第1部分 策略简介 3
第1章 策略定义 3
1.1简介 3
1.2定义策略 4
1.3探讨有史以来的策略 5
将《圣经》作为古代的策略 6
将美国宪法作为策略革命 7
1.4定义策略在政府中的作用 8
1.5定义策略在企业文化中的作用 9
服务、产品和企业文化中的一致性 9
遵从政府策略 11
1.6理解策略的心理学 11
使那些知道什么是可能的人参与进来 12
环境中的变化 15
1.7引荐策略 15
获得批准 15
把策略引荐给组织 16
1.8使策略被接受 17
组织文化来源于最高层 17
通过良好的交流强化策略 18
响应环境变化 18
1.9执行信息安全策略 18
执行行为性策略 19
执行技术性策略 19
1.10本章小结 20
1.11自测题 21
多项选择题 21
练习题 23
项目题 24
案例研究 24
第2章 策略的元素 26
2.1简介 26
2.2定义策略配套文档:标准、准则和规程 27
标准 27
准则 28
规程 28
2.3开发策略风格和格式 28
在编写策略之前做出计划 29
2.4定义策略元素 30
策略标题 31
策略目标 32
策略目的声明 32
策略受众 33
策略声明 34
策略例外情况 34
策略执行条款 35
策略定义 37
2.5本章小结 38
2.6自测题 38
多项选择题 38
练习题 41
项目题 42
案例研究 43
第2部分 信息安全策略的各个领域 47
第3章 信息安全框架 47
3.1简介 47
3.2计划信息安全计划的目标 48
C代表保密性 48
I代表完整性 50
A代表可用性 51
信息安全的5个A:另外一些有意义的字母及其含义 52
3.3对数据和信息进行分类 53
3.4确定信息所有权角色 55
3.5 ISO 17799/BS 7799信息安全管理实施细则 55
3.6使用ISO 17799: 2000的10个安全领域 56
安全策略 57
组织安全 57
资产分类和控制 57
人员安全 57
物理和环境安全 57
通信和运营管理 58
访问控制 58
系统开发和维护 58
业务连续性管理 58
合规性 59
可能具有这么多策略吗 59
3.7本章小结 59
3.8自测题 60
多项选择题 60
练习题 62
项目题 63
案例研究 64
第4章 安全策略文档和组织的安全策略 65
4.1简介 65
4.2撰写权威声明 66
谁应该签署权威声明 66
权威声明应该传达什么消息 66
安全斗士的角色 67
4.3安全策略文档策略——关于策略的策略 68
组织的安全策略文档与美国联邦法律之间有关系吗 68
安全策略的雇员版本的要求 69
策略是动态的 70
4.4管理组织的安全 71
创建支持信息安全目标的组织结构 71
其他人有访问权限吗 73
外包日益成为一种趋势 74
4.5本章小结 76
4.6自测题 76
多项选择题 76
练习题 79
项目题 80
案例研究 81
第5章 资产分类 83
5.1简介 83
5.2我们在尝试保护什么 84
信息系统 84
谁负责信息资产 84
5.3信息分类 86
政府和军队的分类系统 87
商业分类系统 88
5.4信息分类标记和处理 91
信息标记 91
熟悉的标签 91
信息处理 91
5.5信息分类计划生命周期 91
信息分类规程 92
重新分级/撤销密级 92
5.6信息系统的价值和关键程度 94
我们如何知道我们拥有什么 95
资产清单方法 95
资产清单的特征和属性 96
系统表征 97
5.7本章小结 99
5.8自测题 99
多项选择题 99
练习题 101
项目题 103
案例研究 104
第6章 人员安全 105
6.1简介 105
6.2初次接触 106
工作说明 107
面试 107
6.3这个人是谁 108
背景检查的类型 110
6.4雇员协议的重要性 112
保密性协议 112
信息安全确认协议 113
6.5培训重要吗 115
适用于各种计划的SETA 116
利用安全意识影响行为 116
利用安全培训传授技能 117
安全教育是知识驱动的 117
投资于培训 117
6.6安全事件报告是每个人的责任 118
事件报告培训 119
安全报告机制 119
测试规程 119
6.7本章小结 120
6.8自测题 120
多项选择题 120
练习题 123
项目题 124
案例研究 125
第7章 物理与环境安全策略和规程 129
7.1简介 129
7.2设计安全区域 130
保护周界安全 130
实施物理入口控制 132
保护办公室、房间和设施安全 133
在安全区域中工作 134
7.3保护设备安全 135
设备安置和保护 136
无电不工作 137
安全地处置和重用设备 138
7.4一般控制 139
清扫桌面和清除屏幕 140
移走公司财产 141
7.5本章小结 142
7.6自测题 142
多项选择题 142
练习题 144
项目题 145
案例研究 146
第8章 通信和运营管理 147
8.1简介 147
8.2标准操作规程 148
为什么要编制操作规程的文档 148
开发标准操作规程文档编制 149
授权SOP文档编制 152
保护SOP文档编制 153
SOAP更改管理 153
8.3操作更改控制 154
第1步:评估 154
第2步:记录更改 154
第3步:交流 155
8.4事件响应计划 156
事件和严重性级别 156
指定的事件处理者是谁 158
