安全计划与灾难恢复PDF电子书下载

第一部分 制定安全计划的指导原则 3

第1章 信息安全计划的任务 3

1.1 正确的开端 4

1.2 确定安全部门的任务 5

1.2.1 报告的机构 5

1.2.2 任务声明 6

1.2.3 长期目标 7

1.2.4 短期目标 8

1.3 关系 8

1.3.1 技术关系 8

1.3.2 业务关系 11

1.4 检查清单：计划的关键任务 14

第2章 美国的相关法律和法规 15

2.1 与执法部门合作 17

2.2 法律背景 17

2.2.1 计算机欺骗和滥用法（1986年版） 18

2.2.2 电子通信隐私法（1986年版） 19

2.2.3 计算机安全法（1987） 21

2.2.4 国家信息基础设施保护法（1996） 21

2.2.5 Gramm-Leach-Bliley金融服务现代化法案（GLBA） 22

2.2.6 医疗保险信息携带及责任法案（HIPAA） 25

2.3 网络资源 28

2.4 检查清单：信息安全法律问题的要点 28

第3章 评估 29

3.1 内部审计 31

3.2 外部审计 32

3.3 评估 33

3.3.1 自我评估 33

3.3.2 漏洞评估 34

3.3.3 穿透测试 35

3.3.4 风险评估 37

3.4 检查清单：评估的要点 40

第二部分 计划的实施 43

第4章 制定政策与程序 43

4.1 政策的目的 44

4.2 制定政策 45

4.2.1 可接受使用政策（AUP） 45

4.2.2 信息安全政策 46

4.3 现有文档的处理 51

4.4 使他们认可 52

4.5 政策审查 53

4.6 检查清单：制定政策与程序的要点 54

第5章 安全计划的实施 55

5.1 从何处开始 57

5.1.1 建立计划书 57

5.1.2 风险评估 59

5.1.3 降低风险的计划 59

5.1.4 制定政策 61

5.1.5 解决方案的部署 61

5.1.6 培训 61

5.1.7 审计和报告 61

5.1.8 重新再做一遍 62

5.2 和系统管理员们一起工作 63

5.3 和管理者一起工作 64

5.4 教育用户 66

5.5 检查清单：安全计划实施的要点 66

第6章 部署新项目和新技术 67

6.1 新的业务项目 68

6.1.1 需求定义 69

6.1.2 系统设计 71

6.1.3 内部开发 81

6.1.4 第三方产品 81

6.1.5 测试 82

6.1.6 试运行 82

6.1.7 完全产品化 83

6.2 检查清单：部署业务项目的要点 83

第7章 安全培训和安全意识 85

7.1 用户意识 86

7.2 管理者意识 87

7.3 安全小组的培训和意识 88

7.4 培训方法 89

7.4.1 工作描述 89

7.4.2 始业教育 90

7.4.3 可接受使用政策（AUP） 90

7.4.4 正式的课堂培训 90

7.4.5 研讨会和自助会议 91

7.4.6 时事通讯和网站 92

7.4.7 大型活动 93

7.4.8 会议 93

7.5 检查清单： 安全培训和安全意识的要点 94

第8章 安全监控 95

8.1 政策监控 96

8.1.1 意识 96

8.1.2 系统 97

8.1.3 员工 98

8.1.4 计算机的使用政策 98

8.2 网络监控 99

8.2.1 系统配置 99

8.2.2 网络攻击 99

8.2.3 网络监控机制 100

8.3 审计日志的监控 101

8.3.1 非授权的访问 101

8.3.2 不合适的行为 101

8.3.3 有效日志监控机制 102

8.4 安全漏洞监控 103

8.4.1 软件补丁 103

8.4.2 配置问题 103

8.4.3 识别安全漏洞的机制 104

8.5 检查清单：安全监控的要点 106

第三部分 安全计划的管理 109

第9章 安全预算 109

9.1 确定需求 110

9.2 制定预算 111

9.3 其他事项 112

9.3.1 人员需求 112

9.3.2 培训费用 113

9.3.3 软件和硬件维护 114

9.3.4 外部服务 115

9.3.5 新产品 116

9.3.6 不可预料的费用 117

9.4 严格执行预算 117

9.5 检查清单：安全计划预算中的要点 117

第10章 安全人员 119

10.1 技能领域 120

10.1.1 安全管理能力 120

10.1.2 政策开发能力 121

10.1.3 体系结构设计能力 122

10.1.4 研究能力 122

10.1.5 评估能力 122

10.1.6 审计能力 122

10.2 雇用好的员工 123

10.2.1 职业道德 123

10.2.2 能力与经验 123

10.2.3 个性品质 124

10.2.4 认证证书 125

10.3 小型机构 126

10.3.1 职员的技能 126

10.3.2 寻找外部的技能 127

10.4 大型机构 128

10.4.1 安全部门的基本编制 128

10.4.2 寻找外部的技能 128

