信息安全管理：全球最佳實務與實施指南

定　價：￥40.00

作　者：	孫強，陳偉，王東紅著
出版社：	清華大學出版社
叢編項：	21世紀管理信息化前沿 IT治理經(jīng)典叢書
標　簽：	知識/信息管理

購買這本書可以去

ISBN：	9787302096542	出版時間：	2004-10-01	包裝：	膠版紙
開本：	23cm	頁數(shù)：	341	字數(shù)：

內(nèi)容簡介

　　本書是我國信息安全管理領(lǐng)域的重要專著，為我國各類組織管理信息安全風險提供了最佳實踐。它從標準釋疑、實施和案例分析三方面入手，全面闡述了信息安全管理體系的全生命周期。文中全面介紹了ISO/IEC 17799（DS7799）這一全球公認的信息安全管理標準的產(chǎn)生、發(fā)展歷程及其主要內(nèi)容；深入闡述了實施信息安全管理的方法、步驟及應用軟件；并首次批露我國企業(yè)實施BS7799的經(jīng)驗和教訓；同時，“BS7799實施案例”重點從客戶、咨詢公司、廠商三個方面介紹了四個典型案例。本書不僅適用于CEO、CIO、IT戰(zhàn)備規(guī)劃主管、CSO、政府和企業(yè)管理人員、IT咨詢顧問，而且也是信息系統(tǒng)審計師和信息安全管理體系審核員的必備參考佳作，更可作為高等院核校從事信息安全管理教學研究的師生的參考文獻。

作者簡介

　　孫強先生，中國IT治理理念的肇治者，IT治理、IT服務管理、信息系統(tǒng)審計等領(lǐng)域知名專家、演講者和作者。目前就任賽迪顧問業(yè)務拓展總監(jiān)，中國IT治理專業(yè)委員會副主任。他長期致力于探討信息化建設中深層次的機制問題，倡導將國際前沿的IT治理機制及其方法論與中國的國情相結(jié)合中，最近，又創(chuàng)造性地在國際上開展了COBIT、ISO17799、ITIL、COSO、IT項目管理知識體系、信息化工程監(jiān)理標準等多個國內(nèi)外標準體系之間的整合研究工作。著有《信息系統(tǒng)審計：安全、風險管理與控制》、《IT服務管理：發(fā)展、理解與實施》、《信息安全管理：全球最佳實務與實施指南》、《信息系統(tǒng)工程監(jiān)理》、《IT治理：引領(lǐng)中國信息化的可持續(xù)發(fā)展》，《IT服務管理手冊與通用詞匯表》、《IT服務管理實施方法、工具及案例集》，譯有《IT領(lǐng)導力》等。陳偉先生，管理信息系統(tǒng)碩士，國際注冊信息系統(tǒng)審計師，BS7799主任審核員，國際信息系統(tǒng)審計與控制協(xié)會會員。BS7799、CISA、CIA資深培訓講師，某網(wǎng)絡安全公司高級安全顧問。長期從事企業(yè)信息化建設，對國內(nèi)大中型企業(yè)的計算機網(wǎng)絡系統(tǒng)、應用系統(tǒng)及安全系統(tǒng)的規(guī)劃、設計、實施有較豐富的經(jīng)驗。目前的專業(yè)領(lǐng)域集中于信息安全管理控制領(lǐng)域理論與方法研究，并為國家財政部、國家稅務總局、中國工商銀行總行、中國銀行華北數(shù)據(jù)中心、中核集團等多個大型組織實施信息安全管理及信息系統(tǒng)審計咨詢與培訓項目。王東紅先生，國際信息系統(tǒng)審計，BS7799主任審核員，IT治理經(jīng)典叢書的主要作者。目前主要研究領(lǐng)域為IT治理、信息安全管理與業(yè)務持續(xù)性計劃，為河北網(wǎng)通、中國工商銀行總行、中核集團等多個組織實施過IT治理、IT流程管控及信息安全管理培訓與咨詢項目。

