《信息安全风险评估》是2007年4月清华大学出版社出版的图书，作者是吴亚非、李新友、禄凯。本书主要介绍了进行信息安全风险评估、风险管理、ISMS（ISO/IEC27001）认证等内容。

本书主要面向国家和地方政府部门、大型企事业单位的信息安全管理人员，以及信息安全专业人员，可作为培训教材和参考书使用。

信息安全风险评估理论研究日趋成熟，相关资料比较充分，但有关评估实际工作的参考资料很少。本书以信息安全风险评估实践为基础，围绕评估工作中各阶段的实际操作，分基本知识、技术与方法、产品与工具、案例四个部分，详细介绍了信息安全风险评估的基本概念、国家政策及标准发展、评估实操方法、各种实际评估表格示例、评估分析模型和计算公式、主要的评估工具，并从不同行业和不同评估目的出发，列举了多个评估案例，供读者参考。

第一部分　基本知识

第1章　引论

1.1　信息与信息安全

1.2　信息安全技术与信息安全管理

1.3　信息安全风险评估

1.4　开展信息安全风险评估工作的意义

1.5　我国信息安全风险评估推进过程

第2章　主要内容

2.1　信息安全风险评估的内涵

2.2　信息安全风险评估的两种方式

2.3　信息安全风险评估的五个环节

2.4　信息安全风险评估的组织管理工作

第二部分　技术与方法

第3章　评估工作概述

3.1　工作原则

3.2　参考流程

3.3　质量管理

3.4　质量控制规范要求

第4章　评估准备

4.1　评估目的

4.2　评估范围及描述

4.3　建立评估团队

4.4　前期系统调研

4.5　确定评估标准

4.6　条件准备

4.7　项目启动及培训

第5章　资产识别

5.1　工作内容

5.2　参与人员

5.3　工作方式

5.4　工具及资料

5.5　输出结果

第6章　威胁识别

6.1　工作内容

6.2　参与人员

6.3　工作方式

6.4　工具及资料

6.5　输出结果

第7章　脆弱性识别

7.1　工作内容

7.2　参与人员

7.3　工作方式

7.4　工具及资料

7.5　输出结果

第8章　安全措施识别与确认

8.1　工作内容

8.2　参与人员

8.3　工作方式

8.4　工具及资料

8.5　输出结果

第9章　风险分析阶段

9.1　风险分析模型

9.2　风险分析

9.3　工具及资料

9.4　输出结果

第10章　有关技术标准

10.1　BS 7799/ISO 17799

10.2　ISO/IEC TR 13335

10.3　OCTAVE 2.0

10.4　ISO 15408/GB 18336/CC

10.5　等级保护

10.6　涉秘信息系统分级保护技术要求

第三部分　产品与工具

第11章　风险评估管理工具

11.1　天融信信息安全管理系统

11.2　启明星辰风险评估管理系统

11.3　联想网御风险评估辅助工具

第12章　漏洞扫描分析工具

12.1　极光远程安全评估系统

12.2　天镜脆弱性扫描与管理系统

12.3　ISS安全漏洞扫描系统

第13章　入侵检测工具

13.1　概述

13.2　冰之眼网络入侵检测系统

13.3　天阗入侵检测系统

第14章　案例一：某国税安全评估项目

14.1　项目概述

14.2　项目阶段

14.3　交付的文档及报告

14.4　项目时间表

14.5　安全评估具体实施内容

14.6　附录

第15章　案例二：某电信公司信息安全风险评估项目

15.1　项目概述

15.2　风险评估方案实施

15.3　安全信息库的建设

15.4　项目验收

15.5　评估工具

第16章　案例三：某公司网络风险评估项目

16.1　项目概述

16.2　项目指导策略

16.3　风险评估方法

16.4　项目实施