信息安全管理与工程PDF电子书下载

第1章 信息安全管理体系 1

1.1 信息安全管理概述 1

1.1.1 信息安全概念 1

1.1.2 信息安全管理 2

1.1.3 基于风险的信息安全 3

1.2 信息安全管理体系 9

1.2.1 信息安全管理体系概述 9

1.2.2 信息安全管理体系的框架 10

1.2.3 信息安全管理过程方法要求 10

1.2.4 信息安全管理控制措施要求 11

1.3 信息安全管理体系建立 12

1.3.1 信息安全管理体系的规划和建立 12

1.3.2 信息安全管理体系的实施和运行 14

1.3.3 信息安全管理体系的监视和评审 15

1.3.4 信息安全管理体系的保持和改进 16

1.4 本章小结 16

第2章 信息安全风险管理 18

2.1 风险管理概述 18

2.1.1 风险管理基本概念 18

2.1.2 风险管理方法 19

2.1.3 风险管理术语 19

2.2 风险管理工作内容 21

2.2.1 建立背景 21

2.2.2 风险评估 22

2.2.3 风险处理 23

2.2.4 批准监督 25

2.2.5 监控审查 26

2.2.6 沟通咨询 27

2.3 风险管理目标 27

2.3.1 规划 27

2.3.2 设计 28

2.3.3 实施 29

2.3.4 运维 30

2.3.5 废弃 31

2.4 风险分析 31

2.4.1 定量分析方法 31

2.4.2 定性分析方法 32

2.4.3 定性分析方法与定量分析方法的比较 33

2.5 风险评估 34

2.5.1 评估方法 34

2.5.2 风险评估工具 35

2.5.3 风险评估实践 35

2.6 本章小结 38

第3章 基本信息安全管理 39

3.1 信息安全管理概述 39

3.1.1 信息安全管理相关概念 39

3.1.2 信息安全管理风险的手段 40

3.1.3 基本安全管理控制措施内容 42

3.2 安全策略 42

3.2.1 安全策略的概念 42

3.2.2 安全策略的目标 43

3.2.3 安全策略的实例 44

3.3 人员安全管理 45

3.3.1 人员安全管理的概念 45

3.3.2 人员安全管理的目标 45

3.3.3 人员安全管理的实例 46

3.4 安全组织机构 46

3.4.1 安全组织机构的概念 46

3.4.2 安全组织机构的目标 47

3.4.3 安全组织机构的实例 48

3.5 资产管理 49

3.5.1 资产管理的概念 49

3.5.2 资产管理的目标 49

3.5.3 资产管理的实例 49

3.6 物理与环境安全 50

3.6.1 物理与环境安全的概念 50

3.6.2 物理与环境安全的目标 50

3.6.3 物理与环境安全的实例 51

3.7 访问控制 54

3.7.1 访问控制的概念 54

3.7.2 访问控制的目标 54

3.7.3 访问控制的实例 56

3.8 符合性管理 58

3.8.1 符合性管理的概念 58

3.8.2 符合性管理的目标 58

3.8.3 符合性管理的实例 58

3.9 本章小结 58

第4章 重要信息安全管理措施 60

4.1 系统获取开发和维护 61

4.1.1 系统获取 61

4.1.2 安全信息系统的开发 62

4.1.3 系统维护 63

4.2 信息安全事件管理与应急响应 66

4.2.1 信息安全事件管理和应急响应的基本概念 66

4.2.2 我国信息安全事件应急响应工作的进展情况和政策要求 67

4.2.3 信息安全应急响应阶段方法论 69

4.2.4 信息安全应急响应计划编制方法 71

4.2.5 应急响应小组的作用和建立方法 71

4.2.6 我国信息安全事件分级分类方法 73

4.2.7 国际和我国信息安全应急响应组织 73

4.2.8 计算机取证的概念和作用 74

4.2.9 计算机取证的原则、基本步骤、常用方法和工具 79

4.3 业务连续性管理与灾难恢复 81

4.3.1 业务连续性管理与灾难恢复的基本概念 81

4.3.2 我国灾难恢复工作的进展情况和政策要求 83

4.3.3 数据储存和数据备份与恢复的基本技术 84

4.3.4 灾难恢复管理过程 85