圖書目錄

第1章信息安全管理概論
1. 1 什么是信息安全管理
1. 1. 1 信息安全
1. 1. 2 信息安全管理
1. 1. 3 信息安全管理的重要性
1. 1. 4 信息安全管理與信息安全技術(shù)
1. 1. 5 信息安全管理現(xiàn)狀
1. 1. 6 信息安全管理的發(fā)展與國內(nèi)外標準
1. 2 信息安全管理標準BS7799概述
1. 2. 1 BS7799的歷史
1. 2. 2 BS7799的內(nèi)容簡介
1. 2. 3 對BS7799的理解與認識
1. 2. 4 BS7799／ISO／IECl7799在國際上的爭議
1. 3 組織引入BS7799的目的與模式
1. 3. 1 引入BS7799能給組織帶來什么好處
1. 3. 2 組織實施BS7799的程序與模式
1. 3. 3 與其它ISO國際標準的有機集成
第2章信息安全管理理論與控制規(guī)范
2. 1 基于風險評估的安全管理模型
2. 1. 1 安全管理模型
2. 1. 2 風險評估與安全管理
2. 2 PDCA模型
2. 2. 1 PDCA簡介
2. 2. 2 計劃階段
2. 2. 3 實施階段
2. 2. 4 檢查階段
2. 2. 5 改進階段
2. 2. 6 持續(xù)的過程
2. 3 信息安全管理控制規(guī)范
2. 3. 1 信息安全方針 A. 3
2. 3. 2 安全組織 A. 4
2. 3. 3 資產(chǎn)分類與控制 A. 5
2. 3. 4 人員安全 A. 6
2. 3. 5 物理與環(huán)境安全 A. 7
2. 3. 6 通信與運營安全 A. 8
2. 3. 7 訪問控制 A. 9
2. 3. 8 系統(tǒng)開發(fā)與維護 A. 10
2. 3. 9 業(yè)務持續(xù)性管理 A. 11
2. 3. 10 符合性 A. 12
第3章信息安全管理體系的策劃與準備
3. 1 什么是信息安全管理體系
3. 1. 1 信息安全管理體系的定義
3. 1. 2 信息安全管理體系的作用
3. 2 信息安全管理體系的準備
3. 2. 1 管理承諾
3. 2. 2 組織與人員建設
3. 2. 3 編制工作計劃
3. 2. 4 能力要求與教育培訓
3. 3 信息安全管理體系文件
3. 3. 1 文件的作用
3. 3. 2文件的層次
3. 3. 3 文件的管理
第4章信息安全管理體系的建立
4. 1 建立信息安全管理體系
4. 1. 1 確定信息安全政策
4. 1. 2 確定信息安全管理體系的范圍
4. 1. 3 現(xiàn)狀調(diào)查與風險評估
4. 1. 4 管理風險
4. 1. 5 選擇控制目標和控制對象
4. 1. 6 適用性聲明
4. 2 信息安全管理體系的運行
4. 2. 1 信息安全管理體系的試運行
4. 2. 2 保持信息安全管理體系的持續(xù)有效
4. 3 信息安全管理體系的審核
4. 3. 1 什么是信息安全審核
4. 3. 2 信息安全管理體系的審核準備
4. 3. 3 信息安全體系審核策劃
4. 3. 4 實施審核
4. 3. 5 審核報告
4. 3. 6 內(nèi)審中糾正措施的跟蹤
4. 4 信息安全管理體系的管理評審
4. 4. 1 什么是管理評審
4. 4. 2 管理評審的時機
4. 4. 3 管理評審計劃
4. 4. 4 評審輸入
4. 4. 5 召開管理評審會
4. 4. 6 評審輸出
4. 4. 7 管理評審的后續(xù)管理
4. 4. 8 管理評審的記錄
4. 5 信息安全管理體系的檢查與持續(xù)改進
4. 5. 1 對信息安全管理體系的檢查
4, 5. 2 對信息管理體系的持續(xù)改進
4. 5. 3 管理不符合項的職責與要求,
第5章信息安全管理體系的認證
5. 1 什么是信息安全管理認證
5. 2 認證的目的和作用
5. 3 認證范圍
5. 4 認證條件與認證機構(gòu)的選擇
5. 5 信息安全管理體系的認證過程
5. 5. 1 認證的準備
5. 5. 2 認證的實施
5. 5. 3 證書與標志
5. 5. 4 維持認證
5. 5. 5 認證案例
第6章信息安全風險評估詳述
6. 1 信息安全風險評估的基本概念
6. 1. 1 資產(chǎn)
6. 1. 2 資產(chǎn)的價值
6. 1. 3 威脅
6. 1. 4 脆弱性
6. 1. 5 安全風險
6. 1. 6 安全需求
6. 1. 7 安全控制
6. 1. 8 安全各組成因素之間的關(guān)系
6. 2 風險評估過程
6. 2. 1 資產(chǎn)的確定及估價
6. 2. 2 威脅評估
6. 2. 3 脆弱性評估
6. 2. 4 現(xiàn)有的安全控制
6, 2. 5 風險評價
6, 3 風險的管理過程
6. 3. 1 安全控制的識別與選擇
