内容简介 本书从信息安全风险管理的基本概念入手，以信息安全风险管理标准——ISO/IEC 27005《信息技术—安全技术—信息安全风险管理》为主线，全面介绍了信息安全风险管理相关国际标准和国家标准；详细介绍了信息安全风险管理的环境建立，发展战略和业务识别，资产识别，威胁识别，脆弱性识别，已有安全措施识别；还介绍了风险分析，风险评价及风险评估输出，风险处置，沟通与咨询、监视与评审等内容；并给出了信息安全风险管理综合实例。本书还重点讲解了脆弱性识别中的物理脆弱性识别、网络脆弱性识别、系统脆弱性识别、应用脆弱性识别、数据脆弱性识别和管理脆弱性识别等内容。本书力图通过小案例与综合实例，理论联系实践，使读者了解、掌握和运用信息安全风险管理的理论与实践方法。 本书是信息安全保障人员认证信息安全风险管理方向的培训教材，面向政府部门、企事业单位从事信息安全风险管理或风险评估的专业人员，也适用于信息安全专业人士、大学生或对信息安全风险管理感兴趣的读者使用。 未经许可，不得以任何方式复制或抄袭本书之部分或全部内容。 版权所有，侵权必究。 序言 人类社会进入21世纪以来，互联网信息技术高速发展，信息资源成为新的生产要素，新一轮的信息技术革命和产业变革交融发展，信息经济成为新的经济引擎，互联网信息安全关系国家主权，成为新的国家安全挑战。没有网络安全就没有国家安全，没有信息化就没有现代化。面对纷繁复杂的国际形势、日新月异的技术革新，抓住历史机遇，筑牢国家网络安全屏障，建设网络强国，实现中华民族伟大复兴的中国梦成为网络安全从业者的使命和责任。 网络空间的竞争，归根结底是人才的竞争。2017年6月，《中华人民共和国网络安全法》正式实施，明确要采用多种方式支持和培养网络安全人才。培养网络安全人才已经成为我国网络信息化事业建设的一项战略性、全局性和长期性任务，培养锻造一支技术过硬的网络安全人才队伍是网…