本书是我国信息安全管理领域的重要专著,为我国各类组织管理信息安全风险提供了最佳实践。它从标准释疑、实施和案例分析三方面入手,全面阐述了信息安全管理体系的全生命周期。文中全面介绍了ISO/IEC 17799(DS7799)这一全球公认的信息安全管理标准的产生、发展历程及其主要内容;深入阐述了实施信息安全管理的方法、步骤及应用软件;并首次批露我国企业实施BS7799的经验和教训;同时,“BS7799实施案例”重点从客户、咨询公司、厂商三个方面介绍了四个典型案例。 本书不仅适用于CEO、CIO、IT战备规划主管、CSO、政府和企业管理人员、IT咨询顾问,而且也是信息系统审计师和信息安全管理体系审核员的必备参考佳作,更可作为高等院核校从事信息安全管理教学研究的师生的参考文献。
第一章 信息安全管理概论
1.1 什么是信息安全管理
1.1.1 信息安全
1.1.2 信息安全管理的概念
1.1.3 信息安全管理的重要性
1.1.4 信息安全管理与信息安全技术
1.1.5 信息安全管理现状
1.1.6 信息安全管理的发展与国内外标准
1.2 信息安全管理标准BS7799概述
1.2.1 BS7799的发展历史
1.2.2 BS7799的内容简介
1.2.3 对BS7799的理解与认识
1.2.4 BS7799 /ISO17799在国际上的争议
1.3 组织引入BS7799的目的与模式
1.3.1 引入BS7799能给组织带来什么好处?
1.3.2 组织实施BS7799的程序与模式
1.3.3 与其他ISO国际标准的有机集成
第二章 信息安全管理理论与规范
2.1 基于风险评估的安全管理模型
2.1.1 安全管理模型
2.1.2 风险评估与安全管理
2.2 PDCA模型
2.2.1 PDCA简介
2.2.2 计划阶段
2.2.3 实施阶段
2.2.4 检查阶段
2.2.5 改进阶段
2.2.6 持续的过程
2.3 信息安全管理控制规范
2.3.1 信息安全方针
2.3.2 安全组织
2.3.3 资产分类与控制
2.3.4 人员安全
2.3.5 物理与环境安全
2.3.6 通信与运营安全
2.3.7 访问控制
2.3.8 系统开发与维护
2.3.9 业务持续性管理
2.3.10 法律符合性
第三章 信息安全管理体系的策划与准备
3.1 什么是信息安全管理体系
3.1.1 信息安全管理体系的定义
3.1.1 信息安全管理体系的作用
3.2 信息安全管理体系的策划与准备
3.2.1 管理承诺
3.2.2 组织与人员建设
3.2.3 编制工作计划
3.2.4 能力要求与教育培训
3.3 信息安全管理体系文件
3.3.1 文件的作用
3.3.2 文件的层次
3.3.3 文件的管理
第四章 信息安全管理体系的建立
4.1 建立信息安全管理体系
4.1.1 确定信息安全政策
4.1.2 确定信息安全管理系统的范围
4.1.3 现状调查与风险评估
4.1.4 管理风险
4.1.5 选择控制目标和控制对象
4.1.6 适用性声明
4.2 信息安全管理体系的运行
4.2.1 信息安全管理体系的试运行
4.2.2 保证信息安全管理体系的持续有效
4.3 信息安全管理体系的审核
4.3.1 什么是信息安全管理体系的审核
4.3.2 信息安全管理体系的审核准备
4.3.3 信息安全体系审核策划
4.3.4 实施审核
4.3.5 审核报告
4.3.6 内审中纠正措施的跟踪
4.4 信息安全管理体系的管理评审
4.4.1 什么是管理评审
4.4.2 管理评审的时机
4.4.3 管理评审计划
4.4.4 评审输入
4.4.5 召开管理评审会
4.4.6 评审输出
4.4.7 管理评审的后续管理
4.4.8 管理评审的记录
4.5 信息安全管理体系的检查与持续改进
4.5.1 对信息管理体系的检查
4.5.2 对信息管理体系的持续改进
4.5.3 管理不符合项的职责与要求
第五章 信息安全管理体系的认证
