胡勇、吳少華編*的《信息安全管理概論》對信 息安全管理理論與方法論做了全面的論述,也對信息 安全管理的工程技術實踐做了方法論的總結,包括識 別信息系統及資源的方法和分類原則,識別信息系統 資產的脆弱性、威脅、影響,風險分析過程描述,以 及信息系統安全等級保護有關的可操作性技術方法; 基于風險管理,從資源分析、風險分析與評估、安全 需求分析,到安全保護策略和安全措施選擇的工程實 踐方法和實務操作的詳細描述。
本書是面向大專院校信息安全管理專業的基礎教 材,讀者對象定位于大學計算機和通信類一級學科下 的專業碩士、信息安全本科學生,以及從事信息系統 管理和信息安全管理的工程技術人員。
第1章 引言
1.1 背景
1.2 目的和范圍
1.3 適用性
1.4 本書結構
1.5 習題與思考題
第2章 本書直接引用的術語和定義
2.1 術語
2.2 習題與思考題
第3章 信息安全管理概述
3.1 信息安全管理的總體要求和基本原則
3.1.1 總體要求
3.1.2 基本原則
3.2 信息安全管理的范圍
3.2.1 信息基礎設施
3.2.2 信息安全基礎設施
3.2.3 基礎通信網絡
3.2.4 廣播電視傳輸網
3.2.5 信息系統
3.3 安全管理在信息安全保障中的地位和作用
3.4 習題與思考題
第4章 管理和組織機構
4.1 信息安全管理的基本問題
4.1.1 信息系統生命周期的安全管理問題
4.1.2 信息安全管理中的等級保護問題
4.1.3 信息安全管理的基本內容
4.2 信息安全等級保護的管理
4.2.1 安全保護等級的劃分
4.2.2 安全等級保護工作的監管
4.2.3 安全等級保護的實施
4.2.4 安全等級保護的管理
4.2.5 涉密信息系統的分級保護管理
4.2.6 安全等級保護中的密碼管理
4.2.7 安全等級保護管理中的法律責任
4.3 信息安全管理的指導原則
4.3.1 指導方針和策略原則
4.3.2 工程原則
4.4 安全過程管理與OSI安全管理的關系
4.4.1 安全過程管理
4.4.2 OSI管理
4.4.3 OSI安全管理
4.5 信息安全管理的組織機構
4.5.1 行政管理機構
4.5.2 信息安全服務與技術管理機構
4.6 習題與思考題
第5章 信息安全管理方法與過程
5.1 信息安全管理活動概述
5.2 安全管理的對象
5.2.1 資產
5.2.2 脆弱性
5.2.3 威脅
5.2.4 影響
5.2.5 風險
5.2.6 殘留風險
5.2.7 安全措施
5.2.8 約束
5.3 安全管理模型
5.3.1 安全要素關系模型
5.3.2 風險要素關系模型
5.3.3 基于過程的風險管理模型
5.3.4 PDCA模型
5.4 信息系統生命周期的安全管理
5.4.1 安排和規劃
5.4.2 安全管理和風險分析
5.4.3 安全措施的選擇與實施
5.4.4 后續活動
5.5 網絡安全管理
5.5.1 網絡安全管理概述
5.5.2 任務
5.5.3 過程識別和分析
5.6 習題與思考題
第6章 信息安全管理的實施
6.1 信息安全管理規劃
6.1.1 管理規劃文檔
6.1.2 對規劃的評審
6.2 組織對信息安全的管理
6.2.1 信息安全管理的基本框架
6.2.2第三方訪問的安全管理
6.2.3 委外管理
6.3 資產的分類與控制
6.3.1 資產清單
6.3.2 信息的分類
6.4 人員安全管理
6.4.1 雇用和解雇
6.4.2 員工的在崗培訓
6.4.3 對安全事件和故障的響應
6.5 物理和環境安全管理
6.5.1 安全區域
6.5.2 保護設備安全
6.5.3 日常性控制措施
6.6 常規性安全管理
6.6.1 操作程序和責任
6.6.2 系統規劃和驗收
6.6.3 脆弱性和補丁
6.6.4 防范惡意軟件
6.6.5 內務處理
6.6.6 網絡管理
6.6.7 信息承載與流轉過程的安全管理
6.6.8 信息和軟件的交換
6.7 訪問控制
6.7.1 訪問控制的策略
6.7.2 用戶訪問的管理
6.7.3 用戶的安全職責
6.7.4 對網絡訪問的控制
6.7.5 對操作系統的控制
6.7.6 對應用系統的控制
6.7.7 監控
6.7.8 移動計算和遠程接入控制
6.8 系統開發和維護
6.8.1 系統的安全需求
6.8.2 業務流程安全
6.8.3 加密控制
6.8.4 開發進程對變更的管理
6.9 業務持續性管理
6.10 約束與限制
6.10.1 遵從法律性規定
6.10.2 遵從安全策略和技術標準
6.10.3 系統審計方面的考慮
6.11 習題與思考題
附錄A 與本書有關的術語
附錄B 與本書有關的縮略語
參考文獻
新書資訊