第1章 信息安全保障基础 1
1.1 信息安全保障背景 1
1.1.1 信息安全的内涵和外延 1
1.1.2 信息安全问题根源 4
1.1.3 信息技术与信息安全发展阶段 4
1.2 信息安全保障概念与模型 6
1.2.1 信息安全保障概念 6
1.2.2 信息安全保障相关模型 7
1.3 信息系统安全保障概念与模型 12
1.3.1 信息系统安全保障概念 12
1.3.2 信息系统安全保障模型 14
思考题 18
第2章 信息安全保障实践 19
2.1 信息安全保障现状 19
2.1.1 国外信息安全保障现状 19
2.1.2 我国信息安全保障现状 24
2.2 我国信息安全保障工作主要内容 33
2.2.1 信息安全标准化 33
2.2.2 信息安全应急处理与信息通报 34
2.2.3 信息安全等级保护 37
2.2.4 信息安全风险评估 39
2.2.5 灾难恢复 42
2.2.6 人才队伍建设 43
2.3 信息安全保障工作方法 44
2.3.1 确定信息安全需求 45
2.3.2 设计并实施信息安全方案 46
2.3.3 信息安全测评 46
2.3.4 信息安全监测与维护 50
思考题 50
第3章 信息安全管理基础 51
3.1 信息安全管理概述 51
3.1.1 信息安全管理基本概念 51
3.1.2 信息安全管理作用 52
3.1.3 信息安全管理关键成功因素 54
3.2 信息安全管理方法与实施 55
3.2.1 信息安全管理方法 55
3.2.2 信息安全管理实施 57
思考题 60
第4章 信息安全风险管理 61
4.1 信息安全风险管理基础 61
4.1.1 风险相关基本概念 61
4.1.2 信息安全风险管理概述 63
4.1.3 信息安全风险相关政策与标准 64
4.2 信息安全风险管理主要内容 66
4.2.1 信息安全风险管理的基本内容和过程 66
4.2.2 信息系统生命周期与信息安全风险管理 68
4.3 信息安全风险评估主要内容 70
4.3.1 风险评估工作形式 70
4.3.2 风险评估方法 71
4.3.3 风险评估的实施流程 74
4.3.4 风险评估工具 78
思考题 79
第5章 信息安全管理体系 80
5.1 信息安全管理体系基础 80
5.1.1 管理职责 80
5.1.2 文档控制 81
5.1.3 内部审核和管理评审 82
5.1.4 信息安全管理体系认证 83
5.2 信息安全管理体系建设 83
5.2.1 规划与建立ISMS 83
5.2.2 实施和运行ISMS 85
5.2.3 监视和评审ISMS 86
5.2.4 保持和改进ISMS 88
5.3 信息安全控制措施 89
5.3.1 安全方针 89
5.3.2 信息安全组织 90
5.3.3 资产管理 91
5.3.4 人力资源安全 92
5.3.5 物理和环境安全 94
5.3.6 通信和操作管理 96
5.3.7 访问控制 101
5.3.8 信息系统获取、开发和维护 104
5.3.9 符合性 106
思考题 108
第6章 应急响应与灾难恢复 109
6.1 应急响应概况 109
6.1.1 信息安全事件分类与分级 111
6.1.2 信息安全应急响应管理过程 112
6.1.3 计算机取证 114
6.2 信息系统灾难恢复 115
6.2.1 灾难恢复概况 115
6.2.2 灾难恢复管理过程 119
6.2.3 灾难恢复能力 122
6.3 灾难恢复相关技术 123
6.3.1 存储技术 124
6.3.2 备份技术 125
6.3.3 备用场所 126
6.3.4 云灾备技术 128
6.4 灾难恢复案例 128
6.4.1 灾难恢复需求分析 129
6.4.2 灾难恢复策略制定 130
思考题 131
第7章 信息内容安全 132
7.1 信息内容安全基础 132
7.1.1 信息内容安全的内涵与界定 132
7.1.2 信息内容安全与网络舆情 133
7.1.3 网络舆情基本概念 133
7.2 我国网络舆情状况 134
7.2.1 网络舆情相关政策 134
7.2.2 我国网络舆情生态 136
7.3 网络舆情管理 139
7.3.1 网络舆情收集 139
7.3.2 网络舆情分析 143
7.3.3 网络舆情应对 145
思考题 147
第8章 信息安全工程基础 148
8.1 信息安全工程概述 148
8.1.1 信息安全工程概念 148
8.1.2 信息安全工程理论基础 149
8.2 信息安全工程实施 153
8.2.1 发掘信息保护需求 154
8.2.2 定义信息系统安全要求 155
8.2.3 设计系统安全体系结构 155
8.2.4 开发详细安全设计 156
8.2.5 实现系统安全 157
8.2.6 评估信息保护的有效性 158
8.2.7 支持认证和认可 158
8.3 信息安全工程监理 159
8.3.1 信息安全工程监理概述 159
8.3.2 工程招标阶段监理 161
8.3.3 工程设计阶段监理 163
8.3.4 工程实施阶段监理 164
8.3.5 工程验收阶段监理 165
思考题 166
第9章 信息安全工程能力评估 167
9.1 SSE-CMM概述 167
9.1.1 SSE-CMM概念及作用 167
9.1.2 SSE-CMM的体系结构 168
9.2 信息安全工程过程 171
9.2.1 风险过程领域 171
9.2.2 工程过程领域 172
9.2.3 保证过程领域 176
9.3 信息安全工程能力 178
9.4 SSE-CMM评估方法 182
思考题 183
第10章 信息安全法规与政策 184
10.1 信息安全法规 184
10.1.1 我国信息安全法规体系框架 184
10.1.2 信息安全相关国家法律 187
10.1.3 信息安全相关行政法规和部门规章 196
10.1.4 信息安全相关地方法规、地方规章和行业规定 198
10.1.5 国外典型国家信息安全相关法规简介 199
10.2 信息安全政策 200
10.2.1 国家信息安全政策概况 200
10.2.2 信息安全相关国家政策 201
10.2.3 国外信息安全相关政策 209
思考题 210
第11章 信息安全标准 211
11.1 信息安全标准基础 211
11.1.1 标准的作用 212
11.1.2 标准化的特点和原则 213
11.1.3 我国国家标准的类型和代码 214
11.1.4 标准的编制过程 214
11.2 信息安全标准化组织 215
11.2.1 国际信息安全标准化组织 215
11.2.2 国外信息安全标准化组织 217
11.2.3 我国信息安全标准化组织 219
11.3 信息安全标准体系 220
11.3.1 我国信息安全标准体系 220
11.3.2 信息安全等级保护标准体系 221
11.3.3 国际信息安全标准体系 223
11.4 我国信息安全典型标准介绍 223
11.4.1 基础标准 224
11.4.2 技术与机制标准 224
11.4.3 管理标准 225
11.4.4 测评标准 226
11.4.5 密码技术标准 227
11.4.6 保密技术标准 228
思考题 228
第12章 信息安全道德规范 229
12.1 信息技术通行道德规范 229
12.1.1 计算机使用道德规范 229
12.1.2 互联网使用道德规范 230
12.2 信息安全从业人员道德规范 230
12.2.1 信息安全从业人员基本道德规范 230
12.2.2 CISP职业道德准则 231
思考题 232
附录A我国法律涉及信息安全条款摘录 233
附录B部分信息安全国家标准列表 253
附录C缩略语 259
参考资料 266