本书是我国信息安全管理领域的重要专著,为我国各类组织管理信息安全风险提供了最佳实践。它从标准释疑、实施和案例分析三方面入手,全面阐述了信息安全管理体系的全生命周期。文中全面介绍了ISO/IEC 17799(DS7799)这一全球公认的信息安全管理标准的产生、发展历程及其主要内容;深入阐述了实施信息安全管理的方法、步骤及应用软件;并首次批露我国企业实施BS7799的经验和教训;同时,“BS7799实施案例”重点从客户、咨询公司、厂商三个方面介绍了四个典型案例。 本书不仅适用于CEO、CIO、IT战备规划主管、CSO、政府和企业管理人员、IT咨询顾问,而且也是信息系统审计师和信息安全管理体系审核员的必备参考佳作,更可作为高等院核校从事信息安全管理教学研究的师生的参考文献。
当前我国IT产业和信息化应用已经步入了深化、整合、转型和创新的关键时期,信息技术与信息系统对企业组织形态、治理结构、管理机制、运作流程和商业模式的影响日益深化;政府机构、企业组织对信息技术和信息系统的依赖性在日益加强;信息系统的安全、管理、风险与控制日益成为突出的问题。目前业界普遍认为,我国的信息安全防护能力只处于发展的初级阶段,许多计算机基本上处于不设防状态。无论是防范意识、管理措施、核心技术,还是安全产品,都离信息安全的实际需要存在很大的差距,每年各种重要数据和文件的滥用、泄露、丢失、被盗,给国家、企业和个人造成的损失数以亿计,这还不包括那些还没有暴露出来的深层次的问题。计算机安全问题解决不好,不仅会造成巨大的经济损失,甚至会危及国家的安全和社会的稳定。
长期以来由于媒体报道的侧重点以及生产商的广告宣传等多种因素的影响,人们对信息安全的认识存在偏差,有相当一部分人认为黑客和病毒就已经涵盖了信息安全的一切威胁,似乎信息安全工作就是完全在与黑客与病毒打交道,全面系统的安全解决方案就是部署反病毒软件、防火墙、入侵检测系统。这种偏面的看法对一个组织实施有效的信息安全保护带来了不良影响。
信息安全的建设实际上是一个系统工程,它要求对信息系统的各个环节进行统一的综合考虑、规划和构架,并要时时兼顾组织内不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。如果组织凭着一时的需要,想当然去制定一些控制措施和引入某些技术产品,都难免存在挂一漏万、顾此失彼的问题,使得信息安全这只“木桶”出现若干“短木块”,从而无法提高安全水平。 正确的做法是遵循国内外相关信息安全标准与最佳实践过程,考虑到组织对信息安全的各个层面的实际需求,在风险分析的基础上引入恰当控制,建立合理安全管理体系,从而保证组织赖以生存的信息资产的机密性、完整性和可用性;另一方面,这个安全体系还应当随着组织环境的变化、业务发展和信息技术提高而不断改进,不能一劳永逸,一成不变。因此实现信息安全是一个需要完整的体系来保证的持续过程。
BS7799就是这样一个可以指导组织安全实践的信息安全管理标准,它从管理、技术、人员、过程的角度来定义、建立、实施信息安全管理体系,保障组织的信息安全“滴水不漏”,确保组织业务的持续运营,维护企业的竞争优势。遵循这个标准的信息安全管理可以给组织带来两方面效益:一是减少因信息安全事故的经济损失而产生的经济效益;二是由于增加声誉、提升品牌价值而增加的非经济效益。BS7799第一部分己成为国际标准ISO17799,在全球范围内得到广泛的认可,被许多国家转化为国家标准,我国的许多政府机关、企事业单位也开始认识到信息安全管理的重要,准备逐步引入BS7799,以建立适用自身需要的信息安全管理体系。
本书就是为需要了解BS7799知识的专业人员及准备引入BS7799的组织而编写。本书着重介绍BS7799信息安全管理的理论、方法及有效的实施工具,作者根据BS7799信息安全管理标准,并结合长期的企业信息化建设和信息安全管理实践经验,对BS7799的理论进行了详细的描述,对体系的实施方法作了深入浅出的说明。