6. 3. 2 降低風險
6. 3. 3 接受風險
6. 4 風險評估方法
6. 4. 1 基本的風險評估
6. 4. 2 詳細的風險評估
6. 4. 3 聯(lián)合評估方法
6. 4. 4 選擇風險評估和風險管理方法時應考慮的因素
6. 5 風險因素的常用計算方法
6. 5. 1 預定義價值矩陣法
6. 5. 2 按風險大小對威脅排序法
6. 5. 3 按風險頻度和危害評估資產(chǎn)價值法
6. 5. 4 區(qū)分可接受風險與不接受風險法
6. 5. 5 風險優(yōu)先級別的確定
6. 5. 6 風險評估與管理工具的選擇
第7章信息安全管理控制詳述
7. 1 選擇控制措施方法
7. 1. 1 確定安全需求
7. 1. 2 風險評估與管理
7. 1. 3 選擇控制目標與控制措施
7. 2 選擇控制措施的詳細過程
7. 2. 1 安全需求評估
7. 2. 2 選擇控制的方法
7. 2. 3 選擇控制的過程
7. 3 控制目標與控制措施
7. 3. 1 從安全需求選擇控制
7. 3. 2 從安全問題選擇控制
7. 4 影響選擇控制的因素和條件
7. 4. 1 要考慮的因素
7. 4. 2 限制條件
第8章如何制定信息安全政策與程序
8. 1 為什么要制定安全政策與程序
8. 2 什么是信息安全政策與程序
8. 2. 1 安全政策的內(nèi)容
8. 2. 2 安全程序的內(nèi)容
8. 3 安全政策與程序的格式
8. 3. 1 安全方針的格式
8. 3. 2 安全策略的格式
8. 3. 3 程序文件的內(nèi)容與格式
8. 4 政策與程序的制定過程
8. 5 制定政策與程序時要注意的問題
8. 5. 1 制定和實施信息安全政策時的注意事項
8. 5. 2 編寫信息安全程序時的注意事項
8. 6 BS7799安全領(lǐng)域內(nèi)有關(guān)策略與程序
8. 6. 1 常用信息安全策略
8. 6. 2 BS7799中要求建立的程序
8. 7 安全政策與程序案例
8. 7. 1 信息安全方針案例
8. 7. 2 安全策略案例
8. 7. 3 信息安全程序的案例
第9章 BS7799實施工具ISMTOOL
9. 1 ISMTOOL概述
9. 2 ISMTOOL適用范圍
9. 3 ISMTOOL安裝與啟動
9. 4 ISMTOOL的系統(tǒng)功能簡介
9. 4. 1 主要模塊
9. 4. 2 輔助模塊
第10章 BS7799實施案例
10. 1 案例一：依據(jù)BS7799建設PKI／CA認證中心
10. 1. 1 為什么要依據(jù)BS7799建設PKI／CA認證中心
10. 1. 2 如何結(jié)合BS7799建設PKI／CA認證中心
10. 1. 3 實施BS7799帶來的效益
10. 2 案例二：在IBAS公司內(nèi)建立信息安全管理體系
10. 2. 1 企業(yè)背景
10. 2. 2 客戶需求
10. 2. 3 實施過程
10. 2. 4 實施效果
10. 2. 5 經(jīng)驗總結(jié)
10. 3 案例三：BS7799框架下安全產(chǎn)品與技術(shù)的具體實現(xiàn)
10. 3. 1 引言
10. 3. 2 BS7799控制目標與措施
10. 3. 3 利用CA的產(chǎn)品和服務設計ISMS
10. 4 案例四：建立信息安全管理體系的HTP方法
10. 4. 1 問題的提出
10. 4. 2 HTP模型
10. 4. 3 建立HTP信息安全體系的步驟
10. 4. 4 重視信息安全中最活躍的因素--人
10. 4. 5 建立有效的技術(shù)防火墻
10. 4. 6 保證信息安全性. 完整性. 可用性及有效性
10. 4. 7 實施ISMS項目要點
第11章整合標準, 構(gòu)建善治的IT治理機制
11. 1 何為IT治理
11. 2 四種基本的IT治理支持手段
11. 3 哪個標準更好
11. 3. 1 COBIT和ITIL的比較
11. 3. 2 COBIT和ISO／IECl7799的比較
11. 3. 3 COBIT 和PRlNCE2的比較
11. 4 四個標準間的相互聯(lián)系
11. 5 剪裁與實施
11. 6 總結(jié)
附錄A 信息安全網(wǎng)絡資源
A. 1 BS7799相關(guān)網(wǎng)絡資源
A. 2 國內(nèi)與信息安全相關(guān)的網(wǎng)絡資源
A. 3 國外與信息安全相關(guān)的網(wǎng)絡資源
附錄B 信息安全相關(guān)法律法規(guī)
B. 1 國家法律
B. 2 行政法規(guī)
B. 3 最高人民法院的司法解釋
B. 4 國際公約
B. 5 有關(guān)互聯(lián)網(wǎng)法律法規(guī). 政策常用網(wǎng)址