书籍详情
信息安全管理:全球最佳实务与实施指南
作者:孙强,陈伟,王东红著
出版社:清华大学出版社
出版时间:2004-10-01
ISBN:9787302096542
定价:¥40.00
购买这本书可以去
内容简介
本书是我国信息安全管理领域的重要专著,为我国各类组织管理信息安全风险提供了最佳实践。它从标准释疑、实施和案例分析三方面入手,全面阐述了信息安全管理体系的全生命周期。文中全面介绍了ISO/IEC 17799(DS7799)这一全球公认的信息安全管理标准的产生、发展历程及其主要内容;深入阐述了实施信息安全管理的方法、步骤及应用软件;并首次批露我国企业实施BS7799的经验和教训;同时,“BS7799实施案例”重点从客户、咨询公司、厂商三个方面介绍了四个典型案例。本书不仅适用于CEO、CIO、IT战备规划主管、CSO、政府和企业管理人员、IT咨询顾问,而且也是信息系统审计师和信息安全管理体系审核员的必备参考佳作,更可作为高等院核校从事信息安全管理教学研究的师生的参考文献。
作者简介
孙强先生,中国IT治理理念的肇治者,IT治理、IT服务管理、信息系统审计等领域知名专家、演讲者和作者。目前就任赛迪顾问业务拓展总监,中国IT治理专业委员会副主任。他长期致力于探讨信息化建设中深层次的机制问题,倡导将国际前沿的IT治理机制及其方法论与中国的国情相结合中,最近,又创造性地在国际上开展了COBIT、ISO17799、ITIL、COSO、IT项目管理知识体系、信息化工程监理标准等多个国内外标准体系之间的整合研究工作。著有《信息系统审计:安全、风险管理与控制》、《IT服务管理:发展、理解与实施》、《信息安全管理:全球最佳实务与实施指南》、《信息系统工程监理》、《IT治理:引领中国信息化的可持续发展》,《IT服务管理手册与通用词汇表》、《IT服务管理实施方法、工具及案例集》,译有《IT领导力》等。陈伟先生,管理信息系统硕士,国际注册信息系统审计师,BS7799主任审核员,国际信息系统审计与控制协会会员。BS7799、CISA、CIA资深培训讲师,某网络安全公司高级安全顾问。长期从事企业信息化建设,对国内大中型企业的计算机网络系统、应用系统及安全系统的规划、设计、实施有较丰富的经验。目前的专业领域集中于信息安全管理控制领域理论与方法研究,并为国家财政部、国家税务总局、中国工商银行总行、中国银行华北数据中心、中核集团等多个大型组织实施信息安全管理及信息系统审计咨询与培训项目。王东红先生,国际信息系统审计,BS7799主任审核员,IT治理经典丛书的主要作者。目前主要研究领域为IT治理、信息安全管理与业务持续性计划,为河北网通、中国工商银行总行、中核集团等多个组织实施过IT治理、IT流程管控及信息安全管理培训与咨询项目。
目录
第1章 信息安全管理概论
1. 1 什么是信息安全管理
1. 1. 1 信息安全
1. 1. 2 信息安全管理
1. 1. 3 信息安全管理的重要性
1. 1. 4 信息安全管理与信息安全技术
1. 1. 5 信息安全管理现状
1. 1. 6 信息安全管理的发展与国内外标准
1. 2 信息安全管理标准BS7799概述
1. 2. 1 BS7799的历史
1. 2. 2 BS7799的内容简介
1. 2. 3 对BS7799的理解与认识
1. 2. 4 BS7799/ISO/IECl7799在国际上的争议
1. 3 组织引入BS7799的目的与模式
1. 3. 1 引入BS7799能给组织带来什么好处
1. 3. 2 组织实施BS7799的程序与模式
1. 3. 3 与其它ISO国际标准的有机集成
第2章 信息安全管理理论与控制规范
2. 1 基于风险评估的安全管理模型
2. 1. 1 安全管理模型
2. 1. 2 风险评估与安全管理
2. 2 PDCA模型
2. 2. 1 PDCA简介
2. 2. 2 计划阶段
2. 2. 3 实施阶段
2. 2. 4 检查阶段
2. 2. 5 改进阶段
2. 2. 6 持续的过程
2. 3 信息安全管理控制规范
2. 3. 1 信息安全方针 A. 3
