第1章 信息安全管理概论 1
1.1什么是信息安全管理 1
1.1.1信息安全 2
1.1.2信息安全管理 4
1.1.3信息安全管理的重要性 5
1.1.4信息安全管理与信息安全技术 6
1.1.5信息安全管理现状 9
1.1.6信息安全管理的发展与国内外标准 11
1.2信息安全管理标准BS7799概述 15
1.2.1BS7799的历史 15
1.2.2BS7799的内容简介 17
1.2.3对BS7799的理解与认识 22
1.2.4BS7799/ISO/IEC 17799在国际上的争议 23
1.3组织引入BS7799的目的与模式 25
1.3.1引入BS7799能给组织带来什么好处 26
1.3.2组织实施BS7799的程序与模式 27
1.3.3与其它ISO国际标准的有机集成 28
第2章 信息安全管理理论与控制规范 37
2.1基于风险评估的安全管理模型 37
2.1.1安全管理模型 37
2.1.2风险评估与安全管理 38
2.2PDCA模型 40
2.2.1PDCA简介 40
2.2.2计划阶段 43
2.2.3实施阶段 44
2.2.4检查阶段 45
2.2.5改进阶段 46
2.2.6持续的过程 47
2.3信息安全管理控制规范 47
2.3.1信息安全方针(A.3) 48
2.3.2安全组织(A.4) 48
2.3.3资产分类与控制(A.5) 50
2.3.4人员安全(A.6) 51
2.3.5物理与环境安全(A.7) 53
2.3.6通信与运营安全(A.8) 55
2.3.7访问控制(A.9) 59
2.3.8系统开发与维护(A.10) 64
2.3.9业务持续性管理(A.11) 67
2.3.10符合性(A.12) 68
第3章 信息安全管理体系的策划与准备 71
3.1什么是信息安全管理体系 71
3.1.1信息安全管理体系的定义 71
3.1.2信息安全管理体系的作用 73
3.2信息安全管理体系的准备 74
3.2.1管理承诺 74
3.2.2组织与人员建设 74
3.2.3编制工作计划 76
3.2.4能力要求与教育培训 81
3.3信息安全管理体系文件 86
3.3.1文件的作用 86
3.3.2文件的层次 87
3.3.3文件的管理 88
4.1建立信息安全管理体系 91
第4章 信息安全管理体系的建立 91
4.1.1确定信息安全政策 92
4.1.2确定信息安全管理体系的范围 95
4.1.3现状调查与风险评估 96
4.1.4管理风险 98
4.1.5选择控制目标和控制对象 102
4.1.6适用性声明 103
4.2信息安全管理体系的运行 104
4.2.1信息安全管理体系的试运行 105
4.3信息安全管理体系的审核 106
4.3.1什么是信息安全审核 106
4.2.2保持信息安全管理体系的持续有效 106
4.3.2信息安全管理体系的审核准备 109
4.3.3信息安全体系审核策划 112
4.3.4实施审核 118
4.3.5审核报告 129
4.3.6内审中纠正措施的跟踪 133
4.4信息安全管理体系的管理评审 134
4.4.1什么是管理评审 134
4.4.2管理评审的时机 135
4.4.3管理评审计划 135
4.4.4评审输入 137
4.4.5召开管理评审会 137
4.4.8管理评审的记录 138
4.4.7管理评审的后续管理 138
4.4.6评审输出 138
4.5信息安全管理体系的检查与持续改进 139
4.5.1对信息安全管理体系的检查 139
4.5.2对信息管理体系的持续改进 140
4.5.3管理不符合项的职责与要求 141
第5章 信息安全管理体系的认证 145
5.1什么是信息安全管理认证 145
5.2认证的目的和作用 145
5.3认证范围 146
5.4认证条件与认证机构的选择 147
5.5信息安全管理体系的认证过程 149
5.5.1认证的准备 149
5.5.2认证的实施 150
5.5.3证书与标志 154
5.5.4维持认证 155
5.5.5认证案例 156
第6章 信息安全风险评估详述 159
6.1信息安全风险评估的基本概念 159
6.1.1资产 159
6.1.2资产的价值 160
6.1.3威胁 160
6.1.4脆弱性 161
6.1.5安全风险 162
6.1.6安全需求 162
6.1.7安全控制 163
6.1.8安全各组成因素之间的关系 163
6.2.1资产的确定及估价 164
6.2风险评估过程 164
6.2.2威胁评估 166
6.2.3脆弱性评估 170
6.2.4现有的安全控制 173
6.2.5风险评价 173
6.3风险的管理过程 175
6.3.1安全控制的识别与选择 175
