本書從信息安全風險管理的基本概念入手，介紹了信息安全風險管理相關國際標準和國家標準；介紹了信息安全風險管理的環(huán)境建立，發(fā)展戰(zhàn)略和業(yè)務識別，資產(chǎn)識別，威脅識別，脆弱性識別，已有安全措施識別；還介紹了風險分析，風險評價及風險評估輸出，風險處置，溝通與咨詢、監(jiān)視與評審等內(nèi)容；并給出了信息安全風險管理綜合實例。本書還講解了脆弱性識別中的物理脆弱性識別、網(wǎng)絡脆弱性識別、系統(tǒng)脆弱性識別、應用脆弱性識別、數(shù)據(jù)脆弱性識別和管理脆弱性識別等內(nèi)容。