扫一扫
关注中图网
官方微博
本类五星书更多>
-
>
全国计算机等级考试最新真考题库模拟考场及详解·二级MSOffice高级应用
-
>
决战行测5000题(言语理解与表达)
-
>
软件性能测试.分析与调优实践之路
-
>
第一行代码Android
-
>
C Primer Plus 第6版 中文版
-
>
深度学习
-
>
MATLAB计算机视觉与深度学习实战-赠在线交流卡和本书源码
信息安全管理指南 版权信息
- ISBN:9787562443483
- 条形码:9787562443483 ; 978-7-5624-4348-3
- 装帧:一般胶版纸
- 册数:暂无
- 重量:暂无
- 所属分类:>
信息安全管理指南 本书特色
本书涉及与信息安全有关的法律法规,行政、技术和工程管理的方方面面,既有信息安全管理理论与方法论的介绍;也有从信息安全管理角度识别信息系统及资源的方法和分类原则,以及识别信息系统资产的脆弱性、威胁、影响进而进行风险管理的过程描述;还有从信息安全管理角度识别风险、对抗风险的理论和方法的论述,以及进行基于风险管理的从资源分析、风险分析与评估、安全需求分析,到安全保护策略和措施选择的工程实践方法和实务操作的详细描述。 从事信息系统的安全规划、设计、建设和保护,以及从事技术开发、信息安全咨询服务和产品生产的人们,都可以从本书中找到他们在其他地方找不到的东西;同时本书也可作为与信息技术和信息安全专业有关的研究生、本科生或培养高级专业技术人才时的教材或参考书。
信息安全管理指南 内容简介
《信息安全管理指南》从信息安全有关的法律法规,行政、技术和工程管理等方面精辟地阐述了信息安全管理的理论、方法和工程实践,包括从信息安全角度识别信息系统及资源的方法和分类原则,识别并针对信息系统资源的脆弱性、威胁、影响等因素进行风险管理的过程,识别与对抗风险的理论与方法,以及从资源分析、风险分析与评估、安全需求分析到安全保护策略和措施选择的工程实践和实务操作等。
信息安全管理指南 目录
1 信息安全概述1.1 信息安全的总体要求和基本原则1.2 信息安全管理的范围1.3 安全管理在信息安全保障中的地位和作用
2 信息安全管理和组织机构2.1 信息安全管理的基本问题2.2 信息安全管理的指导原则2.3 安全过程管理与OSI安全管理的关系2.4 信息安全管理的组织机构3 信息安全管理要素与管理模型3.1 概述3.2 与安全管理相关的要素3.3 管理模型4 信息系统生命周期的安全管理4.1 安排和规划4.2 管理的技术方法4.3 安全措施的选择与实施4.4 后续活动
5 管理要求与人员安全5.1 概述5.2 信息安全策略5.3 组织对安全的管理5.4 人员安全5.5 符合性要求
6 资产分类与物理安全管理6.1 资产分类与管理6.2 物理和环境安全7 运行安全管理附录附录1 信息安全管理检查列表附录2 信息安全应知应会培训参考材料2.1 信息安全ABC2.2 信息安全知识主题和概念
附录3 信息安全常见缩略语参考文献
展开全部
信息安全管理指南 节选
世界,随着信息技术在经济社会各领域不断深化的应用,信息技术对生
产力以至于人类文明发展的巨大作用越来越明显。党的“十六大”提出要“坚持
以信息j化带动工业化,以工业化促进信息”、“优先发展信息产业,在经济和社
会领域广泛应用信息技术”明确了我国经济发展的道路,赋予了信息产业新的
历史使命。近年来,日新月异的信息技术呈现出新的发展趋势,各类信息技术加
快了相互融合和渗透的步伐,信息技术与其他技术的结合更加紧密,信息技术应
用的深度、广度和专业化程度不断提高。
我国的信息产业作为国民经济的支柱产业正处于有利的国际、国内形势中,
电子信息产业的规模总量已进入世界大国行列。但是我们也清楚地认识到,与
国际先进水平相比,我们在产业结构、核心技术、管理水平、综合效益、普及程度
等方面,还存在较大差距,缺乏创新能力与核心竞争力,“大”而不强。国际国内
形势的发展,要求信息产业不仅要做大,而且要做强,要从制造大国向制造强国
转变,这是信息产业今后的重点工作。要实现这—转变,人才是基础。机遇难
得,人才更难得,要抓住本世纪头二十年的重要战略机遇期,加快信息产业发展,
关键在于培养和使用好人才资源。《中共中央、国务院关于进一步加强人才工作
的决定》指出,人才问题是关系党和国家事业发展的关键问题,人才资源已成为
*重要的战略资源,人才在综合国力竞争中越来越具有决定性意义。
为抓住机遇,迎接挑战,实施人才强业战略,信息产业部居动“全国信息技术
人才培养工程”。该项工程旨在通过政府政策引导,充分发挥全行业和全社会