6.3.2降低风险 176
6.3.3接受风险 177
6.4风险评估方法 178
6.4.1基本的风险评估 178
6.4.2详细的风险评估 179
6.4.4选择风险评估和风险管理方法时应考虑的因素 181
6.4.3联合评估方法 181
6.5风险因素的常用计算方法 182
6.5.1预定义价值矩阵法 182
6.5.2按风险大小对威胁排序法 183
6.5.3按风险频度和危害评估资产价值法 184
6.5.4区分可接受风险与不接受风险法 185
6.5.5风险优先级别的确定 186
6.5.6风险评估与管理工具的选择 186
第7章 信息安全管理控制详述 189
7.1选择控制措施方法 189
7.1.1确定安全需求 189
7.1.2风险评估与管理 190
7.1.3选择控制目标与控制措施 191
7.2.1安全需求评估 192
7.2选择控制措施的详细过程 192
7.2.2选择控制的方法 193
7.2.3选择控制的过程 195
7.3控制目标与控制措施 197
7.3.1从安全需求选择控制 197
7.3.2从安全问题选择控制 203
7.4影响选择控制的因素和条件 205
7.4.1要考虑的因素 205
7.4.2限制条件 206
第8章 如何制定信息安全政策与程序 209
8.1为什么要制定安全政策与程序 209
8.2什么是信息安全政策与程序 210
8.2.1安全政策的内容 210
8.2.2安全程序的内容 212
8.3安全政策与程序的格式 213
8.3.1安全方针的格式 213
8.3.2安全策略的格式 214
8.3.3程序文件的内容与格式 215
8.4政策与程序的制定过程 216
8.5制定政策与程序时要注意的问题 219
8.5.1制定和实施信息安全政策时的注意事项 219
8.5.2编写信息安全程序时的注意事项 221
8.6 BS7799安全领域内有关策略与程序 222
8.6.1常用信息安全策略 222
8.6.2 BS7799中要求建立的程序 223
8.7.1信息安全方针案例 224
8.7安全政策与程序案例 224
8.7.2安全策略案例 231
8.7.3信息安全程序的案例 235
第9章 BS7799实施工具ISMTOOL 239
9.1ISMTOOL概述 239
9.2ISMTOOL适用范围 240
9.3ISMTOOL安装与启动 241
9.4ISMTOOL的系统功能简介 242
9.4.1主要模块 242
9.4.2辅助模块 252
第10章 BS7799实施案例 257
10.1 案例一:依据BS7799建设PKI/CA认证中心 257
10.1.1为什么要依据BS7799建设PKI/CA认证中心 257
10.1.2如何结合BS7799建设PKI/CA认证中心 258
10.1.3实施BS7799带来的效益 267
10.2案例二:在IBAS公司内建立信息安全管理体系 268
10.2.1企业背景 268
10.2.2客户需求 268
10.2.3实施过程 269
10.2.4实施效果 272
10.2.5经验总结 273
10.3案例三:BS7799框架下安全产品与技术的具体实现 273
10.3.1引言 273
10.3.2 BS7799控制目标与措施 274
10.3.3利用CA的产品和服务设计ISMS 274
10.4.2 HTP模型 281
10.4.1问题的提出 281
10.4案例四:建立信息安全管理体系的HTP方法 281
10.4.3建立HTP信息安全体系的步骤 285
10.4.4重视信息安全中最活跃的因素——“人” 291
10.4.5建立有效的“技术防火墙” 293
10.4.6保证信息安全性、完整性、可用性及有效性 295
10.4.7实施ISMS项目要点 298
第11章 整合标准,构建善治的IT治理机制 301
11.1何为IT治理 302
11.2四种基本的IT治理支持手段 302
11.3哪个标准更好 310
11.3.1COBIT和ITIL的比较 311
11.3.2 COBIT 和 ISO/IEC 17799比较 311
11.3.3 COBIT和PRINCE2的比较 312
11.4四个标准间的相互联系 315
11.5剪裁与实施 321
11.6总结 322
附录A 信息安全网络资源 323
A.1 BS7799相关网络资源 323
A.2 国内与信息安全相关的网络资源 324
A.3 国外与信息安全相关的网络资源 326
附录B 信息安全相关法律法规 329
B.1 国家法律 329
B.2行政法规 330
B.3最高人民法院的司法解释 332
B.4国际公约 332
B.5有关互联网法律法规、政策常用网址 332