董红，1984年生，高级工程师，博士，北京航卒航天大学毕业。研究方向：项目风险、决策。现就职于中核集团中国核电工程有限公司，从事项目风险管理、内控等工作。
　　吕俊杰，1979年1月出生，博士，北京工商大学副教授。主要研究方向包括风险管理、决策理论、信息安全风险评估等。2007年毕业于北京航空航天大学，获工学博士学位。2011年美国明尼苏达大学访问学者。作为课题负责人，承担并较好完成了国家信息安全战略研究与标准制定工作专项项目“信息安全风险自评估理论研究”。作为主要研究者，参与多项国家级及省部级课题。目前，已在国际学术会议以及国内核心学术期刊上发表及录用相关学术论文20多篇，论文已被EI、ISTP检索20余次，已出版专著1部。

　　探寻科学、合理、实用的信息安全风险管理方法已成为信息安全领域研究的热点之一。《信息安全风险管理方法及ISO\IEC27001标准应用案例》以层次分析法、模糊理论、多属性决策理论和博弈论为主要分析工具，对信息安全风险识别、评估、控制和决策进行研究，构建了一套较为完整的信息安全风险管理方法的理论体系。

第1章  绪论
1.1  研究背景及意义
1.2  国内外信息安全风险管理研究现状
1.2.1  信息安全风险管理方法
1.2.2  信息安全风险评估方法
1.2.3  信息安全风险决策
1.3  本书研究思路和主要内容
1.3.1  研究思路
1.3.2  主要内容

第2章  基于层次结构的信息安全资产识别与评估模型
2.1  信息安全风险管理的基本理论
2.1.1  主要概念
2.1.2  信息安全风险的界定
2.2  信息安全风险识别与评估流程
2.2.1  资产识别与评估
2.2.2  威胁识别与评估
2.2.3  脆弱性识别和评估
2.2.4  已有安全措施确认
2.2.5  风险计算与处理
2.2.6  安全措施的选取
2.3  层次化的资产识别与评估方法
2.3.1  问题描述
2.3.2  作业-资产识别模型
2.3.3  层次化的关键资产评估模型

第3章  基于区间数的模糊层次风险分析与评估模型
3.1  引言
3.2  信息安全风险识别与分析
3.2.1  风险各要素映射关系
3.2.2  安全事件的矩阵识别模型
3.2.3  安全事件与风险分析
3.3  信息安全风险评估方法
3.3.1  信息安全风险评估方法概述
3.3.2  区间数及判断矩阵
3.3.3  层次分析法
3.3.4  模糊评价法
3.3.5  基于区间数判断矩阵的模糊层次风险评估法
3.4  实例分析
3.5  本章小结

第4章  基于PROMETEE狙的信息安全风险控制模型
4.1  引言
4.2  信息安全风险控制的具体内容
4.2.1  信息安全需求的确定
4.2.2  信息安全风险控制的原则
4.2.3  信息安全风险控制的方式
4.2.4  信息安全风险控制的保障策略
4.3  基于PROMETHEE的多属性安全措施控制方法
4.3.1  安全措施有效性指数
4.3.2  安全措施的成本-效益分析
4.3.3  安全措施的PROMETHEE决策模型
4.3.4  安全措施的PROMETHEE灵敏度分析
4.3.5  算例
4.4  本章小结

第5章  基于博弈论的信息安全风险决策模型
5.1  引言
5.2  信息安全技术决策的投资博弈模型
5.2.1  博弈论概述
5.2.2  不完全信息博弈的安全技术策略选择
5.2.3  不同安全技术策略的分析比较
5.3  基于成本分析的安全技术自适应投资策略
5.3.1  入侵检测响应系统的博弈模型
5.3.2  入侵响应的条件成本分析验证
5.4  本章小结

第6章  信息安全风险管理实证研究
6.1  引言
6.2  项目背景介绍
6.2.1  信用卡中心概述
6.2.2  信用卡中心信息安全现状
6.3  信息安全风险评估方法
6.3.1  关键信息资产识别
6.3.2  风险分析与评估
6.3.3  安全状况及建议

第7章  结论与展望
附表
附录
参考文献