本书是《信息安全风险评估方法与应用》的配套教材，主要介绍了信息安全风险评估的基本概念、原理、流程和方法，给出了依据国家标准《信息安全风险评估规范》进行的两个评估案例。为方便读者熟悉与掌握风险评估的流程，本书提供了操作演示光盘。同时，在附录部分为《信息安全风险评估方法与应用》（已由清华大学出版社出版）的各章节配了一套练习题并提供了答案。

本书可作为信息安全风险评估专业的培训教程，也可供从事相关专业的教学或工程技术人员参考。

本书分为信息安全风险评估流程和信息安全风险评估案例两大部分。第1章介绍了信息安全风险评估的实施流程，并在该章后附有练习题。为便于读者对风险评估实施流程有一个更加直观的理解，随书附上信息安全风险评估实施流程演示系统的光盘，结合第1章的内容，详细阐述了评估实施各阶段的工作目标、内容和方式等。在第2、3章分别介绍了两个具体的风险评估实施案例，便于读者理解在实践工作中如何运用风险评估的原理、方法和规范。第4章给出演示系统的操作说明。在附录A部分为《信息安全风险评估方法与应用》（已由清华大学出版社出版）一书的各章节配了一套练习题并附有答案。

第1章 信息安全风险评估实施流程1

1.1风险评估的准备1

1.2资产识别4

1.3威胁识别7

1.4脆弱性识别10

1.5已有安全措施确认12

1.6风险分析13

1.7风险评估文件记录15

1.8练习题及答案16

第2章 某OA系统信息安全风险评估方案21

2.1风险评估概述21

2.2OA系统概况22

2.3资产识别24

2.4威胁识别31

2.5脆弱性识别33

2.6风险分析36

第3章 业务系统信息安全风险评估方案45

3.1风险评估概述45

3.2该业务系统概况46

3.3资产识别48

3.4威胁识别53

3.5脆弱性识别553.6风险分析57

第4章 信息安全风险评估流程演示系统操作说明66

4.1软件简介66

4.2风险评估准备68

4.3资产识别过程71

4.4威胁识别过程76

4.5脆弱性识别过程79

4.6已有安全措施确认82

4.7风险分析83

4.8风险评估文件记录93

附录A《信息安全风险评估方法与应用》所配的练习题及答案94

参考文献127