教育培训资源的作用,建立规范的信息技术教育培训体系、科学的培训课程体
系、严谨的信息技术人才评测服务体系,培养造就大批行业急需的、知识技能结
构合理的高素质信息技术应用型人才,以促进信息产业持续快速协调健康发展。
由各方专家依据信息产业对技术人才素质与能力的需求,在充分吸取国内外先进信息技术培
训课程优点的基础上,信息产业部电子教育中心精心组织编写了信息技术系列培训教材。这些教
材注重提升信息技术人才分析问题和解决问题的能力,对各层次信息技术人才的培养工作具有现
实的指导意义。我谨向参与本系列教材规划、组织、编写的同志们致以诚挚的感谢,并希望该系列
教材在全国信息技术人才培养工作中发挥有益的作用。
前言
本书是作者在2004年承担由国务院信息化工作办公室下达的“信息安全管
理指南”研究项目的基础上,结合与同事们十多来在信息安全管理方面的理论
研究成果和工程实践经验,并经过多次修改*生形成。虽然作者尽了极大努力,
并力求在书稿中体现中国特色和国家对信息安全管理的方针政策,但由于水平
所限,书中仍可能存在需要精雕细刻:甚至要刀劈斧砍的地方;更由于信息安全
管理理论和方法研究在国内还牌探索阶段,因此本书中如有与他人观点和管
理实践不一致的地方,那应该是可以在学术上争鸣的见仁见智的事情了;再则,
作者和同事们虽然尽了极大努力,但毕竟是迄今为止所做事情,这种努力还会
继续下去。总之,现在呈现给读者朋友的这本书,是我们多年勤劳动的结果。
希望对读者朋友有所帮助。
作者和同事们在信息安全理论与方法研究方面已经投入了大量的资源和精
力,出于职业良心和教学、科研的需要,我们先后将研究成果和经验心得以译著、
专著和工具书的形式向社会毫无保留地奉献了。其中,于2004年4月由机械工
业出版社出版了《防火墙与因特网安全》(译);于2000年9月由金城出版社出
版了《信息系统安全》、《信息系统安全工程学》和《VPN与风络安全》的修订版;于2003年3月
由电子工业出版社出版了《英汉网络信息安全辞典》,同时出版了《信息系统
安全》、《信息系统安全工程学》和《VPN与网络安全》的修订版;于2005年5月
由重庆大学出版社出版了《信息安全应用基础》、《信息安全实用技术》和《信息
安全法律法规与管理》,本书正好与这三本书构成一个完整体系,这也是作者与
重庆大学出版社友好合作的完美体现。
本书涉及与信息安全有关的法律法规,行政、技术和工程管理的方方面面,既有信息安全管理
理论与方法论的介绍;也有从信息安全管理角度识别信息系统及资源的方法和分类原则,以及识
别信息系统资产的脆弱性、威胁、影响进而进行风险管理的过程描述;还有从信息安全管理角度识
别风险、对抗风险的理论和方法的论述,以及进行基于风险管理的从资源分析、风险分析与评估、
安全需求分析,到安全保护策略和措施选择的工程实践方法和实务操作的详细描述。从事信息系
统的安全规划、设计、建设和保护,以及从事技术开发、信息安全咨询服务和产品生产的人们,都可
以从本书中找到他们在其他地方找不到的东西;同时本书也可作为与信息技术和信息安全专业有
关的研究生、本科生或培养高级专业技术人才时的教材或参考书。
参加本书编写的有戴宗坤、罗万伯、胡勇和吴少华等人。其中,戴宗坤负责全书的内容规划和
设计,并主写第1、2章;罗万伯负责全书结构设计并主写第3、4章;胡勇起草“本书涉及的术语和
定义”以及主写第5、6章;吴少华主写第7章以及附录。全书由戴宗坤和罗万伯审校,参加本书资
料收集和整理的还有陈超、朱爱华等。
本书的编撰得到国务院信息化工作办公室王渝次司长和赵泽良副司长的热情鼓励和直接指
导,在此表示衷心感谢。
戴宗坤
2007年夏
5.1 概述
(1)信息安全管理的任务
信息安全管理的任务包括:
·评估安全风险。
·确定安全需求。
·选择并实施安全控制措施。
(2)信息安全管理的内容
信息安全管理的内容包括:
·制订安全策略。
·建立安全机构。
·对资产分类并进行控制。
·人员安全。
·物理和环境安全。
·通信和操作。
·访问控制。
·系统开发和维护。
·业务持续性管理。
·遵从性检查。
(3)信息安全起始点
一些安全保护措施可作为实现信息安全的起始点。
(4)安全保护对象
从法律角度,对一个组织具有重大意义的安全保护对象包括:
·知识产权。
·组织的各类信息。
·提供服务的数据和个人信息。
(5)控制措施
作为信息安全通用实施方法的控制措施包括:
·信息安全策略文档。
·信息安全责任划分与分配。
·信息安全意识教育与培训。
·安全事件汇报。
·可持续运营管理。
6)保护成功的关键因素
经验表明,一个组织能否成功地实现信息安全,以下因素是至关重要的:
