信息安全管理

本书围绕信息安全管理的知识体系，明确信息安全管理“做什么”，从信息安全风险管理得到的安全需求出发，以信息安全管理的技术和要求为指导，结合组织信息安全系统的建设情况，引入合乎要求的信息安全控制规范中技术和管理的手段及方法，明确在信息安全管理体系的实施中该“怎么做”。全书共9章，主要讲述了信息安全管理基础、信息安全管理体系、信息安全风险管理、信息安全等级管理、信息安全管理控制规范、信息灾备管理、信息安全保密管理、信息安全策略管理和信息安全管理政策法规。
本书内容翔实，案例丰富，可作为高等学校网络空间安全、信息安全、信息工程、计算机科学与技术等专业的教材或教学参考书，也可作为相关领域专业技术和管理人员的参考或培训资料。

第1章 信息安全管理基础
1.1 信息安全管理概述
1.1.1 信息安全概况
1.1.2 信息安全的基本需求
1.2 信息安全管理相关概念
1.2.1 信息安全管理概念
1.2.2 信息安全管理主要内容
1.3 信息安全保障体系
1.3.1 信息安全保障概述
1.3.2 信息安全保障体系框架
1.3.3 信息安全保障的实施
1.4 本章小结
思考题
第2章 信息安全管理体系
2.1 概述
2.2 信息安全管理体系的准备
2.2.1 组织与人员建设
2.2.2 工作计划制订
2.2.3 能力要求与教育培训
2.2.4 信息安全管理体系文件
2.3 信息安全管理体系的建立
2.3.1 确定ISMS信息安全方针
2.3.2 确定ISMS范围和边界
2.3.3 实施ISMS风险评估
2.3.4 进行ISMS风险管理
2.3.5 选择控制目标与措施
2.3.6 准备适用性声明
2.4 信息安全管理体系的实施和运行
2.5 信息安全管理体系的监视和评审
2.5.1 监视和评审过程
2.5.2 ISMS内部审核和管理评市
2.6 信息安全管理体系的保持和改进
2.6.1 纠正措施
2.6.2 预防措施
2.6.3 控制不符合项
2.7 本章小结
思考题
第3章 信息安全风险管理
3.1 概述
3.1.1 信息安全风险
3.1.2 信息安全风险的相关要素
3.1.3 风险要素的相互关系
3.2 信息安全风险评估过程
3.2.1 信息安全风险评估准备
3.2.2 资产调查
3.2.3 威胁分析
3.2.4 脆弱性分析
3.2.5 已有安全措施分析与评估
3.2.6 风险计算与分析
3.3 信息安全风险管理
3.3.1 风险管理的概念
3.3.2 风险管理的方法和过程
3.3.3 风险管理与控制
3.4 风险评估工具
3.5 本章小结
思考题
第4章 信息安全等级管理
4.1 信息安全等级保护概述
4.1.1 信息系统等级保护分级
4.1.2 信息系统等级保护能力
4.1.3 信息系统安全等级保护基本要求
4.2 信息安全等级保护技术要求
4.2.1 物理安全要求
4.2.2 网络安全要求
4.2.3 主机安全要求
4.2.4 应用安全要求
4.2.5 数据安全要水
4.2.6 安全支撑与运维要求
4.3 信息安全等级保护管理要求
4.3.1 基术管理要求
4.3.2 生命周期管理要求
4.4 信息安全等级保护组织实施
4.4.1 定级
4.4.2 备案
4.4.3 建设
4.4.4 测评
4.4.5 整改
4.5 信息安全等级保护的措施
4.6 信息安全等级保护模拟想定
4.7 本章小结
思考题
第5章 信息安全管理控制规范
5.1 安全方针
5.1.1 信息安全方针文件
5.1.2 信息安全方针的评审
5.2 信息安全组织
5.2.1 内部组织
5.2.2 外部各方
5.3 资产安全管理
5.3.1 对资产负责
5.3.2 信息分类
5.4 人员安全管理
5.4.1 任用前
5.4.2 任用中
5.4.3 任用的终止或变化
5.5 物理和环境安全管理
5.5.1 安全区域
5.5.2 设备安全
5.6 通信和操作安全管理
5.6.1 操作规程和职责
5.6.2 第三方服务交付管理


5.6.3 系统规划和验收

……