4.3.5 国家有关标准对灾难恢复系统级别和各级别的指标要求 89

4.4 本章小结 93

第5章 信息安全管理华为典型实例 95

5.1 内网安全危机 95

5.1.1 内网安全危机 96

5.1.2 内部威胁为首的主要安全问题 96

5.1.3 确保企业内网安全，解决安全威胁问题 96

5.2 华为终端安全管理解决方案分析 96

5.2.1 华为终端安全管理解决方案 96

5.2.2 接入控制方式 99

5.2.3 华为终端管理安全管理策略与安全性检查 104

5.2.4 Secospace在移动存储介质和外设管理上的控制 105

5.2.5 实例 106

5.3 H3C终端接入控制解决方案 107

5.3.1 整体方案介绍 107

5.3.2 软件架构与安全级别 109

5.3.3 802.1X认证流程 109

5.3.4 EAD解决方案的容灾方案 111

5.3.5 安全工程能力成熟度模型 112

5.4 本章小结 113

第6章 信息安全工程原理 114

6.1 信息安全工程理论背景 114

6.1.1 系统工程与项目管理基础 114

6.1.2 质量管理基础 117

6.1.3 能力成熟度模型基础 117

6.2 信息安全工程能力成熟度模型 119

6.2.1 SSE-CMM体系与原理 119

6.2.2 安全工程过程区域 121

6.2.3 安全工程能力评价 129

6.2.4 SSAM体系与原理 130

6.3 本章小结 132

第7章 信息安全工程实践 133

7.1 安全工程实施实践 134

7.1.1 ISSE安全工程过程 134

7.1.2 发掘信息保护需求 135

7.1.3 定义信息保护系统 137

7.1.4 设计信息保护系统 139

7.1.5 实施信息保护系统 140

7.1.6 评估信息保护系统的有效性 141

7.2 信息安全工程监理 142

7.2.1 信息安全工程监理模型 142

7.2.2 建立阶段目标 143

7.2.3 信息安全工程各方职责 144

7.3 本章小结 145

第8章 信息安全保障 146

8.1 信息安全保障和历史 147

8.1.1 信息安全保障的历史 147

8.1.2 信息安全保障及能力建设 148

8.1.3 国内外信息安全保障工作 151

8.2 信息安全保障体系 156

8.2.1 信息保障的构成 156

8.2.2 深度防御 157

8.2.3 信息安全保障体系的架构 159

8.3 信息安全保障评估框架 160

8.3.1 安全模型 160

8.3.2 几种安全模型 161

8.3.3 信息系统安全问题产生的根源 166

8.3.4 信息系统安全问题的威胁 168

8.3.5 信息安全保障评估框架的组成 170

8.4 信息系统安全保障建设和评估实践 172

8.4.1 信息系统安全保障建设和评估实施 172

8.4.2 信息安全监控与维护 178

8.5 本章小结 178

第9章 信息安全标准介绍 179

9.1 安全标准化概述 180

9.1.1 信息安全标准化概况 180

9.1.2 信息安全标准化组织 183

9.2 信息安全评估标准 185

9.3 信息安全管理标准 187

9.3.1 国际信息安全管理重要标准 187

9.3.2 我国信息安全管理重要标准 187

9.4 等级保护标准 188

9.4.1 信息安全等级保护基本要求 188

9.4.2 等级保护的实施指南 192

9.4.3 等级保护的定级指南 194

9.4.4 测评过程 199

9.5 本章小结 201

第10章 信息安全法律政策和道德规范 202

10.1 信息安全法律法规 203

10.1.1 国家信息安全法制总体情况 203

10.1.2 现行重要信息安全法规 207

10.2 信息安全国家政策 219

10.2.1 国家信息安全保障总体方针 219

10.2.2 电子政府与重要信息系统信息安全政策 221

10.2.3 风险评估有关政策规范 221

10.2.4 等级保护有关政策规范 221

10.3 信息安全从业人员道德规范 222

10.4 通行道德规范 223

10.5 本章小结 223

参考文献 224