·反映组织业务目标的安全目标、方针和策略。
·与组织的文化相一致的实施安全的方法。
·管理层明显的支持和承诺。
·正确识别组织中需要保护的资源及其价值。
·正确理解安全需求、风险评估和风险管理。
·向所有的管理员和雇员灌输安全理念。
·向所有的员工和签约方发布关于信息安全策略与标准的指南,以及解释本组织
的信息安全策略与标准。
·提供适当的培训和教育。
·一个综合的、平衡的评估体系,用于评估信息安全管理性能以及反馈改进建议。
5.2信息安全策略
管理者应该制订一套清晰的策略指导方针,并通过在组织内发布和维护信息安全
策略,表明对信息安全的支持与承诺,达到为信息安全提供管理指导和支持的目的。
5.2.1信息安全策略文档
信息安全策略文档应得到管理层批准,并以适当的方式发布、传达到所有员工。
该文档应该陈述管理者的承诺,并阐明本组织管理信息安全的方法。信息安全策略至
少应该包括以下几个部分:
①定义信息安全总体目标、方针和策略,以及安全作为一种保障措施为实现信息
共享所起的重要作用。
②陈述管理层的决心、支持的信息安全目标和原则。
③对组织有重大安全意义的安全策略、原则、标准和遵从性要求做简要说明,例如
遵从法规和合同的要求;安全教育的要求;对计算机病毒和其他恶意软件的防范和检
测;业务持续性管理;违反安全策略的后果。
④定义信息安全管理的一般和具体责任,包括报告安全事件。
⑤与其他支持安全策略的文档的关系,例如,特定信息系统的更详细的安全策略
和规程,或用户应该遵守的安全规则。
5.2.2评审与评估
信息安全管理策略应有专人负责维护并按照既定的评审程序进行评审。此过程
应确保任何可能影响风险评估的原始依据的变化,如重大的安全事件、新的脆弱性、组
信息安全管理指南
织的基础结构或技术基础设施的变化都会得到相应的评审。同时,应对以下各项进行
有计划的、定期的评审:
①策略的有效性,可通过记录在案的安全事件的性质、数量和所造成的影响来
论证。
②对业务效率进行控制的成本和影响。
③技术变化所起的作用。
5.3组织对安全的管理
应建立管理框架来启动和控制在组织内实施的信息安全,达到在组织内对信息安
全有效管理的目的。
5.3.1信息安全管理的基础结构
应该建立适当的、具有管理权的信息安全管理委员会来批准信息安全策略,分配
安全职责并协调组织内部信息安全的实施。如有必要,应在组织内建立信息安全咨询
专家小组并使其发挥作用。应建立与外部信息安全专家的联系,以跟上行业发展趋
势,跟踪安全标准和评估方法,并在处理安全事件时提供适当的联络渠道。另外,应鼓
励多学科综合的信息安全方法,例如管理者、用户、行政人员、应用软件设计人员、审计
人员和保安人员以及行业(如保险和风险管理领域)专家之间的协作。
(1)信息安全管理委员会
信息安全管理委员会应该承担的典型职责主要有:
·评审和批准信息安全策略和总体职责。
·监视面临重大威胁时信息资产暴露所发生的重大变化。
·评审和监视信息安全事件。
·批准加强信息安全的重大行动。
应有一名信息安全管理员负责与安全有关的所有活动。
(2)信息安全的协作问题
在较大型的组织内部,有必要成立由各相关部门的管理代表组成的跨部门的信息
安全协调委员会,以共同实施信息安全的控制措施。它的主要功能有:
·协调组织内关于信息安全的各部门的具体分工和责任。
·协调信息安全方面的具体方法和步骤,如风险评估、资产分类。
·协调和支持全组织范围的信息安全行动,如安全意识培训活动计划。
·确保信息安全问题是信息规划过程的一部分。
·评估新系统或服务在信息安全控制方面的充分程度,并协调其实现过程。
·评审信息安全事件
书友推荐
- >
【精装绘本】画给孩子的中国神话
【精装绘本】画给孩子的中国神话
¥17.6¥55.0 - >
龙榆生:词曲概论/大家小书
龙榆生:词曲概论/大家小书
¥9.1¥24.0 - >
有舍有得是人生
有舍有得是人生
¥31.5¥45.0 - >
史学评论
史学评论
¥13.9¥42.0 - >
月亮与六便士
月亮与六便士
¥13.4¥42.0 - >
大红狗在马戏团-大红狗克里弗-助人
大红狗在马戏团-大红狗克里弗-助人
¥3.3¥10.0 - >
我从未如此眷恋人间
我从未如此眷恋人间
¥16.4¥49.8 - >
烟与镜
烟与镜
¥20.6¥48.0
本类畅销
-
反电信网络诈骗全民指南
¥29.3¥59.8 -
黑客攻防从入门到精通-(攻防与脚本编程篇)
¥53.1¥69 -
2022图书×抽奖盲袋
¥9.9¥25 -
2023读书月阅读盲盒——天黑,闭眼,刀谁?
¥42.3¥158 -
-
2022读者节纪念徽章-三星会员专属
¥45¥45.6
