第1章信息安全管理概论
1.1什么是信息安全管理
l.1.1信息安全
1.1.2信息安全管理
1.1.3信息安全管理的重要性
1.1.4信息安全管理与信息安全技术
1.1.5信息安全管理现状
1.1.6信息安全管理的发展与国内外标准
1.2信息安全管理标准BS7799概述
1.2.1BS7799的历史
1.2.2BS7799的内容简介
1.2.3对BS7799的理解与认识
1.2.4BS7799/ISO/IECl7799在国际上的争议
1.3组织引入BS7799的目的与模式
1.3.1引入BS7799能给组织带来什么好处
1.3.2组织实施BS7799的程序与模式
1.3.3与其它ISO国际标准的有机集成
第2章信息安全管理理论与控制规范
2.1基于风险评估的安全管理模型
2.1.1安全管理模型
2.1.2风险评估与安全管理
2.2PDCA模型
2.2.1PDCA简介
2.2.2计划阶段
2.2.3实施阶段
2.2.4检查阶段
2.2.5改进阶段
2.2.6持续的过程
2.3信息安全管理控制规范
2.3.1信息安全方针(A.3)
2.3.2安全组织(A.4)
2.3.3资产分类与控制(A.5)
2.3.4人员安全(A.6)
2.3.5物理与环境安全(A.7)
2.3.6通信与运营安全(A.8)
2.3.7访问控制(A.9)
2.3.8系统开发与维护(A.10)
2.3.9业务持续性管理(A.11)
2.3.10符合性(A.12)
第3章信息安全管理体系的策划与准备
3.1什么是信息安全管理体系
3.1.1信息安全管理体系的定义
3.1.2信息安全管理体系的作用
3.2信息安全管理体系的准备
3.2.1管理承诺
3.2.2组织与人员建设
3.2.3编制工作计划
3.2.4能力要求与教育培训
3.3信息安全管理体系文件
3.3.1文件的作用
3.3.2文件的层次
3.3.3文件的管理
第4章信息安全管理体系的建立
4.1建立信息安全管理体系
4.1.1确定信息安全政策
4.1.2确定信息安全管理体系的范围
4.1.3现状调查与风险评估
4.1.4管理风险
4.1.5选择控制目标和控制对象
4.1.6适用性声明
4'2.信息安全管理体系的运行
4.2.1信息安全管理体系的试运行
4.2.2保持信息安全管理体系的持续有效
4.3信息安全管理体系的审核
4.3.1什么是信息安全审核
4.3.2信息安全管理体系的审核准备
4.3.3信息安全体系审核策划
4.3.4实施审核
4.3.5审核报告
4.3.6内审中纠正措施的跟踪
4.4信息安全管理体系的管理评审
4.4.1什么是管理评审
4.4.2管理评审的时机
4.4.3管理评审计划
4.4.4评审输入
4.4.5召开管理评审会
4.4.6评审输出
4.4.7管理评审的后续管理
4.4.8管理评审的记录
4.5信息安全管理体系的检查与持续改进
4.5.1对信息安全管理体系的检查
4.5.2对信息管理体系的持续改进
4.5.3管理不符合项的职责与要求
第5章信息安全管理体系的认证
5.1什么是信息安全管理认证
5.2认证的目的和作用
5.3认证范围
5.4认证条件与认证机构的选择
5.5信息安全管理体系的认证过程
5.5.1认证的准备
5.5.2认证的实施
5.5.3证书与标志
5.5.4维持认证
5.5.5认证案例
第6章信息安全风险评估详述
6.1信息安全风险评估的基本概念
6.1.1资产
6.1.2资产的价值
6.1.3威胁
6.1.4脆弱性
6.1.5安全风险
6.1.6安全需求
6.1.7安全控制
6.1.8安全各组成因素之间的关系
6.2风险评估过程
6.2.1资产的确定及估价
6.2.2威胁评估
6.2.3脆弱性评估
6.2.4现有的安全控制
6.2.5风险评价
6.3风险的管理过程
