本書以信息安全專業(yè)的學生所應具備的知識體系為大綱進行編寫的����。全書主要介紹了信息安全管理的基本概念、信息安全管理體系���、風險管理���、安全規(guī)劃及信息安全管理的實現(xiàn),并詳細列述了對環(huán)境�、人員、軟件����、應用系統(tǒng)���、操作和文檔的安全管理�����,最后介紹了信息安全管理相關技術及法律�、法規(guī)等有關內容�。通過本書的學習,學生可對信息安全管理的體系���、風險管理及信息安全相關技術有所了解����,并明確信息安全管理所應包含的內容。
本書適合作為信息安全專業(yè)學生的教材�,也可供從事相關工作的技術人員和對信息安全感興趣的讀者閱讀參考���。
第1章 信息安全管理簡介
1.1 引言
1.2 安全
1.3 信息安全
1.3.1 信息安全概念
1.3.2 信息安全常用方法
1.3.3 信息安全屬性
1.3.4 信息系統(tǒng)安全基本原則
1.4 管理
1.4.1 管理的特征
1.4.2 解決問題
1.5 信息安全管理
1.5.1 信息安全管理的含義
1.5.2 信息安全管理原則
第2章 信息安全管理體系
2.1 引言
2.2 ISMS的構架
2.2.1 建立信息安全管理框架
2.2.2 具體實施構架的ISMS
2.2.3 建立相關文檔
2.2.4 文檔的嚴格管理
2.2.5 安全事件記錄�、回饋
2.3 信息安全管理體系審核
2.3.1 體系審核的概念
2.3.2 審核準備
2.3.3 審核實施
2.3.4 審核報告
2.3.5 糾正措施
2.3.6 審核風險控制
2.4 信息安全管理體系評審
2.4.1 信息安全管理體系評審程序
2.4.2 體系評審與持續(xù)改進
……
第3章 信息安全風險管理
第4章 安全規(guī)劃
第5章 信息安全管理的實現(xiàn)
第6章 物理安全管理
第7章 人員安全管理
第8章 軟件和應用系統(tǒng)安全管理
第9章 設備���、運行安全管理
第10章 信息安全技術
第11章 信息安全法律法規(guī)
參考文獻
第1章 信息安全管理簡介
1.1 引 言
據美國FBl統(tǒng)計�����,美國每年因網絡安全問題所造成的經濟損失高達l00多億美元����,還有日益增加的趨勢���。那么,信息安全問題主要是由哪些方面的原因引起的呢?一是技術因素�����,網絡系統(tǒng)本身存在的安全脆弱性���。二是管理因素,組織內部沒有建立相應的信息安全管理制度�。據有關部門統(tǒng)計����,在所有的計算機安全事件中,約有52%是人為因素造成的�����,25%是由火災��、水災等自然災害引起的�,技術錯誤占10%��,組織內部人員作案占10%���,僅有3%左右是由外部不法人員的攻擊造成的�。簡單歸類��,屬于管理方面的原因比重高達70%I)2_L��,這正了人們常說的“三分技術�,七分管理”的箴言�����。因此����,解決網絡與信息安全問題�,不僅應從技術方面著手���,更應加強網絡信息安全的管理工作���。
考慮如下情況,某工廠的前任網絡管理員認為��,他不僅具有破壞前任雇主的生產能力�,而且還能毀滅所有的犯罪線索�。這名受人信賴����、有l(wèi)l年工齡的雇員負責公司內部的網絡構建和維護���,當他不再受到公司的重視并意識到將因表現(xiàn)和行為問題被解雇時�����,就在系統(tǒng)中設置了摧毀系統(tǒng)的軟件定時炸彈����。 �、
該網絡管理員被解雇3個星期后�,工廠的工人和往常一樣通過登錄到中心文件服務器開始一天的工作���,但是機器沒有啟動��,而是在屏幕上出現(xiàn)一行信息����,提示操作系統(tǒng)某個地方被鎖住了���。緊接著,服務器崩潰了����。一眨眼的功夫��,a2J-所有的1 000個加工和生產程序都消失了����,服務器再也不能恢復了。工廠經理要求用以前的程序集保持機器繼續(xù)運轉����,不管是否下達過這樣的命令,但是他必須保證機器運轉���。于是,工廠經理去取救助工具——備份磁帶���,磁帶放在人力資源部的檔案柜里,但是磁帶不見了�����。于是他又去檢查連接到文件服務器盼工作站��,至少大部分程序應該存儲在本地的個人工作站上�����,然而這樣的程序也沒有找到�����。
被解雇的網絡管理員是惟一負責文件服務器的維護、保護和備份的雇員����,他的工作還沒有人接手����。系統(tǒng)崩潰后的這些天里,公司先后找了3個人試圖恢復數(shù)據��。系統(tǒng)崩潰5天后�,工廠經理開始在部門內調換員工�����,關閉缺乏原料或者生產過剩的機器����。他還采取措施,雇傭了一組程序員開始對丟失的l 000個程序中的某些部分進行重建�����。
書單推薦
