信息安全管理：全球最佳實(shí)務(wù)與實(shí)施指南

定　價(jià)：￥40.00

作　者：	孫強(qiáng)，陳偉，王東紅著
出版社：	清華大學(xué)出版社
叢編項(xiàng)：	21世紀(jì)管理信息化前沿 IT治理經(jīng)典叢書
標(biāo)　簽：	知識(shí)/信息管理

購(gòu)買這本書可以去

ISBN：	9787302096542	出版時(shí)間：	2004-10-01	包裝：	膠版紙
開本：	23cm	頁(yè)數(shù)：	341	字?jǐn)?shù)：

內(nèi)容簡(jiǎn)介

　　本書是我國(guó)信息安全管理領(lǐng)域的重要專著，為我國(guó)各類組織管理信息安全風(fēng)險(xiǎn)提供了最佳實(shí)踐。它從標(biāo)準(zhǔn)釋疑、實(shí)施和案例分析三方面入手，全面闡述了信息安全管理體系的全生命周期。文中全面介紹了ISO/IEC 17799（DS7799）這一全球公認(rèn)的信息安全管理標(biāo)準(zhǔn)的產(chǎn)生、發(fā)展歷程及其主要內(nèi)容；深入闡述了實(shí)施信息安全管理的方法、步驟及應(yīng)用軟件；并首次批露我國(guó)企業(yè)實(shí)施BS7799的經(jīng)驗(yàn)和教訓(xùn)；同時(shí)，“BS7799實(shí)施案例”重點(diǎn)從客戶、咨詢公司、廠商三個(gè)方面介紹了四個(gè)典型案例。本書不僅適用于CEO、CIO、IT戰(zhàn)備規(guī)劃主管、CSO、政府和企業(yè)管理人員、IT咨詢顧問，而且也是信息系統(tǒng)審計(jì)師和信息安全管理體系審核員的必備參考佳作，更可作為高等院核校從事信息安全管理教學(xué)研究的師生的參考文獻(xiàn)。

作者簡(jiǎn)介

　　孫強(qiáng)先生，中國(guó)IT治理理念的肇治者，IT治理、IT服務(wù)管理、信息系統(tǒng)審計(jì)等領(lǐng)域知名專家、演講者和作者。目前就任賽迪顧問業(yè)務(wù)拓展總監(jiān)，中國(guó)IT治理專業(yè)委員會(huì)副主任。他長(zhǎng)期致力于探討信息化建設(shè)中深層次的機(jī)制問題，倡導(dǎo)將國(guó)際前沿的IT治理機(jī)制及其方法論與中國(guó)的國(guó)情相結(jié)合中，最近，又創(chuàng)造性地在國(guó)際上開展了COBIT、ISO17799、ITIL、COSO、IT項(xiàng)目管理知識(shí)體系、信息化工程監(jiān)理標(biāo)準(zhǔn)等多個(gè)國(guó)內(nèi)外標(biāo)準(zhǔn)體系之間的整合研究工作。著有《信息系統(tǒng)審計(jì)：安全、風(fēng)險(xiǎn)管理與控制》、《IT服務(wù)管理：發(fā)展、理解與實(shí)施》、《信息安全管理：全球最佳實(shí)務(wù)與實(shí)施指南》、《信息系統(tǒng)工程監(jiān)理》、《IT治理：引領(lǐng)中國(guó)信息化的可持續(xù)發(fā)展》，《IT服務(wù)管理手冊(cè)與通用詞匯表》、《IT服務(wù)管理實(shí)施方法、工具及案例集》，譯有《IT領(lǐng)導(dǎo)力》等。陳偉先生，管理信息系統(tǒng)碩士，國(guó)際注冊(cè)信息系統(tǒng)審計(jì)師，BS7799主任審核員，國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)會(huì)員。BS7799、CISA、CIA資深培訓(xùn)講師，某網(wǎng)絡(luò)安全公司高級(jí)安全顧問。長(zhǎng)期從事企業(yè)信息化建設(shè)，對(duì)國(guó)內(nèi)大中型企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)及安全系統(tǒng)的規(guī)劃、設(shè)計(jì)、實(shí)施有較豐富的經(jīng)驗(yàn)。目前的專業(yè)領(lǐng)域集中于信息安全管理控制領(lǐng)域理論與方法研究，并為國(guó)家財(cái)政部、國(guó)家稅務(wù)總局、中國(guó)工商銀行總行、中國(guó)銀行華北數(shù)據(jù)中心、中核集團(tuán)等多個(gè)大型組織實(shí)施信息安全管理及信息系統(tǒng)審計(jì)咨詢與培訓(xùn)項(xiàng)目。王東紅先生，國(guó)際信息系統(tǒng)審計(jì)，BS7799主任審核員，IT治理經(jīng)典叢書的主要作者。目前主要研究領(lǐng)域?yàn)镮T治理、信息安全管理與業(yè)務(wù)持續(xù)性計(jì)劃，為河北網(wǎng)通、中國(guó)工商銀行總行、中核集團(tuán)等多個(gè)組織實(shí)施過IT治理、IT流程管控及信息安全管理培訓(xùn)與咨詢項(xiàng)目。

