信息系统安全运维PDF电子书下载

第1章 概述 1

1.1 信息系统 1

1.1.1 信息 2

1.1.2 系统 3

1.1.3 信息系统 3

1.1.4 新技术影响 4

1.2 系统运维 5

1.2.1 系统运维 5

1.2.2 系统运维现状 6

1.2.3 信息安全运维 7

1.2.4 运维服务特点 8

1.3 安全运维模型 9

1.3.1 安全运维模型 9

1.3.2 安全运维对象 10

1.3.3 安全属性 13

1.3.4 资源 14

1.3.5 管理 15

1.4 安全运维模式 16

1.4.1 安全运维 16

1.4.2 运维安全 16

1.4.3 安全运维的内涵 17

1.4.4 运维模式间关系 18

第2章 安全运维体系 20

2.1 安全运维 22

2.1.1 安全运维主体 22

2.1.2 安全运维对象 24

2.1.3 安全运维流程 26

2.1.4 安全运维支撑平台 28

2.1.5 安全运维活动 31

2.2 运维安全 32

2.2.1 安全因素 32

2.2.2 运维安全过程 33

2.3 合规性要求 34

2.4 评审及改进 35

第3章 合规要求 36

3.1 法律法规要求 36

3.1.1 我国信息安全法律法规的建设历程 36

3.1.2 与我国信息安全密切相关的法律法规 39

3.2 信息安全标准 42

3.2.1 我国信息安全标准发展历程 42

3.2.2 信息安全相关标准 43

3.3 运维服务标准 50

3.3.1 ITIL 50

3.3.2 ISO/IEC 20000 51

3.3.3 ISO/IEC 27001 52

3.3.4 COBIT 52

3.3.5 各地软件服务业行业协会 53

3.3.6 运维服务标准组ITSS 53

3.3.7 运行维护标准 55

3.3.8 服务安全标准 57

第4章 安全策略 58

4.1 安全策略概述 58

4.1.1 安全策略的定义 58

4.1.2 安全策略的作用 59

4.1.3 安全策略的层次 59

4.2 制定安全策略方法 61

4.2.1 制定安全策略的原则 61

4.2.2 制定安全策略的要素 62

4.2.3 制定安全策略的组织 62

4.2.4 制定安全策略的步骤 63

4.3 安全策略内容 65

4.3.1 决策层安全策略 65

4.3.2 管理层安全策略 67

4.3.3 执行层安全策略 69

4.4 案例分析 83

4.4.1 信息安全运维策略框架 83

4.4.2 信息安全策略的执行和维护 85

第5章 运维准备 86

5.1 安全运维需求分析 86

5.1.1 服务需求确认 86

5.1.2 服务需求说明 87

5.1.3 服务需求管理 88

5.2 安全运维策划 89

5.2.1 安全运维架构 89

5.2.2 安全运维活动 91

5.2.3 安全运维团队 91

5.2.4 安全运维平台 94

5.3 安全运维服务预算 95

5.3.1 安全运维预算编制 95

5.3.2 安全运维预算管理 96

5.4 安全运维服务范围 98

5.4.1 安全运维资产梳理 98

5.4.2 安全运维业务梳理 100

5.5 安全运维外包 102

5.5.1 安全运维外包模式 102

5.5.2 安全运维外包风险 102

5.5.3 安全运维外包商的选择 103

5.5.4 安全运维外包商管理 104

5.6 案例分析 104

5.6.1 运维服务用户需求 104

5.6.2 安全运维预算管理 105

5.6.3 安全运维组织 107

5.6.4 运维服务商遴选方案 109

5.6.5 安全运维外包服务要求 116

5.6.6 运维服务范围及内容 118

第6章 运维实施 131

6.1 日常运维 131

6.1.1 日常运维内容 131

6.1.2 日常运维组织保障 143

6.1.3 日常运维处理流程 143

6.1.4 日常安全运维建议 145

6.2 应急响应 146

6.2.1 应急响应内容 146

6.2.2 应急响应组织保障 148

6.2.3 应急响应流程 150

6.2.4 应急响应建议 161

6.3 优化改善 164

6.3.1 优化改善内容 164

6.3.2 优化改善组织保障 170

6.3.3 优化改善流程 170

6.3.4 优化改善建议 173

6.4 监管评估 174

6.5 案例分析 175

6.5.1 设备安全运维案例 175

6.5.2 日常运维应用案例 177

6.5.3 信息系统应急预案 178

6.5.4 安全事件应急响应 182

6.5.5 系统上线前安全测试管控点 184

6.5.6 系统安全运维加固 186

6.5.7 安全专项检查 188

第7章 运维安全 192

7.1 运维安全概述 192

7.2 风险评估 193

7.2.1 风险识别 193

7.2.2 风险获取手段 194

7.2.3 安全风险的提取和分析 195

7.2.4 风险分析 203

7.3 风险处置 213

7.3.1 风险处置方式 213

7.3.2 风险控制策略 214

7.3.3 风险控制措施 216

7.3.4 风险跟踪 225

7.4 过程监控 226

7.4.1 人员行为监控 227

7.4.2 风险过程监控 228

7.5 案例分析 232

7.5.1 运维人员能力不足 232

7.5.2 敏感信息非法窃取 233

7.5.3 应急处置不当 234

第8章 评审及改进 236

8.1 过程有效性评估 236

8.1.1 过程有效性评估概念 236

8.1.2 过程有效性评估原则 236

8.1.3 过程有效性评估特点 237

8.2 过程有效性评估要点 238

8.2.1 过程有效性评估要点设置 238

8.2.2 准备阶段过程有效性评估要点 240

8.2.3 实施阶段过程有效性评估要点 241

8.3 过程有效性评估指标 245

8.3.1 过程有效性评估指标量化管理 245

8.3.2 过程有效性评估量化指标选择 246

8.3.3 过程有效性评估量化指标应用 247

8.4 持续改进 248

8.4.1 日常运维改进 248

8.4.2 应急体系完善 250

8.5 案例分析 252

第9章 信息系统安全运维服务资质认证实施规则概要 253

9.1 通用评价要求 253

9.1.1 三级评价要求 253

9.1.2 二级评价要求 255

9.1.3 一级评价要求 256

9.2 专业评价要求 257

9.2.1 三级要求 257

9.2.2 二级要求 259

9.2.3 一级要求 260

9.3 认证程序 262

9.3.1 自评估 262

9.3.2 认证申请 262

9.3.3 申请材料评审 262

9.3.4 现场评审 262

9.3.5 认证决定 262

9.3.6 证书颁发 263

9.3.7 证后监督 263

9.3.8 认证证书管理 263