云計算信息安全管理：CSAC-STAR實施指南

理論篇

第1章 云計算發(fā)展歷程 （2）
1.1 云計算的出現(xiàn)和發(fā)展 （2）
1.2 云計算與傳統(tǒng)IT的聯(lián)系 （3）
1.2.1 云計算與網格計算的關系 （3）
1.2.2 云計算與對等計算的關系 （5）
1.2.3 云計算與集群計算的關系 （5）
1.2.4 云計算與資源虛擬化的關系 （6）
1.2.5 云計算與Web服務技術的關系 （8）
1.2.6 云計算與傳統(tǒng)IT的區(qū)別 （8）
1.3 云計算的特點 （10）
1.3.1 泛在網絡訪問 （11）
1.3.2 服務可度量 （11）
1.3.3 多租戶 （11）
1.3.4 按需自助服務 （11）
1.3.5 快速彈性伸縮 （12）
1.3.6 資源池化 （13）
1.4 本章小結 （14）
第2章 云計算所面臨的安全問題 （15）
2.1 案例分析 （16）
2.1.1 Google安全問題及事件分析 （16）
2.1.2 Amazon宕機事件及應對措施分析 （16）
2.1.3 Apple服務安全事件及應對措施分析 （17）
2.1.4 微軟云服務安全事件及應對措施分析 （17）
2.2 云計算所面臨的安全問題總結 （18）
2.2.1 云安全問題的研究分析 （18）
2.2.2 安全問題分類 （23）
2.3 本章小結 （31）
第3章 云計算信息安全管理標準介紹 （32）
3.1 云計算信息安全管理標準化工作概述 （32）
3.1.1 國外標準化概況 （32）
3.1.2 國內標準概況 （37）
3.2 云計算信息安全管理標準化主要成果分析 （42）
3.2.1 CSA云安全控制矩陣 （42）
3.2.2 國標云服務安全標準 （44）
3.2.3 美國聯(lián)邦政府風險與授權管理項目FedRAMP （47）
3.2.4 ENISA《云計算信息安全保障框架》 （51）
3.2.5 ISO/IEC 27018 《信息技術—安全技術—公有云中作為個人信息（PII）
處理者的個人信息保護實用規(guī)則》 （54）
3.2.6 ISO/IEC 27001：2013《信息技術—安全技術—信息安全管理體系要求》 （56）
3.3 本章小結 （58）
第4章 云計算信息安全管理方法和模型 （60）
4.1 常見的信息安全管理方法 （60）
4.1.1 信息安全管理體系 （60）
4.1.2 信息安全等級保護 （65）
4.1.3 CERT-RMM模型 （68）
4.1.4 其他ISMS 成熟度模型 （73）
4.1.5 專業(yè)領域的信息安全管理方法 （76）
4.2 云計算安全管理方法 （78）
4.2.1 云計算安全管理體系 （79）
4.2.2 云計算安全管理的實施 （81）
4.3 云計算信息安全評估模型 （84）
4.3.1 SSE-CMM模型 （84）
4.3.2 C-STAR模型 （87）
4.4 本章小結 （90）
實踐篇

第5章 應用和接口安全（AIS） （94）
5.1 應用和接口安全要求 （94）
5.1.1 應用和接口安全概述 （95）
5.1.2 控制條款解讀 （96）
5.2 落地實施建議 （100）
第6章 審計保證與合規(guī)性（AAC） （102）
6.1 審計保證與合規(guī)性要求 （102）
6.1.1 審計保證與合規(guī)性概述 （103）
6.1.2 控制條款解讀 （103）
6.2 落地實施建議 （113）
第7章 業(yè)務連續(xù)性管理和操作彈性（BCR） （116）
7.1 業(yè)務連續(xù)性管理和操作彈性要求 （116）
7.1.1 業(yè)務連續(xù)性管理和操作彈性概述 （117）
7.1.2 控制條款解讀 （117）
7.2 落地實施建議 （126）
第8章 變更控制和配置管理（CCC） （133）
8.1 變更控制和配置管理要求 （133）
8.1.1 變更控制和配置管理概述 （134）
8.1.2 控制條款解讀 （135）
8.2 落地實施建議 （138）
第9章 數(shù)據(jù)安全和信息生命周期管理（DSI） （150）
9.1 數(shù)據(jù)安全和信息生命周期管理要求 （150）
9.1.1 數(shù)據(jù)安全和信息生命周期管理概述 （151）
9.1.2 控制條款解讀 （151）
9.2 落地實施建議 （157）
第10章 數(shù)據(jù)中心安全（DCS） （161）
10.1 數(shù)據(jù)中心安全要求 （161）
10.1.1 數(shù)據(jù)中心安全概述 （162）
10.1.2 控制條款詳解 （162）
10.2 落地實施建議 （167）
第11章 加密和密鑰管理（EKM） （170）
11.1 加密和密鑰管理要求 （170）
11.1.1 加密和密鑰管理概述 （171）
11.1.2 控制條款解讀 （172）
11.2 落地實施建議 （176）
第12章 治理和風險管理（GRM） （178）
12.1 治理和風險管理要求 （178）
12.1.1 治理和風險管理概述 （179）
12.1.2 控制條款解讀 （179）
12.2 落地實施建議 （189）
第13章 人力資源（HRS） （197）
13.1 人力資源安全要求 （197）
13.1.1 人力資源安全概述 （198）
13.1.2 控制條款解讀 （199）
13.2 落地實施建議 （208）
第14章 身份識別和訪問管理（IAM） （210）
14.1 身份識別和訪問管理要求 （210）
14.1.1 身份識別和訪問管理概述 （211）
14.1.2 控制條款解讀 （212）
14.2 落地實施建議 （221）
第15章 基礎設施和虛擬化安全（IVS） （225）
15.1 基礎設施和虛擬化安全要求 （225）
15.1.1 基礎設施和虛擬化安全概述 （226）
15.1.2 控制條款解讀 （227）
15.2 落地實施建議 （241）
第16章 互操作性和可移植性（IPY） （243）
16.1 互操作性和可移植性要求 （243）
16.1.1 互操作性和可移植性概述 （244）
16.1.2 控制條款解讀 （245）
16.2 落地實施建議 （248）
第17章 移動安全（MOS） （250）
17.1 移動安全要求 （250）
17.1.1 移動安全概述 （251）
17.1.2 控制條款解讀 （252）
17.2 落地實施建議 （269）
第18章 安全事件管理、電子證據(jù)及云端調查取證（SEF） （271）
18.1 安全事件管理、電子證據(jù)及云端調查取證要求 （271）
18.1.1 安全事件管理、電子證據(jù)及云端調查取證概述 （272）
18.1.2 控制條款解讀 （273）
18.2 落地實施建議 （278）
第19章 供應鏈管理、透明性及責任（STA） （283）
19.1 供應鏈管理、透明性及責任要求 （283）
19.1.1 供應鏈管理、透明性及責任概述 （284）
19.1.2 控制條款解讀 （286）
19.2 落地實施建議 （292）
第20章 威脅和脆弱性管理（TVM） （295）
20.1 威脅和脆弱性管理要求 （295）
20.1.1 威脅和脆弱性管理概述 （296）
20.1.2 控制條款解讀 （297）
20.2 落地實施建議 （300）
附錄A CSA云安全控制矩陣ISO/IEC 27001：2013對照條款 （302）
參考文獻 （317）