信息安全概述 1
信息安全的总体要求和基本原则 2
总体要求 2
基本原则 2
信息安全管理的范围 3
信息基础设施 3
信息安全基础设施 3
基础通信网络 4
广播电视传输网 5
信息系统 5
安全管理在信息安全保障中的地位和作用 6
信息安全管理和组织机构 7
信息安全管理的基本问题 8
信息安全中的分极保护问题 9
信息安全管理的基本内容 20
信息安全管理的指导原则 20
策略原则 20
工程原则 21
安全过程管理与OSI安全管理的关系 23
安全管理过程232.3.2OSI管理 24
2.3.3OSI安全管理 25
2.4信息安全管理的组织机构 27
2.4.1行政管理机构 28
2.4.2信息安全服务与技术管理机构 28
3信息安全管理要素与管理模型 31
3.1概述 32
3.1.1信息安全管理活动 32
3.1.2安全目标、方针和策略 32
3.2与安全管理相关的要素 33
3.2.1资产 33
3.2.2脆弱性 34
3.2.3威胁 34
3.2.4影响 35
3.2.5风险 35
3.2.6残留风险 35
3.2.7安全措施 36
3.2.8约束 36
3.3管理模型 37
3.3.1安全要素关系模型 37
3.3.2风险管理关系模型 38
3.3.3基于过程的信息安全管理模型 40
3.3.4PDCA模型 43
4信息系统生命周期的安全管理 47
4.1安排和规划 48
4.1.1组织的信息安全策略 49
4.1.2信息安全的组织 50
4.1.3风险分析方法 52
4.2管理的技术方法 57
4.2.1信息安全的目标、方针和策略 57
4.2.2组合风险分析法 61
4.3安全措施的选择与实施 70
4.3.1基础性评估 72
4.3.2安全措施 74
4.3.3根据信息系统类型选择基线安全措施 83
4.3.4根据安全重点和威胁选择安全措施 86
4.3.5根据详细风险评估选择安全措施 100
4.3.6安全措施的实施 102
4.3.7安全意识 103
4.4后续活动 104
4.4.1维护安全措施 104
4.4.2安全遵从性 105
4.4.3监控 105
4.4.4事件处理 106
5管理要求与人员安全 107
5.1概述 108
5.2信息安全策略 109
5.2.1信息安全策略文档 109
5.2.2评审与评估 109
5.3组织对安全的管理 110
5.3.1信息安全管理的基础结构 110
5.3.2第三方访问的安全问题 112
5.3.3委外管理 113
5.4人员安全 114
5.4.1岗位定义和资源分配的安全 114
5.4.2用户培训 115
5.4.3对安全事件和故障的响应 116
5.5符合性要求 118
5.5.1符合法律要求 118
5.5.2符合安全策略和技术标准 121
5.5.3系统审计方面的考虑 122
6资产分类与物理安全管理 123
6.1资产分类与管理 124
6.1.1资产分类与责任落实 124
6.1.2信息分类与标记 124
6.2物理和环境安全 125
6.2.1安全区域 125
6.2.2设备安全 127
6.2.3日常性控制措施 129
7运行安全管理 131
7.1网络安全管理 132
7.1.1概述 132
7.1.2任务 132
7.1.3识别和分析 133
7.2通信和操作管理 144
7.2.1操作程序和责任 144
7.2.2系统规划和验收 146
7.2.3脆弱性和补丁 147
7.2.4防范恶意软件 148
7.2.5内务处理 149
7.2.6网络管理 150
7.2.7介质处理和安全 150
7.2.8信息和软件的交换 152
7.3访问控制 162
7.3.1访问控制的策略 162
7.3.2用户访问管理 162
7.3.3用户职责 164
7.3.4网络访问控制 165
7.3.5操作系统访问控制 167
7.3.6应用系统访问控制 170
7.3.7监控系统访问与使用 171
7.3.8移动计算和远程工作 172
7.4系统开发和维护 174
7.4.1系统的安全需求 174
7.4.2应用系统中的安全 175
7.4.3加密控制 176
7.4.4与工程有关的系统文件安全 178
7.4.5开发和支持进程的安全 179
7.5业务持续性管理 181
7.5.1业务持续性管理 182
7.5.2业务持续性和影响的分析 182
7.5.3制订和实施持续性计划 182
7.5.4业务持续性计划框架 182
7.5.5测试、维护和再评估业务持续性计划 183
附录 185
附录1信息安全管理检查列表 186
附录2信息安全应知应会培训参考材料 187
2.1信息安全ABC 187
2.2信息安全知识主题和概念 190
附录3信息安全常见缩略语 197
参考文献 206