云計(jì)算信息安全管理：CSAC-STAR實(shí)施指南

理論篇

第1章 云計(jì)算發(fā)展歷程 （2）
1.1 云計(jì)算的出現(xiàn)和發(fā)展 （2）
1.2 云計(jì)算與傳統(tǒng)IT的聯(lián)系 （3）
1.2.1 云計(jì)算與網(wǎng)格計(jì)算的關(guān)系 （3）
1.2.2 云計(jì)算與對(duì)等計(jì)算的關(guān)系 （5）
1.2.3 云計(jì)算與集群計(jì)算的關(guān)系 （5）
1.2.4 云計(jì)算與資源虛擬化的關(guān)系 （6）
1.2.5 云計(jì)算與Web服務(wù)技術(shù)的關(guān)系 （8）
1.2.6 云計(jì)算與傳統(tǒng)IT的區(qū)別 （8）
1.3 云計(jì)算的特點(diǎn) （10）
1.3.1 泛在網(wǎng)絡(luò)訪問(wèn) （11）
1.3.2 服務(wù)可度量 （11）
1.3.3 多租戶 （11）
1.3.4 按需自助服務(wù) （11）
1.3.5 快速?gòu)椥陨炜s （12）
1.3.6 資源池化 （13）
1.4 本章小結(jié) （14）
第2章 云計(jì)算所面臨的安全問(wèn)題 （15）
2.1 案例分析 （16）
2.1.1 Google安全問(wèn)題及事件分析 （16）
2.1.2 Amazon宕機(jī)事件及應(yīng)對(duì)措施分析 （16）
2.1.3 Apple服務(wù)安全事件及應(yīng)對(duì)措施分析 （17）
2.1.4 微軟云服務(wù)安全事件及應(yīng)對(duì)措施分析 （17）
2.2 云計(jì)算所面臨的安全問(wèn)題總結(jié) （18）
2.2.1 云安全問(wèn)題的研究分析 （18）
2.2.2 安全問(wèn)題分類 （23）
2.3 本章小結(jié) （31）
第3章 云計(jì)算信息安全管理標(biāo)準(zhǔn)介紹 （32）
3.1 云計(jì)算信息安全管理標(biāo)準(zhǔn)化工作概述 （32）
3.1.1 國(guó)外標(biāo)準(zhǔn)化概況 （32）
3.1.2 國(guó)內(nèi)標(biāo)準(zhǔn)概況 （37）
3.2 云計(jì)算信息安全管理標(biāo)準(zhǔn)化主要成果分析 （42）
3.2.1 CSA云安全控制矩陣 （42）
3.2.2 國(guó)標(biāo)云服務(wù)安全標(biāo)準(zhǔn) （44）
3.2.3 美國(guó)聯(lián)邦政府風(fēng)險(xiǎn)與授權(quán)管理項(xiàng)目FedRAMP （47）
3.2.4 ENISA《云計(jì)算信息安全保障框架》 （51）
3.2.5 ISO/IEC 27018 《信息技術(shù)—安全技術(shù)—公有云中作為個(gè)人信息（PII）
處理者的個(gè)人信息保護(hù)實(shí)用規(guī)則》 （54）
3.2.6 ISO/IEC 27001：2013《信息技術(shù)—安全技術(shù)—信息安全管理體系要求》 （56）
3.3 本章小結(jié) （58）
第4章 云計(jì)算信息安全管理方法和模型 （60）
4.1 常見(jiàn)的信息安全管理方法 （60）
4.1.1 信息安全管理體系 （60）
4.1.2 信息安全等級(jí)保護(hù) （65）
4.1.3 CERT-RMM模型 （68）
4.1.4 其他ISMS 成熟度模型 （73）
4.1.5 專業(yè)領(lǐng)域的信息安全管理方法 （76）
4.2 云計(jì)算安全管理方法 （78）
4.2.1 云計(jì)算安全管理體系 （79）
4.2.2 云計(jì)算安全管理的實(shí)施 （81）
4.3 云計(jì)算信息安全評(píng)估模型 （84）
4.3.1 SSE-CMM模型 （84）
4.3.2 C-STAR模型 （87）
4.4 本章小結(jié) （90）
實(shí)踐篇

