第部分 簡(jiǎn)介

第 信息安全管理簡(jiǎn)介

作為全書的起始，本章為理解信息安全奠定了基礎(chǔ)，揭示了信息技術(shù)的重要性并指出誰應(yīng)該負(fù)責(zé)保護(hù)機(jī)構(gòu)的重要信息。讀者可在本章中了解信息安全的定義和重要特點(diǎn)，以及信息安全管理與普通管理的區(qū)別。

第部分 計(jì)劃

第 安全計(jì)劃

本章闡明了計(jì)劃的重要性，并講述了組織計(jì)劃和信息安全系統(tǒng)實(shí)施計(jì)劃的主要內(nèi)容。 

應(yīng)急計(jì)劃

本章講述了應(yīng)急計(jì)劃的必要性，形象地介紹了怎樣根據(jù)業(yè)務(wù)影響分析建立一系列簡(jiǎn)單的應(yīng)急計(jì)劃，以及怎樣測(cè)試這些計(jì)劃。

第部分 策略和項(xiàng)目

第 安全策略

本章定義了信息安全策略，并講述了它在一個(gè)成功的信息安全項(xiàng)目中的中心地位。研究表明，有類主要的信息安全策略；本章解釋了每一類安全策略的內(nèi)容，并對(duì)怎樣開發(fā)、實(shí)施和維護(hù)各種類型的信息安全策略做了示范。

第 制定安全項(xiàng)圈

本章探索了信息安全的各種不同組織方法，并且闡述了信息安全項(xiàng)目的各個(gè)功能組件。讀者將學(xué)習(xí)怎樣按照機(jī)構(gòu)的規(guī)模去規(guī)劃和配置機(jī)構(gòu)的信息安全部門人員，也將學(xué)習(xí)怎樣評(píng)估影響機(jī)構(gòu)及其活動(dòng)的內(nèi)外部因素。本章也鑒別和描述典型的工作職務(wù)，并且闡述了它們?cè)谛畔踩?jì)劃中所扮演的角色。最后，講述安全教育、培訓(xùn)和意識(shí)提升項(xiàng)目的設(shè)立和管理。

第 安全管理模型與實(shí)踐

本章介紹了幾個(gè)主要的信息安全管理模型的組件（包括經(jīng)美國(guó)政府同意的模型），還討論了怎樣實(shí)現(xiàn)這些模型以適應(yīng)某個(gè)具體機(jī)構(gòu)的需求。讀者將學(xué)習(xí)怎樣實(shí)現(xiàn)信息安全管理關(guān)鍵操作的基本要素，并理鰓美國(guó)聯(lián)邦I(lǐng)T系統(tǒng)認(rèn)證和鑒定中出現(xiàn)的新趨勢(shì)。

附錄-NIST SP 800-26，信息技術(shù)系統(tǒng)的安全性自我評(píng)估指南，人工防火墻委員會(huì)安全管理索引概覽。

根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院( NIST)文檔和人工防火墻委員會(huì)安全管理索引，本附錄介紹了基本的安全管理模型。

第部分 保護(hù)機(jī)制

第 風(fēng)險(xiǎn)評(píng)估

本章定義了風(fēng)險(xiǎn)管理及其在機(jī)構(gòu)中的作用，描述了怎樣使用風(fēng)險(xiǎn)管理技術(shù)以鑒別信息資產(chǎn)的風(fēng)險(xiǎn)因素，并對(duì)其按重要性次序進(jìn)行區(qū)分。風(fēng)險(xiǎn)管理模型根據(jù)不利事件的可能性及其發(fā)生時(shí)對(duì)信息資產(chǎn)的影響對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估。最后，簡(jiǎn)單討論了怎樣記錄風(fēng)險(xiǎn)鑒別的結(jié)果。 

風(fēng)險(xiǎn)管理和控制

本章介紹了基本的風(fēng)險(xiǎn)緩解策略選擇，并對(duì)如何控制風(fēng)險(xiǎn)進(jìn)行了討論，包括鑒別風(fēng)險(xiǎn)控制分類，使用已有的概念框架對(duì)風(fēng)險(xiǎn)控制進(jìn)行評(píng)估，并提出了成本效益分析法。讀者將學(xué)習(xí)怎樣實(shí)施和堅(jiān)持風(fēng)險(xiǎn)控制。除了在本章前面部分介紹的方法外，還介紹了OCTAVE風(fēng)險(xiǎn)管理方法。

第 保護(hù)機(jī)制

本章通過介紹訪問控制方法，向讀者展示了技術(shù)上的風(fēng)險(xiǎn)控制方法：包括認(rèn)證、授權(quán)以及使用生物特征測(cè)量的訪問控制；定義并識(shí)別防火墻和常用的防火墻實(shí)施方法；另外，該章還涉及了撥號(hào)訪問、入侵檢測(cè)系統(tǒng)和密碼學(xué)等技術(shù)控制方法。

第部分 人與項(xiàng)目

第10 員工與安全

本章進(jìn)一步闡述了第章介紹的信息安全職位的要求和技術(shù)。探討各種信息安全專業(yè)認(rèn)證，以及每種認(rèn)證包含的具體技巧。在本章后半部分，探討了在機(jī)構(gòu)人力資源配置方面對(duì)信息安全約束條件的實(shí)施狀況，機(jī)構(gòu)用這些約束來控制員工的行為，防止對(duì)信息的誤用。

第11 法律和道德

在本章中，讀者將了解到與信息安全相關(guān)的法律環(huán)境以及它們之間的關(guān)系。這一章講述影響信息安全實(shí)施的主要國(guó)內(nèi)國(guó)際法，以及文化在信息安全道德規(guī)范中所起的作用。

第12 安全項(xiàng)圈管理

最后一章覆蓋了信息安全領(lǐng)域里的項(xiàng)目管理，提供了基本的項(xiàng)目管理技術(shù)，還介紹了如何把項(xiàng)目管理原則應(yīng)用到信息安全計(jì)劃中。