信息系統風險管理

《信息系統風險管理》首先介紹了信息系統的相關概念及體系結構，以信息系統風險管理與控制的相關理論作為基礎，分析了信息系統的風險及其分布，從信息系統的項目建設過程以及信息系統資源使用過程等方面，對信息系統的風險管理與控制進行了深入的研究。最後結合一個電子政務案例，討論了信息系統風險管理與控制的具體套用。

《信息系統風險管理》結構合理，層次清晰，所涵蓋的信息系統內容體系完整。《信息系統風險管理》既可作為信息安全、計算機科學與技術、電子商務、管理科學工程、信息系統與管理、會計（審計）學等專業高年級本科生和研究生教學以及信息化工程技術人員的培訓教材，也可作為信息安全公司、IT安全諮詢顧問、企事業單位高管以及信息管理中心、信息系統審計師以及信息系統工程監理等方面人士的參考用書。

第1章信息系統概述

1.1信息和信息系統

1.1.1信息的概念及特徵

1.1.2信息系統的概念及基本特徵

1.2信息系統的軟硬體構成

1.2.1信息系統的硬體

1.2.2信息系統的軟體

1.3信息系統的網路基礎平台

1.3.1典型的網路結構

1.3.2企業組網方式

1.3.3信息系統的套用模式

1.4信息系統的安全

1.4.1信息系統安全的概念

1.4.2信息系統的實體安全

1.4.3信息系統的運行安全

1.4.4信息系統的信息安全

1.5信息系統的組織結構和職責

1.5.1組織結構和職責

1.5.2信息系統對組織結構的影響

1.6信息系統的體系結構

1.6.1體系結構的概念

1.6.2信息系統體系結構

第2章信息系統風險管理與控制的基本理論和方法

2.1風險管理的研究現狀

2.1.1關於標準的研究現狀

2.1.2關於方法的研究現狀

2.1.3關於風險管理工具的研究現狀

2.2風險管理與控制內涵

2.2.1風險管理與控制的含義

2.2.2影響風險管理與控制的因素

2.2.3風險管理與控制的意義

2.3幾個典型的信息系統風險管理與控制理論

2.3.1內部控制理論

2.3.2BS7799

2.3.3COBIT

2.3.4ISO13335

2.3.5GB/T20984—2007

2.3.6可靠性理論

2.4信息系統風險管理與控制的內容與原則

2.4.1信息系統風險管理與控制的內容

2.4.2信息系統風險管理中的角色和責任

2.4.3信息系統風險管理與控制的原則

2.5信息系統風險管理與控制的常用方法

2.5.1信息系統風險管理與控制的一般過程

2.5.2內部控制自我評價

2.5.3信息系統的風險識別

2.5.4信息系統的風險評估

2.5.5信息系統的風險控制

第3章信息系統的風險及其分布

3.1風險的內涵與外延

3.1.1風險的概念

3.1.2風險的特徵

3.1.3風險的分類

3.2信息系統風險的內涵與外延

3.2.1信息系統風險的概念

3.2.2與信息系統風險相關的幾個要素

3.3信息系統的威脅和脆弱性

3.3.1信息系統的威脅

3.3.2信息系統的脆弱性

3.4信息系統的不確定性

3.4.1不確定性的含義

3.4.2信息系統的不確定性因素分析

3.5信息系統項目建設的風險分布

3.5.1信息系統項目建設的生命周期

3.5.2信息系統項目建設的風險分布

3.6信息系統資源使用中的風險分布

3.6.1信息系統資源類型

3.6.2信息系統資源使用中的風險分布

第4章信息系統項目的風險管理與控制

4.1信息系統項目建設的內涵

4.1.1項目的含義及特徵

4.1.2工程項目的含義及特徵

4.1.3信息系統項目建設的含義及特徵

4.2信息系統項目建設的風險概述

4.2.1信息系統項目的不確定性

4.2.2信息系統項目風險的分類

4.2.3信息系統項目風險的特徵

4.3來自項目建設監理方的風險

4.3.1信息系統工程監理基礎

4.3.2信息系統工程監理與建築工程監理

4.3.3信息系統工程監理產生的風險

4.4項目建設中的風險管理

4.4.1項目管理與項目風險管理

4.4.2項目建設中常見的風險源

4.4.3項目建設中的關鍵風險點

4.4.4項目建設風險管理的內容

4.4.5項目建設風險管理的流程

4.5信息系統項目建設中的內部控制

4.5.1決策控制

4.5.2設計與概預算控制

4.5.3招投標與契約控制

4.5.4實施過程的控制

4.5.5竣工驗收與決算控制

4.5.6交付後的風險控制

4.6信息系統項目建設風險的第三方控制

4.6.1對第三方自身風險的控制

4.6.2項目建設風險第三方控制的常用手段

4.6.3第三方對招投標階段的質量控制

4.6.4第三方對設計階段的質量控制

4.6.5第三方對實施階段的質量控制

4.6.6第三方對驗收階段的質量控制

第5章信息系統資源的風險管理與控制

5.1信息系統資源的風險源

5.1.1信息資產概念

5.1.2信息資產的風險源

5.2技術控制

5.2.1對弱口令的控制

5.2.2對內外網數據交換安全的控制

5.2.3對遠程數據傳輸的安全控制

5.2.4統一威脅管理技術的套用

5.2.5防信息泄露技術的套用

5.2.6指紋識別技術的套用

5.2.7PKI技術的套用

5.2.8入侵檢測技術的套用

5.2.9病毒防護技術的套用

5.2.10數據備份與容災技術的套用

5.3管理控制

5.3.1管理控制的常用手段

5.3.2套用案例

5.4環境運行控制

5.4.1環境運行控制的常用手段

5.4.2套用案例

5.5人員控制

5.5.1人員控制的常用手段

5.5.2套用案例

第6章信息系統風險管理與控制套用

6.1項目背景

6.2現狀分析

6.2.1軟硬體現狀

6.2.2信息系統資源狀況

6.2.3信息化套用水平

6.2.4人員狀況

6.3稅務信息系統的安全保護範圍及目標

6.3.1安全特性分析

6.3.2安全保護範圍

6.3.3安全目標

6.4稅務信息系統的風險分析

6.4.1潛在的攻擊者

6.4.2技術層面的風險

6.4.3管理與操作風險

6.5稅務信息系統的風險識別

6.5.1風險發生的可能性

6.5.2攻擊載體與攻擊工具

6.6稅務信息系統的風險評估

6.6.1風險評估的形式

6.6.2風險評估的組織

6.6.3風險評估的內容

6.7風險管理與控制實施

6.7.1主要原則

6.7.2風險管理與控制的措施

主要參考文獻