事件报告、响应和处理规程 158
分析事件和故障 159
报告可疑的或者观察到的安全弱点 159
测试可疑的或观察到的安全弱点 160
8.5恶意软件 161
什么是恶意软件 161
恶意软件控制 162
8.6信息系统备份 165
定义备份策略 165
测试恢复的重要性 165
8.7管理便携式存储设备 167
控制非公司所有的可移动介质 168
控制公司所有的可移动介质离开公司建筑物 169
存储可移动介质 170
安全地重用和处置介质 171
外包介质拆除 172
当感到怀疑时就检查日志 172
运输过程中的介质安全 173
仅适用于经过授权的快递员 173
在运输期间物理地保护介质 174
与运输介质相关的安全控制 174
保护公共可用系统上的数据安全 176
发布数据和遵守法律 176
对渗透测试的要求 177
8.8保护电子邮件安全 177
电子邮件不同于其他通信形式吗 178
我们可能是我们自己最坏的敌人 179
危及电子邮件服务器 180
8.9本章小结 181
8.10自测题 181
多项选择题 181
练习题 183
项目题 185
案例研究 187
第9章 访问控制 189
9. 1简介 189
9.2什么是安全姿态 190
拒绝全部或者不拒绝全部……这是一个问题 190
执行业务活动的最少特权 190
你需要知道吗,或者只是想知道 191
我们如何知道谁需要什么 191
谁决定谁需要什么 192
9.3管理用户访问 193
一个人授权,一个人实施,另一个人监督 193
用户访问管理 193
晋升、解雇和其他变化 194
特权伴随有责任 194
9.4保持密码安全 196
不要问,也不要讲 196
保护密钥 196
其他密码策略问题 198
9.5用于远程连接的用户身份验证 199
IPSec和虚拟专用网 199
RADIUS和TACACS+ 200
硬件令牌 200
质询/响应协议 201
专用线路 201
地址检查和回拨控制 201
准备测试 202
9.6移动计算 203
仍然是另一种风险评估 203
批准还是禁止 203
9.7远程工作 206
远程工作环境 206
9.8监视系统访问和使用 208
我们需要监视什么 209
审阅和保持 210
监视合法吗 210
9.9本章小结 211
9.10自测题 212
多项选择题 212
练习题 214
项目题 215
案例研究 216
第10章 系统开发和维护 217
10.1简介 217
10.2机构的风险是什么 218
系统开发 218
系统维护 218
10.3系统的安全需求 218
风险评估 219
独立的第三方顾问:需要吗 219
实现完成后添加控制 220
10.4永远不能在敏感数据上发生的事情 221
数据丢失 221
数据修改 222
数据滥用 222
10.5随意代码与安全代码 222
系统所有者 223
输入验证:简介 223
高级输入验证 223
测试数据输入的可信度 224
输出验证 224
10.6风险评估和加密术 226
风险评估 227
保密性、完整性、身份验证、认可 227
密钥的保管人 229
密钥管理 229
加密术与业务合作伙伴 230
10.7操作系统与应用软件的稳定性 231
唯有稳定版本才应在生产服务器上部署 232
更新:必需的、不安全的,还是两者兼备 232
更新:应当部署的时机 233
更新:应当执行部署的人 233
测试环境所关心的内容 234
10.8本章小结 235
10.9自测题 236
多项选择题 236
练习题 238
项目题 240
案例研究 243
第11章 业务连续性管理 244
11.1简介 244
11.2什么是灾难 245
风险评估和业务影响分析(BIA) 245
11.3无警告的灾难打击 247
行动计划 248
业务连续性计划(BCP)组成 248
11.4理解角色和职责 250
定义例外情况 250
由谁负责 251
11.5灾难准备 252
组织机构 253
指挥中心位置 253
通知全体人员 253
业务的重新部署 253
备用数据中心站 254
11.6响应灾难 254
发现 254
通知 255
宣布 255
启动 255
11.7应急计划 256
业务应急规程 256
业务应急文档 256
11.8灾难恢复 257
恢复策略 257
规程 258
恢复手册 259
11.9计划的测试与维护 259
测试方法 259
计划的维护 260
与卖主达成一致 260
计划的审计 261
11.10本章小结 262
11.11自测题 262
多项选择题 262
练习题 264
项目题 265
案例研究 266
第3部分 合规性 271
第12章 金融机构的合规性 271
12.1简介 271
12.2什么是格雷姆-里奇-比利雷法案 272
GLBA的适用范围 272
GLBA的执行者 273
FFIEC的救赎 274
GLBA安全条例的理解 275
什么是部门间的指导原则 275
信息安全计划的开发与实现 275
12.3涉及的董事会 276
委托信息安全任务 276
12.4评估风险 277
信息和信息系统的详细清单 278
识别和评估威胁 278
减损控制 279
12.5管理风险 280
将ISO框架用于完成风险管理的目标 281
逻辑与管理访问控制 282
物理安全 283
数据安全 284
恶意代码 284
系统开发、获取和维护 285
人员安全 285