圖書目錄

第1章信息安全管理概論
1. 1 什么是信息安全管理
1. 1. 1 信息安全
1. 1. 2 信息安全管理
1. 1. 3 信息安全管理的重要性
1. 1. 4 信息安全管理與信息安全技術(shù)
1. 1. 5 信息安全管理現(xiàn)狀
1. 1. 6 信息安全管理的發(fā)展與國(guó)內(nèi)外標(biāo)準(zhǔn)
1. 2 信息安全管理標(biāo)準(zhǔn)BS7799概述
1. 2. 1 BS7799的歷史
1. 2. 2 BS7799的內(nèi)容簡(jiǎn)介
1. 2. 3 對(duì)BS7799的理解與認(rèn)識(shí)
1. 2. 4 BS7799／ISO／IECl7799在國(guó)際上的爭(zhēng)議
1. 3 組織引入BS7799的目的與模式
1. 3. 1 引入BS7799能給組織帶來什么好處
1. 3. 2 組織實(shí)施BS7799的程序與模式
1. 3. 3 與其它ISO國(guó)際標(biāo)準(zhǔn)的有機(jī)集成
第2章信息安全管理理論與控制規(guī)范
2. 1 基于風(fēng)險(xiǎn)評(píng)估的安全管理模型
2. 1. 1 安全管理模型
2. 1. 2 風(fēng)險(xiǎn)評(píng)估與安全管理
2. 2 PDCA模型
2. 2. 1 PDCA簡(jiǎn)介
2. 2. 2 計(jì)劃階段
2. 2. 3 實(shí)施階段
2. 2. 4 檢查階段
2. 2. 5 改進(jìn)階段
2. 2. 6 持續(xù)的過程
2. 3 信息安全管理控制規(guī)范
2. 3. 1 信息安全方針 A. 3
2. 3. 2 安全組織 A. 4
2. 3. 3 資產(chǎn)分類與控制 A. 5
2. 3. 4 人員安全 A. 6
2. 3. 5 物理與環(huán)境安全 A. 7
2. 3. 6 通信與運(yùn)營(yíng)安全 A. 8
2. 3. 7 訪問控制 A. 9
2. 3. 8 系統(tǒng)開發(fā)與維護(hù) A. 10
2. 3. 9 業(yè)務(wù)持續(xù)性管理 A. 11
2. 3. 10 符合性 A. 12
第3章信息安全管理體系的策劃與準(zhǔn)備
3. 1 什么是信息安全管理體系
3. 1. 1 信息安全管理體系的定義
3. 1. 2 信息安全管理體系的作用
3. 2 信息安全管理體系的準(zhǔn)備
3. 2. 1 管理承諾
3. 2. 2 組織與人員建設(shè)
3. 2. 3 編制工作計(jì)劃
3. 2. 4 能力要求與教育培訓(xùn)
3. 3 信息安全管理體系文件
3. 3. 1 文件的作用
3. 3. 2文件的層次
3. 3. 3 文件的管理
第4章信息安全管理體系的建立
4. 1 建立信息安全管理體系
4. 1. 1 確定信息安全政策
4. 1. 2 確定信息安全管理體系的范圍
4. 1. 3 現(xiàn)狀調(diào)查與風(fēng)險(xiǎn)評(píng)估
4. 1. 4 管理風(fēng)險(xiǎn)
4. 1. 5 選擇控制目標(biāo)和控制對(duì)象
4. 1. 6 適用性聲明
4. 2 信息安全管理體系的運(yùn)行
4. 2. 1 信息安全管理體系的試運(yùn)行
4. 2. 2 保持信息安全管理體系的持續(xù)有效
4. 3 信息安全管理體系的審核
4. 3. 1 什么是信息安全審核
4. 3. 2 信息安全管理體系的審核準(zhǔn)備
4. 3. 3 信息安全體系審核策劃
4. 3. 4 實(shí)施審核
4. 3. 5 審核報(bào)告
4. 3. 6 內(nèi)審中糾正措施的跟蹤
4. 4 信息安全管理體系的管理評(píng)審
4. 4. 1 什么是管理評(píng)審
4. 4. 2 管理評(píng)審的時(shí)機(jī)
4. 4. 3 管理評(píng)審計(jì)劃
4. 4. 4 評(píng)審輸入
