本書以信息安全專業(yè)的學(xué)生所應(yīng)具備的知識體系為大綱進行編寫的���。全書主要介紹了信息安全管理的基本概念�����、信息安全管理體系��、風(fēng)險管理����、安全規(guī)劃及信息安全管理的實現(xiàn)�,并詳細列述了對環(huán)境、人員�����、軟件、應(yīng)用系統(tǒng)�����、操作和文檔的安全管理�,最后介紹了信息安全管理相關(guān)技術(shù)及法律、法規(guī)等有關(guān)內(nèi)容�。通過本書的學(xué)習(xí),學(xué)生可對信息安全管理的體系�����、風(fēng)險管理及信息安全相關(guān)技術(shù)有所了解�,并明確信息安全管理所應(yīng)包含的內(nèi)容。
本書適合作為信息安全專業(yè)學(xué)生的教材�����,也可供從事相關(guān)工作的技術(shù)人員和對信息安全感興趣的讀者閱讀參考���。
第1章 信息安全管理簡介
1.1 引言
1.2 安全
1.3 信息安全
1.3.1 信息安全概念
1.3.2 信息安全常用方法
1.3.3 信息安全屬性
1.3.4 信息系統(tǒng)安全基本原則
1.4 管理
1.4.1 管理的特征
1.4.2 解決問題
1.5 信息安全管理
1.5.1 信息安全管理的含義
1.5.2 信息安全管理原則
第2章 信息安全管理體系
2.1 引言
2.2 ISMS的構(gòu)架
2.2.1 建立信息安全管理框架
2.2.2 具體實施構(gòu)架的ISMS
2.2.3 建立相關(guān)文檔
2.2.4 文檔的嚴格管理
2.2.5 安全事件記錄、回饋
2.3 信息安全管理體系審核
2.3.1 體系審核的概念
2.3.2 審核準備
2.3.3 審核實施
2.3.4 審核報告
2.3.5 糾正措施
2.3.6 審核風(fēng)險控制
2.4 信息安全管理體系評審
2.4.1 信息安全管理體系評審程序
2.4.2 體系評審與持續(xù)改進
……
第3章 信息安全風(fēng)險管理
第4章 安全規(guī)劃
第5章 信息安全管理的實現(xiàn)
第6章 物理安全管理
第7章 人員安全管理
第8章 軟件和應(yīng)用系統(tǒng)安全管理
第9章 設(shè)備���、運行安全管理
第10章 信息安全技術(shù)
第11章 信息安全法律法規(guī)
參考文獻
第1章 信息安全管理簡介
1.1 引 言
據(jù)美國FBl統(tǒng)計����,美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟損失高達l00多億美元,還有日益增加的趨勢���。那么����,信息安全問題主要是由哪些方面的原因引起的呢?一是技術(shù)因素����,網(wǎng)絡(luò)系統(tǒng)本身存在的安全脆弱性。二是管理因素�����,組織內(nèi)部沒有建立相應(yīng)的信息安全管理制度��。據(jù)有關(guān)部門統(tǒng)計�����,在所有的計算機安全事件中��,約有52%是人為因素造成的,25%是由火災(zāi)��、水災(zāi)等自然災(zāi)害引起的����,技術(shù)錯誤占10%,組織內(nèi)部人員作案占10%�,僅有3%左右是由外部不法人員的攻擊造成的。簡單歸類�����,屬于管理方面的原因比重高達70%I)2_L�����,這正了人們常說的“三分技術(shù)�����,七分管理”的箴言���。因此����,解決網(wǎng)絡(luò)與信息安全問題�����,不僅應(yīng)從技術(shù)方面著手�����,更應(yīng)加強網(wǎng)絡(luò)信息安全的管理工作���。
考慮如下情況�����,某工廠的前任網(wǎng)絡(luò)管理員認為���,他不僅具有破壞前任雇主的生產(chǎn)能力,而且還能毀滅所有的犯罪線索���。這名受人信賴�、有l(wèi)l年工齡的雇員負責(zé)公司內(nèi)部的網(wǎng)絡(luò)構(gòu)建和維護��,當(dāng)他不再受到公司的重視并意識到將因表現(xiàn)和行為問題被解雇時�����,就在系統(tǒng)中設(shè)置了摧毀系統(tǒng)的軟件定時炸彈。 ����、
該網(wǎng)絡(luò)管理員被解雇3個星期后,工廠的工人和往常一樣通過登錄到中心文件服務(wù)器開始一天的工作����,但是機器沒有啟動,而是在屏幕上出現(xiàn)一行信息��,提示操作系統(tǒng)某個地方被鎖住了���。緊接著���,服務(wù)器崩潰了。一眨眼的功夫���,a2J-所有的1 000個加工和生產(chǎn)程序都消失了����,服務(wù)器再也不能恢復(fù)了�����。工廠經(jīng)理要求用以前的程序集保持機器繼續(xù)運轉(zhuǎn),不管是否下達過這樣的命令��,但是他必須保證機器運轉(zhuǎn)���。于是,工廠經(jīng)理去取救助工具——備份磁帶���,磁帶放在人力資源部的檔案柜里�����,但是磁帶不見了���。于是他又去檢查連接到文件服務(wù)器盼工作站,至少大部分程序應(yīng)該存儲在本地的個人工作站上�,然而這樣的程序也沒有找到。
被解雇的網(wǎng)絡(luò)管理員是惟一負責(zé)文件服務(wù)器的維護�����、保護和備份的雇員���,他的工作還沒有人接手���。系統(tǒng)崩潰后的這些天里�����,公司先后找了3個人試圖恢復(fù)數(shù)據(jù)�。系統(tǒng)崩潰5天后�,工廠經(jīng)理開始在部門內(nèi)調(diào)換員工,關(guān)閉缺乏原料或者生產(chǎn)過剩的機器����。他還采取措施,雇傭了一組程序員開始對丟失的l 000個程序中的某些部分進行重建�����。
書單推薦
