本书从信息安全风险管理的基本概念入手，介绍了信息安全风险管理相关国际标准和国家标准；介绍了信息安全风险管理的环境建立，发展战略和业务识别，资产识别，威胁识别，脆弱性识别，已有安全措施识别；还介绍了风险分析，风险评价及风险评估输出，风险处置，沟通与咨询、监视与评审等内容；并给出了信息安全风险管理综合实例。本书还讲解了脆弱性识别中的物理脆弱性识别、网络脆弱性识别、系统脆弱性识别、应用脆弱性识别、数据脆弱性识别和管理脆弱性识别等内容。