《信息系统风险管理》首先介绍了信息系统的相关概念及体系结构，以信息系统风险管理与控制的相关理论作为基础，分析了信息系统的风险及其分布，从信息系统的项目建设过程以及信息系统资源使用过程等方面，对信息系统的风险管理与控制进行了深入的研究。最后结合一个电子政务案例，讨论了信息系统风险管理与控制的具体套用。

《信息系统风险管理》结构合理，层次清晰，所涵盖的信息系统内容体系完整。《信息系统风险管理》既可作为信息安全、计算机科学与技术、电子商务、管理科学工程、信息系统与管理、会计（审计）学等专业高年级本科生和研究生教学以及信息化工程技术人员的培训教材，也可作为信息安全公司、IT安全谘询顾问、企事业单位高管以及信息管理中心、信息系统审计师以及信息系统工程监理等方面人士的参考用书。

第1章信息系统概述

1.1信息和信息系统

1.1.1信息的概念及特徵

1.1.2信息系统的概念及基本特徵

1.2信息系统的软硬体构成

1.2.1信息系统的硬体

1.2.2信息系统的软体

1.3信息系统的网路基础平台

1.3.1典型的网路结构

1.3.2企业组网方式

1.3.3信息系统的套用模式

1.4信息系统的安全

1.4.1信息系统安全的概念

1.4.2信息系统的实体安全

1.4.3信息系统的运行安全

1.4.4信息系统的信息安全

1.5信息系统的组织结构和职责

1.5.1组织结构和职责

1.5.2信息系统对组织结构的影响

1.6信息系统的体系结构

1.6.1体系结构的概念

1.6.2信息系统体系结构

第2章信息系统风险管理与控制的基本理论和方法

2.1风险管理的研究现状

2.1.1关于标準的研究现状

2.1.2关于方法的研究现状

2.1.3关于风险管理工具的研究现状

2.2风险管理与控制内涵

2.2.1风险管理与控制的含义

2.2.2影响风险管理与控制的因素

2.2.3风险管理与控制的意义

2.3几个典型的信息系统风险管理与控制理论

2.3.1内部控制理论

2.3.2BS7799

2.3.3COBIT

2.3.4ISO13335

2.3.5GB/T20984—2007

2.3.6可靠性理论

2.4信息系统风险管理与控制的内容与原则

2.4.1信息系统风险管理与控制的内容

2.4.2信息系统风险管理中的角色和责任

2.4.3信息系统风险管理与控制的原则

2.5信息系统风险管理与控制的常用方法

2.5.1信息系统风险管理与控制的一般过程

2.5.2内部控制自我评价

2.5.3信息系统的风险识别

2.5.4信息系统的风险评估

2.5.5信息系统的风险控制

第3章信息系统的风险及其分布

3.1风险的内涵与外延

3.1.1风险的概念

3.1.2风险的特徵

3.1.3风险的分类

3.2信息系统风险的内涵与外延

3.2.1信息系统风险的概念

3.2.2与信息系统风险相关的几个要素

3.3信息系统的威胁和脆弱性

3.3.1信息系统的威胁

3.3.2信息系统的脆弱性

3.4信息系统的不确定性

3.4.1不确定性的含义

3.4.2信息系统的不确定性因素分析

3.5信息系统项目建设的风险分布

3.5.1信息系统项目建设的生命周期

3.5.2信息系统项目建设的风险分布

3.6信息系统资源使用中的风险分布

3.6.1信息系统资源类型

3.6.2信息系统资源使用中的风险分布

第4章信息系统项目的风险管理与控制

4.1信息系统项目建设的内涵

4.1.1项目的含义及特徵

4.1.2工程项目的含义及特徵

4.1.3信息系统项目建设的含义及特徵

4.2信息系统项目建设的风险概述

4.2.1信息系统项目的不确定性

4.2.2信息系统项目风险的分类

4.2.3信息系统项目风险的特徵

4.3来自项目建设监理方的风险

4.3.1信息系统工程监理基础

4.3.2信息系统工程监理与建筑工程监理

4.3.3信息系统工程监理产生的风险

4.4项目建设中的风险管理

4.4.1项目管理与项目风险管理

4.4.2项目建设中常见的风险源

4.4.3项目建设中的关键风险点

4.4.4项目建设风险管理的内容

4.4.5项目建设风险管理的流程

4.5信息系统项目建设中的内部控制

4.5.1决策控制

4.5.2设计与概预算控制

4.5.3招投标与契约控制

4.5.4实施过程的控制

4.5.5竣工验收与决算控制

4.5.6交付后的风险控制

4.6信息系统项目建设风险的第三方控制

4.6.1对第三方自身风险的控制

4.6.2项目建设风险第三方控制的常用手段

4.6.3第三方对招投标阶段的质量控制

4.6.4第三方对设计阶段的质量控制

4.6.5第三方对实施阶段的质量控制

4.6.6第三方对验收阶段的质量控制

第5章信息系统资源的风险管理与控制

5.1信息系统资源的风险源

5.1.1信息资产概念

5.1.2信息资产的风险源

5.2技术控制

5.2.1对弱口令的控制

5.2.2对内外网数据交换安全的控制

5.2.3对远程数据传输的安全控制

5.2.4统一威胁管理技术的套用

5.2.5防信息泄露技术的套用

5.2.6指纹识别技术的套用

5.2.7PKI技术的套用

5.2.8入侵检测技术的套用

5.2.9病毒防护技术的套用

5.2.10数据备份与容灾技术的套用

5.3管理控制

5.3.1管理控制的常用手段

5.3.2套用案例

5.4环境运行控制

5.4.1环境运行控制的常用手段

5.4.2套用案例

5.5人员控制

5.5.1人员控制的常用手段

5.5.2套用案例

第6章信息系统风险管理与控制套用

6.1项目背景

6.2现状分析

6.2.1软硬体现状

6.2.2信息系统资源状况

6.2.3信息化套用水平

6.2.4人员状况

6.3税务信息系统的安全保护範围及目标

6.3.1安全特性分析

6.3.2安全保护範围

6.3.3安全目标

6.4税务信息系统的风险分析

6.4.1潜在的攻击者

6.4.2技术层面的风险

6.4.3管理与操作风险

6.5税务信息系统的风险识别

6.5.1风险发生的可能性

6.5.2攻击载体与攻击工具

6.6税务信息系统的风险评估

6.6.1风险评估的形式

6.6.2风险评估的组织

6.6.3风险评估的内容

6.7风险管理与控制实施

6.7.1主要原则

6.7.2风险管理与控制的措施

主要参考文献