4. 4. 5 召開管理評(píng)審會(huì)
4. 4. 6 評(píng)審輸出
4. 4. 7 管理評(píng)審的后續(xù)管理
4. 4. 8 管理評(píng)審的記錄
4. 5 信息安全管理體系的檢查與持續(xù)改進(jìn)
4. 5. 1 對(duì)信息安全管理體系的檢查
4, 5. 2 對(duì)信息管理體系的持續(xù)改進(jìn)
4. 5. 3 管理不符合項(xiàng)的職責(zé)與要求,
第5章信息安全管理體系的認(rèn)證
5. 1 什么是信息安全管理認(rèn)證
5. 2 認(rèn)證的目的和作用
5. 3 認(rèn)證范圍
5. 4 認(rèn)證條件與認(rèn)證機(jī)構(gòu)的選擇
5. 5 信息安全管理體系的認(rèn)證過程
5. 5. 1 認(rèn)證的準(zhǔn)備
5. 5. 2 認(rèn)證的實(shí)施
5. 5. 3 證書與標(biāo)志
5. 5. 4 維持認(rèn)證
5. 5. 5 認(rèn)證案例
第6章信息安全風(fēng)險(xiǎn)評(píng)估詳述
6. 1 信息安全風(fēng)險(xiǎn)評(píng)估的基本概念
6. 1. 1 資產(chǎn)
6. 1. 2 資產(chǎn)的價(jià)值
6. 1. 3 威脅
6. 1. 4 脆弱性
6. 1. 5 安全風(fēng)險(xiǎn)
6. 1. 6 安全需求
6. 1. 7 安全控制
6. 1. 8 安全各組成因素之間的關(guān)系
6. 2 風(fēng)險(xiǎn)評(píng)估過程
6. 2. 1 資產(chǎn)的確定及估價(jià)
6. 2. 2 威脅評(píng)估
6. 2. 3 脆弱性評(píng)估
6. 2. 4 現(xiàn)有的安全控制
6, 2. 5 風(fēng)險(xiǎn)評(píng)價(jià)
6, 3 風(fēng)險(xiǎn)的管理過程
6. 3. 1 安全控制的識(shí)別與選擇
6. 3. 2 降低風(fēng)險(xiǎn)
6. 3. 3 接受風(fēng)險(xiǎn)
6. 4 風(fēng)險(xiǎn)評(píng)估方法
6. 4. 1 基本的風(fēng)險(xiǎn)評(píng)估
6. 4. 2 詳細(xì)的風(fēng)險(xiǎn)評(píng)估
6. 4. 3 聯(lián)合評(píng)估方法
6. 4. 4 選擇風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理方法時(shí)應(yīng)考慮的因素
6. 5 風(fēng)險(xiǎn)因素的常用計(jì)算方法
6. 5. 1 預(yù)定義價(jià)值矩陣法
6. 5. 2 按風(fēng)險(xiǎn)大小對(duì)威脅排序法
6. 5. 3 按風(fēng)險(xiǎn)頻度和危害評(píng)估資產(chǎn)價(jià)值法
6. 5. 4 區(qū)分可接受風(fēng)險(xiǎn)與不接受風(fēng)險(xiǎn)法
6. 5. 5 風(fēng)險(xiǎn)優(yōu)先級(jí)別的確定
6. 5. 6 風(fēng)險(xiǎn)評(píng)估與管理工具的選擇
第7章信息安全管理控制詳述
7. 1 選擇控制措施方法
7. 1. 1 確定安全需求
7. 1. 2 風(fēng)險(xiǎn)評(píng)估與管理
7. 1. 3 選擇控制目標(biāo)與控制措施
7. 2 選擇控制措施的詳細(xì)過程
7. 2. 1 安全需求評(píng)估
7. 2. 2 選擇控制的方法
7. 2. 3 選擇控制的過程
7. 3 控制目標(biāo)與控制措施
7. 3. 1 從安全需求選擇控制
7. 3. 2 從安全問題選擇控制
7. 4 影響選擇控制的因素和條件
7. 4. 1 要考慮的因素
7. 4. 2 限制條件
第8章如何制定信息安全政策與程序
8. 1 為什么要制定安全政策與程序
