信息安全策略
2004-9
清华大学出版社
赵洪彪
177
165000
信息安全策略是一个组织解决信息安全问题最重要的步骤,也是这个组织整个信息安全体系的基础。信息安全不是天然的需求,而是经历了信息损失之后才有的需求,所以管理对于信息安全是必不可少的。一个组织最主要的管理文件就是信息安全策略,信息安全策略明确规定组织需要保护什么,为什么需要保护和由谁进行保护;没有合理的信息安全策略,再好的信息安全专家和安全工具也没有价值。一个组织的信息安全策略可以反映出这个组织对现实安全威胁和未来安全风险的预期,也可反映出组织内部业务人员和技术人员对安全风险的认识与应对。 组织在制定自己的信息安全策略时,需要参考相关的信息安全标准和相似组织的安全管理经验。本书就从这个角度介绍了信息安全的概念、策略、原则和安全控制,阐述在信息安全管理中需要考虑的问题和解决方法,期望能够有利于读者根据组织的实际隋况制定和推行本组织的信息安全策略。 本书适合作为研究生和本科生信息安全课程的参考资料,也可作为MBA课程的参考资料,本书的内容符合Iso/IECl7799:2000(E)的要求,也可以供信息安全专业从业人员参考。
第1章 引言 1.1 计算机的发展 1.2 安全脆弱性与黑客 1.3 多种信息安全威胁 1.4 信息安全策略的作用 1.5 组织资产分类 1.6 信息安全的概念 1.7 信息安全策略的有关活动 1.8 与信息安全策略有关的角色第2章 基本概念 2.1 信息安全策略的概念 2.2 相关安全术语 2.3 信息安全策略的种类 2.4 1SO/IECl7799第3章 信息安全风险 3.1 信息安全风险分析 3.2 信息标记与分类 3.3 敏感信息 3.4 信息安全风险分析方法 3.5 信息安全风险分析的审核 3.6 安全控制选择的考虑第4章 信息安全策略的制定 4.1 编写信息安全策略的人员 4.2 编写信息安全策略的准备工作 4.3 信息安全策略的编制原则 4.4 信息安全策略的参考结构 4.5 信息安全策略措辞第5章 信息安全控制 5.1 安全控制的选择 5.2 物理和环境安全控制 5.3 访问控制 5.4 操作规程 5.5 系统安全控制 5.6 电子商务安全控制 5.7 安全控制原则第6章 资源使用策略 6.1 与使用策略有关的问题 6.2 电子邮件与Internet使用策略 6.3 信息资源的使用策略 6.4 口令安全策略 6.5 人员管理与教育第7章 灾难策略 7.1 业务应急计划 7.2 灾难快复计划 7.3 灾难防范第8章 恶意代码防护策略 8.1 恶意代码的特征 8.2 恶意代码的传播 8.3 恶意代码防护策略 8.3.1 多层次恶意代码防护策略 8.3.2 集中式恶意代码防护管理第9章 网络安全策略 9.1 局域网安全策略 9.2 非军事区安全策略 9.3 无线网安全策略第10章 访问控制 第11章 信息安全策略的实施附录A部分术语解释参考文献
理论性太强,不好理解