6.3.1安全控制的识别与选择
6.3.2降低风险
6.3.3接受风险
6.4风险评估方法
6.4.1基本的风险评估
6.4.2详细的风险评估
6.4.3联合评估方法
6.4.4选择风险评估和风险管理方法时应考虑的因素
6.5风险因素的常用计算方法
6.5.1预定义价值矩阵法
6.5.2按风险大小对威胁排序法
6.5.3按风险频度和危害评估资产价值法
6.5.4区分可接受风险与不接受风险法
6.5.5风险优先级别的确定
6.5.6风险评估与管理工具的选择
第7章信息安全管理控制详述
7.1选择控制措施方法
7.1.1确定安全需求
7.1.2风险评估与管理
7.1.3选择控制目标与控制措施
7.2选择控制措施的详细过程
7.2.1安全需求评估
7.2.2选择控制的方法
7.2.3选择控制的过程
7.3控制目标与控制措施
7.3.1从安全需求选择控制
7.3.2从安全问题选择控制
7.4影响选择控制的因素和条件
7.4.1要考虑的因素
7.4.2限制条件
第8章如何制定信息安全政策与程序
8.1为什么要制定安全政策与程序
8.2什·么是信息安全政策与程序
8.2.1安全政策的内容
8.2.2安全程序的内容
8.3安全政策与程序的格式
8.3.1安全方针的格式
8.3.2安全策略的格式
8.3.3程序文件的内容与格式
8.4政策与程序的制定过程
8.5制定政策与程序时要注意的问题
8.5.1制定和实施信息安全政策时的注意事项
8.5.2编写信息安全程序时的注意事项
8.6BS7799安全领域内有关策略与程序
8.6.1常用信息安全策略
8.6.2BS7799中要求建立的程序
8.7安全政策与程序案例
8.7.1信息安全方针案例
8.7.2安全策略案例
8.7.3信息安全程序的案例
第9章BS7799实施工具ISMTOOL
9.11SMTOOL概述
9.21SMTOOL适用范围
9.31SMTOOL安装与启动
9.41SMTOOL的系统功能简介
9.4.1主要模块
9.4.2辅助模块
第10章BS7799实施案例
10.1案例一.依据BS7799建设PKI/CA认证中心
10.1.1为什么要依据BS7799建设PKI/CA认证中心
10.1.2如何结合BS7799建设PKI/CA认证中心
10.1.3实施BS7799带来的效益
10.2案例二.在IBAS公司内建立信息安全管理体系
10.2.1企业背景
10.2.2客户需求
10.2.3实施过程
10.2.4实施效果
10.2.5经验总结
10.3案例三.BS7799框架下安全产品与技术的具体实现
10.3.1引言
10.3.2BS7799控制目标与措施
10.3.3利用CA的产品和服务设计ISMS
10.4案例四.建立信息安全管理体系的HTP方法
10.4.1问题的提出
10.4.2HTP模型
10.4.3建立HTP信息安全体系的步骤
10.4.4重视信息安全中最活跃的因素--"人"
10.4.5建立有效的"技术防火墙"
10.4.6保证信息安全性、完整性、可用性及有效性
10.4.7实施ISMS项目要点
第11章整合标准.构建善治的IT治理机制
11.1何为IT治理
11.2四种基本的IT治理支持手段
11.3哪个标准更好
11.3.1COBIT和ITIL的比较
11.3.2COBIT和ISO/IECl7799的比较
11.3.3COBIT和11PRlNCE2的比较
11.4四个标准间的相互联系
11.5剪裁与实施
11.6总结
附录A信息安全网络资源
A.1BS7799相关网络资源
A.2国内与信息安全相关的网络资源
A.3国外与信息安全相关的网络资源
附录B信息安全相关法律法规
B.1国家法律
B.2行政法规
B.3最高人民法院的司法解释
B.4国际公约
B.5有关互联网法律法规、政策常用网址
|