8. 2 什么是信息安全政策與程序
8. 2. 1 安全政策的內(nèi)容
8. 2. 2 安全程序的內(nèi)容
8. 3 安全政策與程序的格式
8. 3. 1 安全方針的格式
8. 3. 2 安全策略的格式
8. 3. 3 程序文件的內(nèi)容與格式
8. 4 政策與程序的制定過程
8. 5 制定政策與程序時(shí)要注意的問題
8. 5. 1 制定和實(shí)施信息安全政策時(shí)的注意事項(xiàng)
8. 5. 2 編寫信息安全程序時(shí)的注意事項(xiàng)
8. 6 BS7799安全領(lǐng)域內(nèi)有關(guān)策略與程序
8. 6. 1 常用信息安全策略
8. 6. 2 BS7799中要求建立的程序
8. 7 安全政策與程序案例
8. 7. 1 信息安全方針案例
8. 7. 2 安全策略案例
8. 7. 3 信息安全程序的案例
第9章 BS7799實(shí)施工具ISMTOOL
9. 1 ISMTOOL概述
9. 2 ISMTOOL適用范圍
9. 3 ISMTOOL安裝與啟動(dòng)
9. 4 ISMTOOL的系統(tǒng)功能簡(jiǎn)介
9. 4. 1 主要模塊
9. 4. 2 輔助模塊
第10章 BS7799實(shí)施案例
10. 1 案例一：依據(jù)BS7799建設(shè)PKI／CA認(rèn)證中心
10. 1. 1 為什么要依據(jù)BS7799建設(shè)PKI／CA認(rèn)證中心
10. 1. 2 如何結(jié)合BS7799建設(shè)PKI／CA認(rèn)證中心
10. 1. 3 實(shí)施BS7799帶來的效益
10. 2 案例二：在IBAS公司內(nèi)建立信息安全管理體系
10. 2. 1 企業(yè)背景
10. 2. 2 客戶需求
10. 2. 3 實(shí)施過程
10. 2. 4 實(shí)施效果
10. 2. 5 經(jīng)驗(yàn)總結(jié)
10. 3 案例三：BS7799框架下安全產(chǎn)品與技術(shù)的具體實(shí)現(xiàn)
10. 3. 1 引言
10. 3. 2 BS7799控制目標(biāo)與措施
10. 3. 3 利用CA的產(chǎn)品和服務(wù)設(shè)計(jì)ISMS
10. 4 案例四：建立信息安全管理體系的HTP方法
10. 4. 1 問題的提出
10. 4. 2 HTP模型
10. 4. 3 建立HTP信息安全體系的步驟
10. 4. 4 重視信息安全中最活躍的因素--人
10. 4. 5 建立有效的技術(shù)防火墻
10. 4. 6 保證信息安全性. 完整性. 可用性及有效性
10. 4. 7 實(shí)施ISMS項(xiàng)目要點(diǎn)
第11章整合標(biāo)準(zhǔn), 構(gòu)建善治的IT治理機(jī)制
11. 1 何為IT治理
11. 2 四種基本的IT治理支持手段
11. 3 哪個(gè)標(biāo)準(zhǔn)更好
11. 3. 1 COBIT和ITIL的比較
11. 3. 2 COBIT和ISO／IECl7799的比較
11. 3. 3 COBIT 和PRlNCE2的比較
11. 4 四個(gè)標(biāo)準(zhǔn)間的相互聯(lián)系
11. 5 剪裁與實(shí)施
11. 6 總結(jié)
附錄A 信息安全網(wǎng)絡(luò)資源
A. 1 BS7799相關(guān)網(wǎng)絡(luò)資源
A. 2 國(guó)內(nèi)與信息安全相關(guān)的網(wǎng)絡(luò)資源
A. 3 國(guó)外與信息安全相關(guān)的網(wǎng)絡(luò)資源
附錄B 信息安全相關(guān)法律法規(guī)
B. 1 國(guó)家法律
B. 2 行政法規(guī)
B. 3 最高人民法院的司法解釋
B. 4 國(guó)際公約
B. 5 有關(guān)互聯(lián)網(wǎng)法律法規(guī). 政策常用網(wǎng)址