电子与纸质介质的处理 285
日志记录与数据收集 286
服务提供商监管 286
入侵检测和响应 286
业务连续性考虑 287
培训、培训、再培训 287
测试控制 287
12.6调整计划、报告董事会并实现标准 288
调整计划 288
报告董事会 288
合规性的有效期 288
12.7与FTC保护法案的不同之处 288
目标 289
元素 289
12.8身份盗窃和合规性 290
身份盗窃的响应 290
FTC与身份盗窃 292
12.9本章小结 292
12.10自测题 293
多项选择题 293
练习题 294
项目题 295
案例研究 296
第13章 医疗卫生领域的合规性 297
13.1简介 297
13.2理解安全法规 298
HIPAA的目标与目的 299
HIPAA的关键原则 299
达不到合规性导致的惩罚 299
安全法规机构 300
实现规范 300
13.3管理保护 301
安全管理过程§164.308(a)(1) 301
指派安全责任§ 164.308(a)(2) 303
员工安全§ 164.308(a)(3) 303
信息访问管理§164.308(a)(4) 304
安全意识和培训§ 164.308(a)(5) 305
安全事件规程§164.308(a)(6) 306
意外事故计划§ 164.308(a)(7) 307
评估§184.308(a)(8) 308
业务合作合同和其他安排§164.308(b)(1) 308
13.4物理保护 309
设施访问控制§ 164.310(a)(1) 309
工作站的使用§ 164.310(b) 310
工作站的安全§164.310(b) 311
设备与介质控制§164.310(d)(1) 311
13.5技术保护 312
访问控制§ 164.312(a)(1) 312
审计控制§164.312(b) 313
完整性控制§ 164.312(c)(1) 314
人员或身份验证§164.312(d) 314
传输安全§ 164.312(e)(1) 315
13.6机构要求 315
业务合作合同§164.314(a)(1) 316
对组健康计划的标准要求§164.314(b)(1) 317
13.7策略和规程 317
策略和规程§ 164.316(a) 317
文档§164.316(b)(1) 317
13.8本章小结 318
13.9自测题 318
多项选择题 318
练习题 320
项目题 321
案例研究 322
第14章 关键基础设施领域的信息安全合规性 323
14.1简介 323
14.2电子政务成为现实 324
国家级的安全性 324
合规性必需的元素 325
用于援救的NIST 325
从事FISMA的NIST出版物 326
FISMA实现项目 326
FISMA的未来 326
14.3保护学生记录的隐私 326
FERPA的目标是什么 327
教育记录是什么 327
教育记录的类型 327
FERPA与信息安全的关系如何 328
14.4一切皆从一件公司丑闻开始 328
SOX与信息安全的关系如何 329
采用控制框架 329
14.5与ISO 17799:2000的关联 330
ISO 17799安全领域概述 330
14.6本章小结 331
14.7自测题 332
多项选择题 332
练习题 333
项目题 334
案例研究 335
第15章 小企业的安全策略与实践 336
15.1简介 336
15.2什么是小企业 337
小企业应当做什么 338
额外考虑 338
小企业应当拥有什么策略 338
策略应当如何提出 339
15.3为何要拥有一项保密性策略 339
合法化 339
不是一种,也不是两种,而是五种 340
协议的结构 340
保护协议 340
15.4什么是可接受的行为 341
所有权 341
硬件和软件 342
资源滥用 343
15.5互联网的使用——在哪里划定最后界限 343
互联网通信量的监控、记录日志及阻塞 343
传输数据 344
15.6确保公司电子邮件的安全 345
只供业务使用 346
明文通信 346
资源滥用 347
15.7意外事件的报告与响应 347
意外事件报告 348
意外事件响应 348
意外事件响应计划 349
15.8口令管理 349
口令特征 350
口令检查 351
15.9保护信息 351
分类的确是必需的吗 351
信息标记 352
信息保护 352
15.10防止恶意软件 354
病毒、蠕虫、特洛伊木马以及间谍软件 354
保护要求 355
不要忘记用户 355
补丁管理 355
15.11保护远程访问 356
扩展内部网络 357
15.12控制更改 358
小企业为何需要一套变更控制策略 358
15.13数据备份与恢复 359
企业依赖于访问数据的能力 359
备份的类型 360
备份介质的存储 360
测试恢复 361
15.14本章小结 361
15.15自测题 361
多项选择题 361
练习题 364
项目题 366
案例研究 367
附录A 访问控制 369
附录B 雇员信息安全策略批准协议 371
B.1策略综述 371
B.2董事长的声明 371
可接受的信息资源使用 372
互联网使用 372
电子邮件使用策略 373
信息资源的临时使用 373
口令策略 374
便携式计算策略 374
发布 375
认可协议 375
标准定义 376
术语表 379