2. 3. 2 安全组织 A. 4
2. 3. 3 资产分类与控制 A. 5
2. 3. 4 人员安全 A. 6
2. 3. 5 物理与环境安全 A. 7
2. 3. 6 通信与运营安全 A. 8
2. 3. 7 访问控制 A. 9
2. 3. 8 系统开发与维护 A. 10
2. 3. 9 业务持续性管理 A. 11
2. 3. 10 符合性 A. 12
第3章 信息安全管理体系的策划与准备
3. 1 什么是信息安全管理体系
3. 1. 1 信息安全管理体系的定义
3. 1. 2 信息安全管理体系的作用
3. 2 信息安全管理体系的准备
3. 2. 1 管理承诺
3. 2. 2 组织与人员建设
3. 2. 3 编制工作计划
3. 2. 4 能力要求与教育培训
3. 3 信息安全管理体系文件
3. 3. 1 文件的作用
3. 3. 2文件的层次
3. 3. 3 文件的管理
第4章 信息安全管理体系的建立
4. 1 建立信息安全管理体系
4. 1. 1 确定信息安全政策
4. 1. 2 确定信息安全管理体系的范围
4. 1. 3 现状调查与风险评估
4. 1. 4 管理风险
4. 1. 5 选择控制目标和控制对象
4. 1. 6 适用性声明
4. 2 信息安全管理体系的运行
4. 2. 1 信息安全管理体系的试运行
4. 2. 2 保持信息安全管理体系的持续有效
4. 3 信息安全管理体系的审核
4. 3. 1 什么是信息安全审核
4. 3. 2 信息安全管理体系的审核准备
4. 3. 3 信息安全体系审核策划
4. 3. 4 实施审核
4. 3. 5 审核报告
4. 3. 6 内审中纠正措施的跟踪
4. 4 信息安全管理体系的管理评审
4. 4. 1 什么是管理评审
4. 4. 2 管理评审的时机
4. 4. 3 管理评审计划
4. 4. 4 评审输入
4. 4. 5 召开管理评审会
4. 4. 6 评审输出
4. 4. 7 管理评审的后续管理
4. 4. 8 管理评审的记录
4. 5 信息安全管理体系的检查与持续改进
4. 5. 1 对信息安全管理体系的检查
4, 5. 2 对信息管理体系的持续改进
4. 5. 3 管理不符合项的职责与要求,
第5章 信息安全管理体系的认证
5. 1 什么是信息安全管理认证
5. 2 认证的目的和作用
5. 3 认证范围
5. 4 认证条件与认证机构的选择
5. 5 信息安全管理体系的认证过程
5. 5. 1 认证的准备
5. 5. 2 认证的实施
5. 5. 3 证书与标志
5. 5. 4 维持认证
5. 5. 5 认证案例
第6章 信息安全风险评估详述
6. 1 信息安全风险评估的基本概念
6. 1. 1 资产
6. 1. 2 资产的价值
6. 1. 3 威胁
6. 1. 4 脆弱性
6. 1. 5 安全风险
6. 1. 6 安全需求
6. 1. 7 安全控制
6. 1. 8 安全各组成因素之间的关系
6. 2 风险评估过程
6. 2. 1 资产的确定及估价
6. 2. 2 威胁评估
6. 2. 3 脆弱性评估
6. 2. 4 现有的安全控制
6, 2. 5 风险评价
6, 3 风险的管理过程
6. 3. 1 安全控制的识别与选择
6. 3. 2 降低风险
6. 3. 3 接受风险
6. 4 风险评估方法
6. 4. 1 基本的风险评估
6. 4. 2 详细的风险评估
6. 4. 3 联合评估方法
6. 4. 4 选择风险评估和风险管理方法时应考虑的因素
6. 5 风险因素的常用计算方法
6. 5. 1 预定义价值矩阵法
6. 5. 2 按风险大小对威胁排序法
6. 5. 3 按风险频度和危害评估资产价值法
6. 5. 4 区分可接受风险与不接受风险法
6. 5. 5 风险优先级别的确定
6. 5. 6 风险评估与管理工具的选择
第7章 信息安全管理控制详述
7. 1 选择控制措施方法
7. 1. 1 确定安全需求
7. 1. 2 风险评估与管理
7. 1. 3 选择控制目标与控制措施
7. 2 选择控制措施的详细过程
7. 2. 1 安全需求评估
7. 2. 2 选择控制的方法
7. 2. 3 选择控制的过程
7. 3 控制目标与控制措施
7. 3. 1 从安全需求选择控制
7. 3. 2 从安全问题选择控制
7. 4 影响选择控制的因素和条件
7. 4. 1 要考虑的因素
7. 4. 2 限制条件
第8章 如何制定信息安全政策与程序
8. 1 为什么要制定安全政策与程序
8. 2 什么是信息安全政策与程序
8. 2. 1 安全政策的内容
8. 2. 2 安全程序的内容
8. 3 安全政策与程序的格式
8. 3. 1 安全方针的格式
8. 3. 2 安全策略的格式
8. 3. 3 程序文件的内容与格式
8. 4 政策与程序的制定过程
8. 5 制定政策与程序时要注意的问题
8. 5. 1 制定和实施信息安全政策时的注意事项
8. 5. 2 编写信息安全程序时的注意事项
8. 6 BS7799安全领域内有关策略与程序
8. 6. 1 常用信息安全策略
8. 6. 2 BS7799中要求建立的程序
8. 7 安全政策与程序案例
8. 7. 1 信息安全方针案例
8. 7. 2 安全策略案例
8. 7. 3 信息安全程序的案例
第9章 BS7799实施工具ISMTOOL
9. 1 ISMTOOL概述
9. 2 ISMTOOL适用范围
9. 3 ISMTOOL安装与启动
9. 4 ISMTOOL的系统功能简介
9. 4. 1 主要模块
9. 4. 2 辅助模块
第10章 BS7799实施案例
10. 1 案例一:依据BS7799建设PKI/CA认证中心
10. 1. 1 为什么要依据BS7799建设PKI/CA认证中心
10. 1. 2 如何结合BS7799建设PKI/CA认证中心
10. 1. 3 实施BS7799带来的效益
10. 2 案例二:在IBAS公司内建立信息安全管理体系
10. 2. 1 企业背景
10. 2. 2 客户需求
10. 2. 3 实施过程
10. 2. 4 实施效果
10. 2. 5 经验总结
10. 3 案例三:BS7799框架下安全产品与技术的具体实现
10. 3. 1 引言
10. 3. 2 BS7799控制目标与措施
10. 3. 3 利用CA的产品和服务设计ISMS
10. 4 案例四:建立信息安全管理体系的HTP方法
10. 4. 1 问题的提出
10. 4. 2 HTP模型
10. 4. 3 建立HTP信息安全体系的步骤
10. 4. 4 重视信息安全中最活跃的因素--人
10. 4. 5 建立有效的技术防火墙
10. 4. 6 保证信息安全性. 完整性. 可用性及有效性
10. 4. 7 实施ISMS项目要点
第11章 整合标准, 构建善治的IT治理机制
11. 1 何为IT治理
11. 2 四种基本的IT治理支持手段
11. 3 哪个标准更好
11. 3. 1 COBIT和ITIL的比较
11. 3. 2 COBIT和ISO/IECl7799的比较
11. 3. 3 COBIT 和PRlNCE2的比较
11. 4 四个标准间的相互联系
11. 5 剪裁与实施
11. 6 总结
附录A 信息安全网络资源
A. 1 BS7799相关网络资源
A. 2 国内与信息安全相关的网络资源
A. 3 国外与信息安全相关的网络资源
附录B 信息安全相关法律法规
B. 1 国家法律
B. 2 行政法规
B. 3 最高人民法院的司法解释
B. 4 国际公约
B. 5 有关互联网法律法规. 政策常用网址
1. 1 什么是信息安全管理
1. 1. 1 信息安全
1. 1. 2 信息安全管理
1. 1. 3 信息安全管理的重要性
1. 1. 4 信息安全管理与信息安全技术
1. 1. 5 信息安全管理现状
1. 1. 6 信息安全管理的发展与国内外标准
1. 2 信息安全管理标准BS7799概述
1. 2. 1 BS7799的历史
1. 2. 2 BS7799的内容简介
1. 2. 3 对BS7799的理解与认识
1. 2. 4 BS7799/ISO/IECl7799在国际上的争议
1. 3 组织引入BS7799的目的与模式
1. 3. 1 引入BS7799能给组织带来什么好处
1. 3. 2 组织实施BS7799的程序与模式
1. 3. 3 与其它ISO国际标准的有机集成
第2章 信息安全管理理论与控制规范
2. 1 基于风险评估的安全管理模型
2. 1. 1 安全管理模型
2. 1. 2 风险评估与安全管理
2. 2 PDCA模型
2. 2. 1 PDCA简介
2. 2. 2 计划阶段
2. 2. 3 实施阶段
2. 2. 4 检查阶段
2. 2. 5 改进阶段
2. 2. 6 持续的过程
2. 3 信息安全管理控制规范
2. 3. 1 信息安全方针 A. 3
2. 3. 2 安全组织 A. 4
2. 3. 3 资产分类与控制 A. 5
2. 3. 4 人员安全 A. 6
2. 3. 5 物理与环境安全 A. 7
2. 3. 6 通信与运营安全 A. 8
2. 3. 7 访问控制 A. 9
2. 3. 8 系统开发与维护 A. 10
2. 3. 9 业务持续性管理 A. 11
2. 3. 10 符合性 A. 12
第3章 信息安全管理体系的策划与准备
3. 1 什么是信息安全管理体系
3. 1. 1 信息安全管理体系的定义
3. 1. 2 信息安全管理体系的作用
3. 2 信息安全管理体系的准备
3. 2. 1 管理承诺
3. 2. 2 组织与人员建设
3. 2. 3 编制工作计划
3. 2. 4 能力要求与教育培训
3. 3 信息安全管理体系文件
3. 3. 1 文件的作用
3. 3. 2文件的层次
3. 3. 3 文件的管理
第4章 信息安全管理体系的建立
4. 1 建立信息安全管理体系
4. 1. 1 确定信息安全政策
4. 1. 2 确定信息安全管理体系的范围
4. 1. 3 现状调查与风险评估
4. 1. 4 管理风险
4. 1. 5 选择控制目标和控制对象
4. 1. 6 适用性声明
4. 2 信息安全管理体系的运行
4. 2. 1 信息安全管理体系的试运行
4. 2. 2 保持信息安全管理体系的持续有效
4. 3 信息安全管理体系的审核
4. 3. 1 什么是信息安全审核
4. 3. 2 信息安全管理体系的审核准备
4. 3. 3 信息安全体系审核策划
4. 3. 4 实施审核
4. 3. 5 审核报告
4. 3. 6 内审中纠正措施的跟踪
4. 4 信息安全管理体系的管理评审
4. 4. 1 什么是管理评审
4. 4. 2 管理评审的时机
4. 4. 3 管理评审计划
4. 4. 4 评审输入
4. 4. 5 召开管理评审会
4. 4. 6 评审输出
4. 4. 7 管理评审的后续管理
4. 4. 8 管理评审的记录
4. 5 信息安全管理体系的检查与持续改进
4. 5. 1 对信息安全管理体系的检查
4, 5. 2 对信息管理体系的持续改进
4. 5. 3 管理不符合项的职责与要求,
第5章 信息安全管理体系的认证
5. 1 什么是信息安全管理认证
5. 2 认证的目的和作用
5. 3 认证范围
5. 4 认证条件与认证机构的选择
5. 5 信息安全管理体系的认证过程
5. 5. 1 认证的准备
5. 5. 2 认证的实施
5. 5. 3 证书与标志
5. 5. 4 维持认证
5. 5. 5 认证案例
第6章 信息安全风险评估详述
6. 1 信息安全风险评估的基本概念
6. 1. 1 资产
6. 1. 2 资产的价值
6. 1. 3 威胁
6. 1. 4 脆弱性
6. 1. 5 安全风险
6. 1. 6 安全需求
6. 1. 7 安全控制
6. 1. 8 安全各组成因素之间的关系
6. 2 风险评估过程
6. 2. 1 资产的确定及估价
6. 2. 2 威胁评估
6. 2. 3 脆弱性评估
6. 2. 4 现有的安全控制
6, 2. 5 风险评价
6, 3 风险的管理过程
6. 3. 1 安全控制的识别与选择
6. 3. 2 降低风险
6. 3. 3 接受风险
6. 4 风险评估方法
6. 4. 1 基本的风险评估
6. 4. 2 详细的风险评估
6. 4. 3 联合评估方法
6. 4. 4 选择风险评估和风险管理方法时应考虑的因素
6. 5 风险因素的常用计算方法
6. 5. 1 预定义价值矩阵法
6. 5. 2 按风险大小对威胁排序法
6. 5. 3 按风险频度和危害评估资产价值法
6. 5. 4 区分可接受风险与不接受风险法
6. 5. 5 风险优先级别的确定
6. 5. 6 风险评估与管理工具的选择
第7章 信息安全管理控制详述
7. 1 选择控制措施方法
7. 1. 1 确定安全需求
7. 1. 2 风险评估与管理
7. 1. 3 选择控制目标与控制措施
7. 2 选择控制措施的详细过程
7. 2. 1 安全需求评估
7. 2. 2 选择控制的方法
7. 2. 3 选择控制的过程
7. 3 控制目标与控制措施
7. 3. 1 从安全需求选择控制
7. 3. 2 从安全问题选择控制
7. 4 影响选择控制的因素和条件
7. 4. 1 要考虑的因素
7. 4. 2 限制条件
第8章 如何制定信息安全政策与程序
8. 1 为什么要制定安全政策与程序
8. 2 什么是信息安全政策与程序
8. 2. 1 安全政策的内容
8. 2. 2 安全程序的内容
8. 3 安全政策与程序的格式
8. 3. 1 安全方针的格式
8. 3. 2 安全策略的格式
8. 3. 3 程序文件的内容与格式
8. 4 政策与程序的制定过程
8. 5 制定政策与程序时要注意的问题
8. 5. 1 制定和实施信息安全政策时的注意事项
8. 5. 2 编写信息安全程序时的注意事项
8. 6 BS7799安全领域内有关策略与程序
8. 6. 1 常用信息安全策略
8. 6. 2 BS7799中要求建立的程序
8. 7 安全政策与程序案例
8. 7. 1 信息安全方针案例
8. 7. 2 安全策略案例
8. 7. 3 信息安全程序的案例
第9章 BS7799实施工具ISMTOOL
9. 1 ISMTOOL概述
9. 2 ISMTOOL适用范围
9. 3 ISMTOOL安装与启动
9. 4 ISMTOOL的系统功能简介
9. 4. 1 主要模块
9. 4. 2 辅助模块
第10章 BS7799实施案例
10. 1 案例一:依据BS7799建设PKI/CA认证中心
10. 1. 1 为什么要依据BS7799建设PKI/CA认证中心
10. 1. 2 如何结合BS7799建设PKI/CA认证中心
10. 1. 3 实施BS7799带来的效益
10. 2 案例二:在IBAS公司内建立信息安全管理体系
10. 2. 1 企业背景
10. 2. 2 客户需求
10. 2. 3 实施过程
10. 2. 4 实施效果
10. 2. 5 经验总结
10. 3 案例三:BS7799框架下安全产品与技术的具体实现
10. 3. 1 引言
10. 3. 2 BS7799控制目标与措施
10. 3. 3 利用CA的产品和服务设计ISMS
10. 4 案例四:建立信息安全管理体系的HTP方法
10. 4. 1 问题的提出
10. 4. 2 HTP模型
10. 4. 3 建立HTP信息安全体系的步骤
10. 4. 4 重视信息安全中最活跃的因素--人
10. 4. 5 建立有效的技术防火墙
10. 4. 6 保证信息安全性. 完整性. 可用性及有效性
10. 4. 7 实施ISMS项目要点
第11章 整合标准, 构建善治的IT治理机制
11. 1 何为IT治理
11. 2 四种基本的IT治理支持手段
11. 3 哪个标准更好
11. 3. 1 COBIT和ITIL的比较
11. 3. 2 COBIT和ISO/IECl7799的比较
11. 3. 3 COBIT 和PRlNCE2的比较
11. 4 四个标准间的相互联系
11. 5 剪裁与实施
11. 6 总结
附录A 信息安全网络资源
A. 1 BS7799相关网络资源
A. 2 国内与信息安全相关的网络资源
A. 3 国外与信息安全相关的网络资源
附录B 信息安全相关法律法规
B. 1 国家法律
B. 2 行政法规
B. 3 最高人民法院的司法解释
B. 4 国际公约
B. 5 有关互联网法律法规. 政策常用网址
猜您喜欢