管理相关标准以及主要的信息安全管理工具；第3章信息安全风险评估的主要内容，主要介绍了风险评估模型、实施风险评估的总体流程，讨论了国内外相关标准以及主要的风险评估工具；第4章IT治理概述，主要介绍了IT治理概念和基础内容，围绕国际上公认的IT治理标准，重点讨论了IT治理支持手段；第5章信息安全风险评估实施流程，充分讨论了风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析等实施风险评估的各阶段作业流程和各方面内容，介绍了风险处置计划和风险评估报告的内容；第6章信息系统生命周期各阶段的风险评估，介绍了信息系统生命周期中规划阶段、设计阶段、实施阶段、运维阶段和废弃阶段中风险评估的工作内容；第7章建立信息安全管理体系的工作流程，深入细致地讨论了信息安全管理体系的策划与准备、设计与建立、实施与运行、体系审核、改进与保持等各阶段的工作内容；第8章信息安全管理体系的认证，从信息安全管理体系认证概念出发，介绍了认证的目的、范围、认证机构，及认证过程等内容；第9章信息安全管理控制措施，详细阐述了选择控制措施的方法和过程，围绕国内外较为通用的标准、重点讨论了信息安全管理控制规范；第10章信息系统安全等级保护标准体系，从等级保护基本知识出发，详细讨论了等级保护实施方法和过程，着重分析了等级保护与信息安全管理体系、等级保护与信息安全风险评估的关系；第11章云计算的安全管理与风险评估，介绍了云计算的模式与架构，着重分析了云计算的信息安全问题，重点讨论了云计算风险评估的特点和方式，深入阐述了云计算的风险控制措施。
　　全书结构合理、内容全面、概念清晰、深入浅出，符合教学特点和需求，业务实用性强，紧跟信息安全管理与风险评估研究以及IT应用的发展趋势，融入了最新的创新内容。
　　本书既可作为高等院校信息安全专业、信息管理与信息系统专业、管理科学与工程专业及计算机相关专业的本科生和研究生的教材，也可作为从事信息化相关T作的管理人员、信息安全管理人员、网络与信息系统安全管理人员、IT相关人员的参考书。
　　本书是作者长期从事理论研究和科学实践以及教学经验和成果的归纳总结，作者精心设计安排全书的结构和内容，以适应不同层次和不同专业读者的需求。书中汲取了大量国内外本领域代表文献的精华，参考了大量的国内外有关研究成果，在此，谨向书中提到和参考文献列出的作者表示感谢。作者所指导的学生刘换、宋健豪等参与了编写本书的相关工作，在此一并表示感谢。同时感谢北京信息科技大学信息管理学院的领导、全体教师的大力支持和帮助。最后，衷心感谢清华大学出版社为本书出版付出的辛勤劳动。
　　信息技术在飞速发展，信息安全管理和风险评估也在不断创新和发展，其理念和技术等都在不断地更新。书稿虽经多次修改，但由于作者水平有限，书中难免存在不足和疏漏之处，诚望使用本教材的师生和读者不吝指教。
　　编者
　　2013年4月于北京