5.1 什么是信息安全管理认证
5.2 认证的目的和作用
5.3 认证范围
5.4 认证条件与认证机构的选择
5.5 信息安全管理体系的认证过程
5.5.1 认证的准备
5.5.2 认证的实施
5.5.3 证书与标志
5.5.4 维持认证
5.6 信息安全管理体系的认证案例
第六章 信息安全风险评估详述
6.1 风险评估的基本概念
6.1.1 资产
6.1.2 资产的价值
6.1.3 威胁
6.1.4 脆弱性
6.1.5 安全风险
6.1.6 安全需求
6.1.7 安全控制
6.1.8 安全各组成因素之间的关系
6.2 风险评估过程
6.2.1 资产的确定及估价
6.2.2 威胁评估
6.2.3 脆弱性评估
6.2.4 现有的安全控制
6.2.5 风险评价
6.3 风险管理过程
6.3.1 安全控制的识别与选择
6.3.2 降低风险
6.3.3 接受风险
6.4 风险评估方法
6.4.1 基本的风险评估
6.4.2 详细的风险评估
6.4.3 联合评估方法
6.4.4 选择风险评估和风险管理方法时应考虑的因素
6.5 风险因素的常用计算方法
6.5.1 预定义价值矩阵法
6.5.2 按风险大小对威胁排序法
6.5.3 按风险频度和危害评估资产价值法
6.5.4 区分可接受风险与不接受风险法
6.5.5 风险优先级别的确定
6.5.6 风险评估与管理工具的选择
第七章 信息安全控制选择详述
7.1 选择控制措施的方法
7.1.1 确定安全需求
7.1.2 风险评估与管理
7.1.3 选择控制目标与控制措施
7.2 选择控制措施的详细过程
7.2.1 安全需求评估
7.2.2 选择控制的方法
7.2.3 选择控制的过程
7.3 控制目标与控制措施
7.3.1 从安全需求选择控制
7.3.2 从安全问题选择控制
7.4 影响选择控制的因素和条件
7.4.1 要考虑的因素
7.4.2 限制条件
第八章 如何制定信息安全政策与程序
8.1 为什么要制定安全政策与程序
8.2 什么是安全政策与程序
8.2.1 安全政策的内容
8.2.2 安全程序的内容
8.3 安全政策与程序的格式
8.3.1 安全方针的格式
8.3.2 安全策略的格式
8.3.3 程序文件的内容与格式
8.4 政策与程序的制定过程
8.5 制定政策与程序时要注意的问题:
8.5.1 制定和实施信息安全政策时的注意事项
8.5.2 编写信息安全程序时的注意事项
8.6 BS7799安全领域内有关策略与程序
8.6.1 常用信息安全策略
8.6.2 BS7799中要求建立的程序
8.7 信息安全政策与程序的案例
8.7.1 信息安全方针案例
8.7.2 信息安全策略案例
8.7.3 信息安全程序案例
第九章 BS7799实施工具ISMTOOL
9.1 ISMTOOL概述
9.2 ISMTOOL适用范围
9.3 ISMTOOL安装与启动
9.4 ISMTOOL的系统功能
9.4.1 主要模块
9.4.2辅助模块
第十章 BS7799实施案例
10.1案例之一:依据BS7799建设PKI/CA认证中心
10.2案例之二:在IBAS公司内建立信息安全管理体系
10.3案例之三:BS7799框架下安全产品与技术的具体实现
10.4案例之四:建立信息安全管理体系的HTP方法
第十一章 整合标准,构建善治的IT治理机制
11.1 何为IT治理
11.2 四种基本的IT治理支持手段
11.3 哪个标准更好?
11.3.1 COBIT和ITIL的比较
11.3.2 COBIT和ISO/IEC 17799的比较
11.3.3 COBIT和PRINCE2的比较
11.4 四个标准间的相互联系
11.5 剪裁与实施
主要参考文献
附录一:信息安全管理网络资源
附录二:中国信息安全管理法律法规
跋
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved