《信息安全度量 用来测量安全性和保护数据的一种有效框架=GT SECURITY METRICS A PRACTICAL FRAMEWORK FOR MEASURING SECURITY & PROT》求取 ⇩

第一部分安全度量介绍3

第一章什么是信息安全度量？3

度量和测量4

度量是结果4

测量是行为5

安全度量的现况6

风险7

安全漏洞和事故统计11

年预期亏损12

投资回报率14

总体拥有成本15

安全度量标准现状并不令人满意：从其他行业吸取的教训16

保险业16

制造业17

设计行业18

重新评估我们关于安全度量标准的看法19

地域思考19

分析性的思考19

超前思考20

总结20

扩展阅读21

第二章设计有效的安全度量22

选择好的度量指标体系22

定义度量指标和测量23

没有好坏之分，思想使然24

你想知道什么？27

观察！30

GQM——更好的安全度量31

什么是GQM？31

提出问题36

分配度量36

把以上这些都放在一起38

度量目录38

GQM更多安全性的用途40

测量安全运营40

测量符合法规或标准41

测量人文42

将GQM应用到你自己的安全测量中43

总结44

扩展阅读45

第三章了解数据46

数据是什么？46

数据的定义47

数据类型48

安全度量的数据源56

系统数据56

过程数据57

文件数据57

人群数据58

我们有度量和数据——然后呢？59

总结59

扩展阅读60

案例研究1探究企业度量61

场景1：我们的新漏洞管理计划63

场景2：首当其冲是谁？64

场景3：幻灯片的价值66

场景4：监控程序68

场景5：代价是什么，真相是什么？70

总结72

第二部分安全度量的实施75

第四章安全过程管理框架75

安全管理业务流程75

定义业务流程76

安全流程77

过程管理的历史77

SPM框架81

安全度量81

安全度量项目82

安全改进计划83

安全过程管理84

开始使用SPM之前85

获得支持：森林在哪儿？86

安全研究项目90

总结91

扩展阅读92

第五章分析安全度量数据93

最重要的一步93

进行分析的理由94

你要完成的任务是什么？96

准备数据分析97

分析工具和技术101

描述性统计102

推理性统计109

其他统计技术112

定性和混合方法分析116

总结123

扩展阅读124

第六章设计安全测量项目125

项目开始前125

项目的先决条件126

确定项目类型127

项目捆绑128

获得支持和资源129

第一阶段：建立项目计划和组织团队132

项目计划132

项目团队133

第二阶段：收集度量数据134

收集度量数据134

存储和保护度量数据135

第三阶段：分析度量数据并得出结论136

第四阶段：展示成果137

文本演示138

图像演示138

发布结论139

第五阶段：成果复用139

项目管理工具140

总结140

扩展阅读141

案例研究2安全态势评估（SPA）中的标准化工具资料142

背景知识：SPA服务的概述142

SPA工具144

数据结构145

案例的目标146

方法论146

挑战146

总结159

第三部分探索安全度量项目163

第七章测量安全操作163

安全性操作的度量样本163

安全性操作的测量项目样本165

SMP：综合风险评估165

SMP：内部漏洞评估172

SMP：推论分析176

总结181

扩展阅读181

第八章测量合规性和一致性182

测量合规性的挑战182

相关标准的混淆182

审计还是测量？183

多重框架的混淆184

合规性及一致性测量项目的样例186

建立一个精简的通用控制框架186

合规性框架的映射评估191

分析安全政策文档的可读性194

总结198

扩展阅读199

第九章测量安全成本与价值200

合规性及一致性测量项目的样例200

测量上报的个人身份信息披露的可能性200

测量外包安全事件监控流程的成本效益204

测量安全过程的成本210

度量成本和价值中数据的重要性216

总结216

扩展阅读217

第十章测量人员、组织和文化218

人员、组织和文化的测量项目案例219

测量公司权益相关人的安全定位219

物理安全实践的民族志研究224

总结229

扩展阅读230

案例研究3网络应用的漏洞231

源数据和规范化232

结果、时间表、资源232

对“脏数据”的最初报告233

模糊的数据233

决定使用哪些信息234

和权益相关人一起实施数据清理236

同权益相关人以报告和讨论的方式跟进237

吸取教训：修补过程之后自动化237

经验教训：不要在报告前等待完美的数据240

总结241

第四部分在安全度量之外245

第十一章安全改善方案245

从项目到方案245

使用安全改善方案管理安全测量246

安全测量的治理247

SIP：仍然和数据有关248

对SIP的要求250

开始前的准备250

SMP项目的存档基础253

分享安全测量结果254

长期开展跨项目合作255

测量SIP256

安全改善是习惯养成的过程256

SIP有效吗？257

安全性提高了吗？257

案例：作用于内部威胁测量的SIP258

总结261

扩展阅读262

第十二章安全性的学习方式：安全过程管理的不同内容263

组织的学习263

IT安全度量的三种学习方式264

标准化测试：ISO/IEC 27004测量264

生活课堂：Basili的经验工厂266

专注：Karl Weick和高可靠性组织267

最终想法268

总结269

扩展阅读269

案例研究4为安全度量项目提供管理支持270

CISO攻击了我的电脑271

什么是支持？271

公司与大学：谁更疯狂？272

大学个案研究273

项目概览273

主题274

发现278

要点281

影响力与组织变革281

总结284