10.5 检查清单：雇用职员的要点 129

第11章 报告 131

11.1 项目计划的进度 132

11.2 安全的状态 133

11.2.1 测度 133

11.2.2 风险的测量 135

11.3 投资回报 139

11.3.1 业务项目 140

11.3.2 直接的回报 140

11.4 意外事件 140

11.4.1 事件的事实描述 140

11.4.2 被利用的安全漏洞 141

11.4.3 采取的行动 141

11.4.4 建议 141

11.5 审计 141

11.6 检查清单：安全报告中的要点 142

第四部分 如何响应意外事件 145

第12章 事件响应 145

12.1 事件响应组 146

12.1.1 小组成员 146

12.1.2 领导 148

12.1.3 授权 148

12.1.4 小组筹备 148

12.2 事件确认 149

12.2.1 事件是什么 149

12.2.2 要查找什么 149

12.2.3 服务台的帮助 151

12.3 升级 151

12.3.1 调查 152

12.3.2 收集证据 152

12.3.3 决定如何响应 153

12.4 控制措施 153

12.5 事件根除 154

12.6 文档 155

12.6.1 事件发生前的文档 155

12.6.2 事件处理过程中的文档 156

12.6.3 事件处理后的文档 157

12.7 法律问题 157

12.7.1 监控 157

12.7.2 证据收集 158

12.8 检查清单：事件响应的要点 158

第13章 制定意外事件的应急计划 159

13.1 灾难定义 161

13.2 确定重要的系统和数据 162

13.2.1 业务影响分析 162

13.2.2 采访过程 164

13.3 准备 164

13.3.1 风险分析项目 164

13.3.2 资产清单 165

13.3.3 获得资金 166

13.3.4 支出的理由 167

13.3.5 资金分配 167

13.3.6 组织间的合作和合作政策 167

13.4 把DPR工作组和指导委员会一起考虑 168

13.5 常规程序 169

13.6 资源 171

13.7 检查清单：应急计划的要点 172

第14章 灾难响应 173

14.1 真实性检查 174

14.1.1 先发生的事情先处理 174

14.1.2 损失评估 174

14.2 定义权威和工作组 175

14.2.1 工作组的召集 176

14.2.2 可用技术评估 177

14.2.3 设定优先次序 177

14.2.4 设定目标 177

14.3 是否遵守计划 178

14.4 灾难的阶段 178

14.4.1 灾难响应阶段 179

14.4.2 恢复运作阶段 180

14.4.3 恢复生产阶段 181

14.4.4 灾后重建阶段 182

14.5 检查清单：灾难响应的要点 183

第五部分 附录 187

附录A 处理审计 187

A.1 成为其中一员 188

A.1.1 信息搜集 188

A.1.2 审计报告 188

A.1.3 响应审计 189

A.2 内部审计 189

A.2.1 例行审计 190

A.2.2 特定问题的审计 190

A.3 外部审计 191

A.3.1 财务审计 191

A.3.2 SAS-70 192

A.4 信息安全部门对审计的响应 195

A.5 检查清单：审计中的关键步骤 196

附录B 安全外包 197

B.1 外包安全服务 198

B.1.1 “技术性”的安全服务 198

B.1.2 “面向人”的安全服务 199

B.2 选择外包什么 199

B.2.1 选择外包的理由 199

B.2.2 外部安全服务的费用 200

B.2.3 回到风险管理问题 201

B.3 选择安全服务商 202

B.3.1 服务 202

B.3.2 价格 203

B.3.3 其他问题 203

B.4 与服务商一起工作 204

B.4.1 经常进行沟通和交流 204

B.4.2 设定期望值 204

B.4.3 风险管理 205

B.5 检查清单：外部安全服务的关键要点 205

附录C 管理新的安全项目 207

C.1 需求定义 208

C.1.1 安全需求 208

C.1.2 故障时切换需求 209

C.1.3 性能需求 209

C.1.4 可管理性需求 210

C.1.5 集成的需求 210

C.2 征求建议书（RFP） 211

C.2.1 RFP的内容 211

C.2.2 RFP的条件 211

C.3 评估供应商的反馈 211

C.3.1 技术部分的评估 212

C.3.2 非技术部分的评估 213

C.3.3 折衷 213

C.4 选择供应商 213

C.5 内部开发新信息安全项目 214

C.6 在内部进行产品集成 214

C.6.1 技术集成 214

C.6.2 程序的集成 214

C.7 安全产品的集成 215

C.8 检查清单：部署新信息安全技术的关键要点 215

附录D 安全计划与灾难恢复蓝图 217