前言

《信息安全风险管理与实践》是信息安全保障人员认证信息安全风险管理方向的学习用书，是CISAW的信息安全知识体系中信息安全风险管理的核心内容。

本书力求从实战需要出发，讨论当前信息安全保障工作中的信息安全风险管理技术。全书共分为13章。

本书第1章和第2章概括介绍信息安全风险管理相关知识准备和背景；第3～12章详细介绍了信息安全风险管理的具体内容，内容编排基本是按照国际标准ISO/IEC 27005：2018《信息技术—安全技术—信息安全风险管理》的架构展开，各章均给出了相应的案例；第13章从整体角度出发，依照信息安全风险管理基本过程，以一个实际项目作为案例，对整个风险管理的实施过程进行讲解。

各章具体内容如下：第1章为概述；第2章简要介绍信息安全风险管理相关标准；第3章讲述环境建立，并扩展讲述了项目管理的基础知识；第4章讲述发展战略和业务识别；第5章讲述资产识别；第6章讲述威胁识别；第7章讲述脆弱性识别；第8章讲述已有安全措施识别；第9章讲述风险分析；第10章讲述风险评价及风险评估输出；第11章讲述风险处置；第12章讲述沟通与咨询、监视与评审；第13章介绍信息安全风险管理综合案例。

本书按照信息安全保障人员认证考试大纲的要求进行编写，适合广大申请认证考试的人员使用；同时，也适合所有从事信息安全风险管理相关的工作人员及期望了解信息安全风险管理相关知识的人员学习和使用。

本书在中国网络安全审查技术与认证中心指导下编写，参编单位：北京红戎信安技术有限公司。参加编写者有（按姓氏笔画排列）：万娟、王洪艳、王媛、尤其、乔建忠、刘珺珺、刘淼、孙世国、何志明、张原、张海莲、郑莹、郑晰元、赵立军、赵倩倩、胡涵清、钮小琳、贾梦妮、曹雅斌、锁延锋，全书由王洪艳统稿。

本书在撰写过程中先后多次聆听相关领域内专家的建议和指导，他们包括中国标准化研究院全国风险管理标准化技术委员会高晓红，中国电子技术标准化研究院信安中心、全国信息安全标准化技术委员会刘贤刚，国家信息中心信息与网络安全部信息安全评估处陈永刚、公安部保密科技测评中心李超，国家信息技术安全研究中心王宏等，在此特向他们及未列出人士表示衷心感谢。

本书的编写参考和引用了国内外同行的大量文献资料，在此向这些文献资料的作者表示衷心感谢。

作者
2021年5月