信息安全管理概论 BS7799理解与实施PDF电子书下载

前言 1

第1章 信息安全管理概述 1

1．1 信息安全管理历史回顾与现状 1

1．1．1 信息安全管理历史回顾 1

1．1．2 信息安全管理现状 3

1．2 信息安全的重要性 9

1．2．1 信息安全的基本概念 9

1．2．2 信息安全的重要性 10

1．2．3 如何确定组织信息安全的要求 12

1．3 如何确保信息安全 13

1．3．1 基于风险分析的安全管理方法 13

1．3．2 BS7799发展历史与展望 15

1．3．3 信息安全管理体系的作用 17

第2章 信息安全风险评估与管理 18

2．1 风险评估与管理基本概念 18

2．1．1 与风险评估有关的概念 18

2．1．2 与风险管理有关的概念 19

2．1．3 术语概念之间的关系 20

2．2 风险评估过程 21

2．2．1 风险评估的基本步骤 21

2．2．2 资产识别与估价 23

2．2．3 威胁识别与评价 24

2．2．4 薄弱点评价与已有控制措施的确认 26

2．2．5 风险评估 28

2．3．1 安全控制的识别和选择 35

2．3 风险控制过程 35

2．3．2 风险控制 37

2．3．3 风险接受 38

2．4 风险评估与管理方法 39

2．4．1 基本的风险评估 39

2．4．2 详细的风险评估 41

2．4．3 联合评估方法 42

2．4．4 风险评估和管理方法的选择应考虑的因素 43

3．1 信息安全方针 44

第3章 风险管理实施惯例 44

3．2 安全组织 46

3．2．1 信息安全组织机构 46

3．2．2 第三方访问安全 50

3．2．3 外包控制 51

3．3 资产分类与控制 52

3．3．1 资产责任 52

3．3．2 信息分类 53

3．4 人员安全 54

3．4．1 工作职责与人员考察 54

3．4．2 用户培训 56

3．4．3 安全事故与安全故障反应 57

3．5 实物与环境安全 60

3．5．1 安全区域 60

3．5．2 设备安全 65

3．5．3 通用控制 69

3．6．1 操作程序与职责 70

3．6 通信和运作管理 70

3．6．2 系统策划与验收 74

3．6．3 恶意软件的控制 75

3．6．4 内务管理 78

3．6．5 网络管理 80

3．6．6 媒体处理与安全 86

3．6．7 信息与软件交换 88

3．7．1 访问控制方针 95

3．7 访问控制 95

3．7．2 用户访问管理 97

3．7．3 用户职责 101

3．7．4 网络访问控制 102

3．7．5 操作系统访问控制 108

3．7．6 应用访问控制 113

3．7．7 系统访问与使用的监控 115

3．7．8 移动式计算与远程工作 118

3．8．1 系统安全要求 120

3．8 系统开发与维护 120

3．8．2 应用系统的安全 121

3．8．3 加密技术控制 125

3．8．4 系统文件的安全 141

3．8．5 开发和支持过程中的安全 143

3．9 商务持续性管理 148

3．10 依从 154

3．10．1 依从法律法规要求 154

3．10．2 安全方针和技术依从评审 161

3．10．3 系统审核考虑的因素 163

第4章 信息安全管理标准介绍 165

4．1 标准的应用范围 165

4．2 标准结构介绍 167

4．3 信息安全管理体系要求 168

4．3．1 总则 168

4．3．2 建立管理架构 169

4．3．4 文件化 172

4．3．3 实施 172

4．3．5 文件控制 173

4．3．6 记录 173

4．4 控制细则 174

4．4．1 安全方针 174

4．4．2 安全组织 175

4．4．3 资产分类与控制 177

4．4．4 人员安全 178

4．4．5 实物与环境安全 180

4．4．6 通信与运作管理 183

4．4．7 访问控制 190

4．4．8 系统开发与维护 197

4．4．9 商务持续性管理 201

4．4．10 依从 203

第5章 建立信息安全管理体系的方法与步骤 206

5．1 信息安全管理体系策划与准备 207

5．1．1 教育培训 207

5．1．2 拟定计划 209

5．1．3 确定信息安全方针与信息安全管理体系范围 210

5．1．4 现状调查与风险评估 210

5．1．5 信息安全管理体系策划 211

5．2 信息安全管理体系文件编写 213

5．2．1 体系文件编写原则与要求 213

5．2．2 体系文件的结构与内容 214

5．3 信息安全管理体系的运行 218

5．4．1 体系审核的概念 219

5．4 信息安全管理体系审核 219

5．4．2 体系审核准则和步骤 220

5．4．3 体系审核的策划 221

5．4．4 审核准备 222

5．4．5 审核实施 225

5．4．6 审核报告 225

5．4．7 纠正措施 226

5．4．8 审核风险控制 227

5．5．2 信息安全管理体系评审输出 228

5．5 信息安全管理体系评审 228

5．5．1 信息安全管理体系评审输入 228

5．5．3 信息安全管理体系评审程序 229

5．5．4 体系评审与持续改进 230

第6章 信息安全管理体系认证 231

6．1 信息安全管理体系认证概述 231

6．1．1 有关体系认证的基本概念 231

6．1．2 信息安全管理体系认证的目的与作用 233

6．1．3 信息安全管理认证的依据与范围 234

6．1．4 申请认证 235

6．2 信息安全管理体系认证过程 237

6．2．1 文件审核与初访 237

6．2．2 初始审核 238

6．2．3 维持认证 242

附录 我国主要信息安全法律法规 243

参考文献 247