本书从信息安全风险管理的基本概念入手, 以信息安全风险管理标准--ISO/IEC 27005《信息技术-安全技术-信息安全风险管理》为主线, 全面介绍了信息安全风险管理相关国际标准和国家标准; 详细介绍了信息安全风险管理的环境建立, 发展战略和业务识别, 资产识别, 威胁识别, 脆弱性识别, 已有安全措施识别; 还介绍了风险分析, 风险评价及风险评估输出, 风险处置, 沟通与咨询、监视与评审等内容; 并给出了信息安全风险管理综合实例。本书还重点讲解了脆弱性识别中的物理脆弱性识别、网络脆弱性识别、系统软件脆弱性识别、应用脆弱性识别、数据脆弱性识别和管理脆弱性识别等内容。本书力图通过小案例与综合实例, 理论联系实践, 使读者了解、掌握和运用信息安全风险管理的理论与实践方法。