本书对信息安全管理理论与方法论做了全面的论述，也对信息安全管理的工程技术实践做了方法论的总结，包括识别信息系统及资源的方法和分类原则，识别信息系统资产的脆弱性、威胁、影响，风险分析过程描述，以及信息系统安全等级保护有关的可操作性技术方法；基于风险管理，从资源分析、风险分析与评估、安全需求分析，到安全保护策略和安全措施选择的工程实践方法和实务操作的详细描述。本书是面向大专院校信息安全管理专业的基础教材，读者对象定位于大学计算机和通信类一级学科下的专业硕士、信息安全本科学生，以及从事信息系统管理和信息安全管理的工程技术人员。