第5章 應(yīng)用和接口安全（AIS） （94）
5.1 應(yīng)用和接口安全要求 （94）
5.1.1 應(yīng)用和接口安全概述 （95）
5.1.2 控制條款解讀 （96）
5.2 落地實(shí)施建議 （100）
第6章 審計(jì)保證與合規(guī)性（AAC） （102）
6.1 審計(jì)保證與合規(guī)性要求 （102）
6.1.1 審計(jì)保證與合規(guī)性概述 （103）
6.1.2 控制條款解讀 （103）
6.2 落地實(shí)施建議 （113）
第7章 業(yè)務(wù)連續(xù)性管理和操作彈性（BCR） （116）
7.1 業(yè)務(wù)連續(xù)性管理和操作彈性要求 （116）
7.1.1 業(yè)務(wù)連續(xù)性管理和操作彈性概述 （117）
7.1.2 控制條款解讀 （117）
7.2 落地實(shí)施建議 （126）
第8章 變更控制和配置管理（CCC） （133）
8.1 變更控制和配置管理要求 （133）
8.1.1 變更控制和配置管理概述 （134）
8.1.2 控制條款解讀 （135）
8.2 落地實(shí)施建議 （138）
第9章 數(shù)據(jù)安全和信息生命周期管理（DSI） （150）
9.1 數(shù)據(jù)安全和信息生命周期管理要求 （150）
9.1.1 數(shù)據(jù)安全和信息生命周期管理概述 （151）
9.1.2 控制條款解讀 （151）
9.2 落地實(shí)施建議 （157）
第10章 數(shù)據(jù)中心安全（DCS） （161）
10.1 數(shù)據(jù)中心安全要求 （161）
10.1.1 數(shù)據(jù)中心安全概述 （162）
10.1.2 控制條款詳解 （162）
10.2 落地實(shí)施建議 （167）
第11章 加密和密鑰管理（EKM） （170）
11.1 加密和密鑰管理要求 （170）
11.1.1 加密和密鑰管理概述 （171）
11.1.2 控制條款解讀 （172）
11.2 落地實(shí)施建議 （176）
第12章 治理和風(fēng)險(xiǎn)管理（GRM） （178）
12.1 治理和風(fēng)險(xiǎn)管理要求 （178）
12.1.1 治理和風(fēng)險(xiǎn)管理概述 （179）
12.1.2 控制條款解讀 （179）
12.2 落地實(shí)施建議 （189）
第13章 人力資源（HRS） （197）
13.1 人力資源安全要求 （197）
13.1.1 人力資源安全概述 （198）
13.1.2 控制條款解讀 （199）
13.2 落地實(shí)施建議 （208）
第14章 身份識(shí)別和訪問(wèn)管理（IAM） （210）
14.1 身份識(shí)別和訪問(wèn)管理要求 （210）
14.1.1 身份識(shí)別和訪問(wèn)管理概述 （211）
14.1.2 控制條款解讀 （212）
14.2 落地實(shí)施建議 （221）
第15章 基礎(chǔ)設(shè)施和虛擬化安全（IVS） （225）
15.1 基礎(chǔ)設(shè)施和虛擬化安全要求 （225）
15.1.1 基礎(chǔ)設(shè)施和虛擬化安全概述 （226）
15.1.2 控制條款解讀 （227）
15.2 落地實(shí)施建議 （241）
第16章 互操作性和可移植性（IPY） （243）
16.1 互操作性和可移植性要求 （243）
16.1.1 互操作性和可移植性概述 （244）
16.1.2 控制條款解讀 （245）
16.2 落地實(shí)施建議 （248）
第17章 移動(dòng)安全（MOS） （250）
17.1 移動(dòng)安全要求 （250）
17.1.1 移動(dòng)安全概述 （251）
17.1.2 控制條款解讀 （252）
17.2 落地實(shí)施建議 （269）
第18章 安全事件管理、電子證據(jù)及云端調(diào)查取證（SEF） （271）
18.1 安全事件管理、電子證據(jù)及云端調(diào)查取證要求 （271）
18.1.1 安全事件管理、電子證據(jù)及云端調(diào)查取證概述 （272）
18.1.2 控制條款解讀 （273）
18.2 落地實(shí)施建議 （278）
第19章 供應(yīng)鏈管理、透明性及責(zé)任（STA） （283）
19.1 供應(yīng)鏈管理、透明性及責(zé)任要求 （283）
19.1.1 供應(yīng)鏈管理、透明性及責(zé)任概述 （284）
19.1.2 控制條款解讀 （286）
19.2 落地實(shí)施建議 （292）
第20章 威脅和脆弱性管理（TVM） （295）
20.1 威脅和脆弱性管理要求 （295）
20.1.1 威脅和脆弱性管理概述 （296）
20.1.2 控制條款解讀 （297）
20.2 落地實(shí)施建議 （300）
附錄A CSA云安全控制矩陣ISO/IEC 27001：2013對(duì)照條款 （302）
參考文獻(xiàn) （317）