作者本着实用性与易用性的原则来编写此书。一方面为便于读者的理解,文中给出了大量的案例;另一方面,由于 BS7799标准所要求的信息安全管理体系是一个基于风险评估的、严格的文件化的体系,组织在建立体系的过程中,有大量的文件、数据及记录要建立和处理,手工作业方式已很难完成这项工作和有效管理信息安全管理数据,我们根据本书的理论、方法同步推出BS7799实施软件工具,旨在帮助企业更有效理解、实施BS7799信息安全管理体系,并促进企业达至BS7799认证要求。
本书主要分为十一章,第一章“信息安全管理概论”主要介绍了信息安全管理的概念,BS7799内容、历史及在国内外的发展情况。第二章“BS7799信息安全管理理论与规范”对BS7799的主要理论体系、PDCA的实施、实践规范与控制规范作了详细描述。第三章“信息安全管理体系的策划与准备”描述了建立信息安全管理体系的前期策划与准备工作。第四章“信息安全管理体系的建立”详细阐述了组织建立信息安全管理体系目标、方法与过程。第五章“信息安全管理体系的认证”详细介绍了体系认证的全过程及要注意的重点环节。第六章“信息安全风险评估详述”详细阐述了风险评估与风险管理的方法。第七章“信息安全控制目标与控制措施的选择”详细描述了为有效管理组织信息安全风险,选择控制的方法与过程。第八章“信息安全政策的制定”对如何制订信息安全政策,提供了具体的方法与过程。第九章“BS7799实施工具ISMTOOL”介绍实施BS7799辅助软件工具的功能及使用方法。第十章“BS 7799实施案例”重点介绍了从客户、咨询公司、厂商三个方面介绍了四个典型案例供大家参考。第十一章介绍了与BS 7799相关的一些管理标准及如何整合相关标准去建设善治的IT治理机制。附录列出了BS7799的有关网络资源、与信息安全有关的法律法规性等供读者参考。
在本书的编撰过程中,孙强、陈伟和王东红主持了全书的架构与设计,审定了章节要目。引论和跋由孙强撰写,初稿第1、2章由孙强、孟秀艳撰写,第3、4章由陈伟、郝晓玲撰写,第5、6章由陈伟、王东红撰写,第7、8、9章由陈伟撰写,第10章案例由孙强、陈伟修订整理,第11章由孙强、李长征撰写。全书由孙强、陈伟、王东红总纂定稿。非常值得一提的是,挪威船级社的孟庆麟先生和郭晓英女士自始至终都给予了我们宝贵的意见和建议。
在本书的创作与出版过程中,我们要感谢许多单位和个人,如孟庆麟先生、挪威船级社的郭晓英女士,CA公司的尹婉智、谢春颖女士,天威诚信的朱晓松、李延昭先生及王卫国女士,加安信息技术有限公司的姚兴国、麦志辉先生等。此外,还要特别感谢我国著名电子政务专家陈拂晓先生,是他的无私奉献精神在激励和感召着我们。最后,由衷地向一直默默支持着我们的家人表达永远的爱与感激之情。正是因为有众多亲人和朋友们无私的奉献,此书才得以和读者见面。
由于信息技术突飞猛进,信息安全管理所涉及的体系范围非常广泛,书中有一些没有进行深入讨论和清晰阐述的问题,读者朋友可以通过访问中国IT治理论坛(www.itgov.org.cn), 查看最新的资料,其中包括国内外众多知名公司或协会组织专为本书提供的丰富的软件和案例等,我们也希望能够通过以上的互动网络平台,与更多读者朋友一起交流探讨,推动中国信息化的可持续发展。对本书内容有任何建议或意见,请填写读者调查表(可从www.itgov.org.cn上下载)或发电子邮件至:(wdh@itgov.org.cn),您将成为中国IT治理论坛高级个人会员,并有机会获赠全套丛书。
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved