安全策略与规程：原理与实践

　　《安全策略与规程：原理与实践》提供了信息安全思想的总体描述，以便企业管理人员能够更好地评估他们的公司在处理信息安全问题上的表现。同时《安全策略与规程：原理与实践》也提供一些实用方法来协助各个公司改进其信息安全计划。《安全策略与规程：原理与实践》是按照为公司建立信息安全计划的步骤来组织内容的。《安全策略与规程：原理与实践》分为三个部分。第1部分“策略简介”旨在为开发、引荐和实施策略提供基础。第2部分“信息安全策略的各个领域”探讨了9个安全领域的信息安全策略和规程。第3部分“合规性”是关于策略和规程遵从联邦规章以及行业最佳实践的实际应用。《安全策略与规程：原理与实践》各章都配有相关的习题，以指导读者深入地进行学习。《安全策略与规程：原理与实践》可作为高等学校计算机及相关专业的教材，也可作为信息安全及管理人员的参考书。对于有志成为信息安全专业人员的人，掌握《安全策略与规程：原理与实践》中介绍的信息是绝对必要的。

　　Sari Stern Greene（CISSP、MCSE、MCT、MCNE、MCNI、CTT、NSA／IAM）是Sage Data Security公司的总裁。在Sage，Sari领导一个经验丰富的安全从业人员团队。Sari致力于提供信息安全服务，比如策略和规程开发、信息安全程序开发、风险和漏洞评估，以及金融、卫生保健和政府领域的灾难恢复／业务连续性计划。Sari积极参与技术和安全社区。她是MESDA理事会中的一员，并且是Maine ISSA支部的创始会员。她还经常在安全大会和研讨会上发言，并且撰写了众多信息安全文章、教程和培训材料。

第1部分 策略简介
　第1章 策略定义
　　1.1 简介
　　1.2 定义策略
　　1.3 探讨有史以来的策略
　　　1.3.1 将《圣经》作为古代的策略
　　　1.3.2 将美国宪法作为策略革命
　　1.4 定义策略在政府中的作用
　　1.5 定义策略在企业文化中的作用
　　　1.5.1 服务、产品和企业文化中的一致性
　　　1.5.2 遵从政府策略
　　1.6 理解策略的心理学
　　　1.6.1 使那些知道什么是可能的人参与进来
　　　1.6.2 环境中的变化
　　1.7 引荐策略
　　　1.7.1 获得批准
　　　1.7.2 把策略引荐给组织
　　1.8 使策略被接受
　　　1.8.1 组织文化来源于最高层
　　　1.8.2 通过良好的交流强化策略
　　　1.8.3 响应环境变化
　　1.9 执行信息安全策略
　　　1.9.1 执行行为性策略
　　　1.9.2 执行技术性策略
　　1.10 本章小结
　　1.11 自测题
　　　1.11.1 多项选择题
　　　1.11.2 练习题
　　　1.11.3 项目题
　　　1.11.4 案例研究
　第2章 策略的元素
　　2.1 简介
　　2.2 定义策略配套文档： 标准、准则和规程
　　　2.2.1 标准
　　　2.2.2 准则
　　　2.2.3 规程
　　2.3 开发策略风格和格式
　　　2.3.1 在编写策略之前做出计划
　　2.4 定义策略元素
　　　2.4.1 策略标题
　　　2.4.2 策略目标
　　　2.4.3 策略目的声明
　　　2.4.4 策略受众
　　　2.4.5 策略声明
　　　2.4.6 策略例外情况
　　　2.4.7 策略执行条款
　　　2.4.8 策略定义
　　2.5 本章小结
　　2.6 自测题
　　　2.6.1 多项选择题
　　　2.6.2 练习题
　　　2.6.3 项目题
　　　2.6.4 案例研究
第2部分 信息安全策略的各个领域
　第3章 信息安全框架
　　3.1 简介
　　3.2 计划信息安全计划的目标
　　　3.2.1 C代表保密性
　　　3.2.2 I代表完整性
　　　3.2.3 A代表可用性
　　　3.2.4 信息安全的5个A：另外一些有意义的字母及其含义
　第4章 安全策略文档和组织的安全策略
　第5章 资产分类
　第6章 人员安全
　第7章 物理与环境安全策略和规程
　第8章 通信和运营管理
　第9章 访问控制
　第10章 系统开发和维护
　第11章 业务连续性管理
第3部分 合 规 性
　第12章 金融机构的合规性
　第13章 医疗卫生领域的合规性
　第14章 关键基础设施领域的信息安全合规性
　第15章 小企业的安全策略与实践
附录A 访问控制
附录B 雇员信息安全策略批准协议
术语表