第1章 安全与风险管理

1.1 安全基本原则
 1.1.1 可用性
 1.1.2 完整性
 1.1.3 机密性
 1.1.4 平衡安全性
1.2 安全定义
1.3 控制措施类型
1.4 安全框架
 1.4.1 ISO/IEC 27000系列
 1.4.2 安全安全架构建设
 1.4.3 部署安全控制措施
 1.4.4 建立流程管理体系
 1.4.5 功能性与安全性
1.5 反计算机犯罪法律的难题
1.6 网络犯罪的复杂性
 1.6.1 电子资产
 1.6.2 攻击演变
 1.6.3 国际化问题
 1.6.4 法律体系的分级
 1.7 知识产权
 1.7.1 商业秘密
 1.7.2 版权
 1.7.3 商标
 1.7.4 专利
 1.7.5 内部知识产权保护
 1.7.6 软件盗版
1.8 个人隐私保护
 1.8.1 日益增加的隐私法需求
 1.8.2 法律、法规与指引
 1.8.3 员工隐私问题
1.9 数据泄露
 1.9.1 有关数据泄露的美国法律
 1.9.2 其它国家有关数据泄露的法律
 1.10 方针、政策、标准、基线、指南与程序
 1.10.1 安全方针及策略
 1.10.2 标准
 1.10.3 基线
 1.10.4 指南
 1.10.5 程序
 1.10.6 实施
1.11 风险管理
 1.11.1 全面风险管理
 1.11.2 信息系统风险管理策略
 1.11.3 风险管理团队
 1.11.4 风险管理流程
 1.12 威胁建模
 1.12.1 威胁建模概念
 1.12.2 威胁建模方法论
 1.13 风险评估与分析
 1.13.1 风险评估团队
 1.13.2 信息与资产价值
 1.13.3 资产价值的成本要素
 1.13.4 识别脆弱性与威胁
 1.13.5 风险评估方法论
 1.13.6 风险分析方法
 1.13.7 定性风险分析
 1.13.8 保护机制
 1.13.9 总体风险与残余风险的对比
 1.13.10 处理风险
1.14 供应链风险管理
 1.14.1 上下游供应商
 1.14.2 服务水平协议
 1.15 风险管理框架
 1.15.1 信息系统分类
 1.15.2 选择安全控制措施
 1.15.3 实施安全控制措施
 1.15.4 评估安全控制措施
 1.15.5 信息系统授权
 1.15.6 持续监控安全控制措施
 1.16 业务连续性和灾难恢复
 1.16.1 标准与最佳实践
 1.16.2 将业务连续性管理融入企业安全计划
 1.16.3 业务连续性的组件
1.17 人员安全
 1.17.1 聘用安全实践
 1.17.2 入职安全实践
 1.17.3 解聘
 1.17.4 安全意识宣贯培训
 1.17.5 学位或认证
1.18 安全治理
1.19 道德
 1.19.1 计算机道德协会
 1.19.2 Internet 架构委员会
 1.19.3 企业道德计划