第一部分 制定安全计划的指导原则
第1章 信息安全计划的任务
1. 1 正确的开端
1. 2 确定安全部门的任务
1. 2. 1 报告的机构
1. 2. 2 任务声明
1. 2. 3 长期目标
1. 2. 4 短期目标
1. 3 关系
1. 3. 1 技术关系
1. 3. 2 业务关系
1. 4 检查清单:计划的关键任务
第2章 美国的相关法律和法规
2. 1 与执法部门合作
2. 2 法律背景
2. 2. 1 计算机欺骗和滥用法(1986年版)
2. 2. 2 电子通信隐私法(1986年版)
2. 2. 3 计算机安全法(1987)
2. 2. 4 国家信息基础设施保护法(1996)
2. 2. 5 Gramm-Leach-Bliley金融服务现代化法案(GLBA)
2. 2. 6 医疗保险信息携带及责任法案(HIPAA)
2. 3 网络资源
2. 4 检查清单:信息安全法律问题的要点
第3章 评估
3. 1 内部审计
3. 2 外部审计
3. 3 评估
3. 3. 1 自我评估
3. 3. 2 漏洞评估
3. 3. 3 穿透测试
3. 3. 4 风险评估
3. 4 检查清单:评估的要点
第二部分 计划的实施
第4章 制定政策与程序
4. 1 政策的目的
4. 2 制定政策
4. 2. 1 可接受使用政策(AUP)
4. 2. 2 信息安全政策
4. 3 现有文档的处理
4. 4 使他们认可
4. 5 政策审查
4. 6 检查清单:制定政策与程序的要点
第5章 安全计划的实施
5. 1 从何处开始
5. 1. 1 建立计划书
5. 1. 2 风险评估
5. 1. 3 降低风险的计划
5. 1. 4 制定政策
5. 1. 5 解决方案的部署
5. 1. 6 培训
5. 1. 7 审计和报告
5. 1. 8 重新再做一遍
5. 2 和系统管理员们一起工作
5. 3 和管理者一起工作
5. 4 教育用户
5. 5 检查清单:安全计划实施的要点
第6章 部署新项目和新技术
6. 1 新的业务项目
6. 1. 1 需求定义
6. 1. 2 系统设计
6. 1. 3 内部开发
6. 1. 4 第三方产品
6. 1. 5 测试
6. 1. 6 试运行
6. 1. 7 完全产品化
6. 2 检查清单:部署业务项目的要点
第7章 安全培训和安全意识
7. 1 用户意识
7. 2 管理者意识
7. 3 安全小组的培训和意识
7. 4 培训方法
7. 4. 1 工作描述
7. 4. 2 始业教育
7. 4. 3 可接受使用政策(AUP)
7. 4. 4 正式的课堂培训
7. 4. 5 研讨会和自助会议
7. 4. 6 时事通讯和网站
7. 4. 7 大型活动
7. 4. 8 会议
7. 5 检查清单: 安全培训和安全意识的要点
第8章 安全监控
8. 1 政策监控
8. 1. 1 意识
8. 1. 2 系统
8. 1. 3 员工
8. 1. 4 计算机的使用政策
8. 2 网络监控
8. 2. 1 系统配置
8. 2. 2 网络攻击
8. 2. 3 网络监控机制
8. 3 审计日志的监控
8. 3. 1 非授权的访问
8. 3. 2 不合适的行为
8. 3. 3 有效日志监控机制
8. 4 安全漏洞监控
8. 4. 1 软件补丁
8. 4. 2 配置问题
8. 4. 3 识别安全漏洞的机制
8. 5 检查清单:安全监控的要点
第三部分 安全计划的管理
第9章 安全预算
9. 1 确定需求
9. 2 制定预算
9. 3 其他事项
9. 3. 1 人员需求
9. 3. 2 培训费用
9. 3. 3 软件和硬件维护
9. 3. 4 外部服务
9. 3. 5 新产品
9. 3. 6 不可预料的费用
9. 4 严格执行预算
9. 5 检查清单:安全计划预算中的要点
第10章 安全人员
10. 1 技能领域
10. 1. 1 安全管理能力
10. 1. 2 政策开发能力
10. 1. 3 体系结构设计能力
10. 1. 4 研究能力
10. 1. 5 评估能力
10. 1. 6 审计能力
10. 2 雇用好的员工
10. 2. 1 职业道德
10. 2. 2 能力与经验
10. 2. 3 个性品质
10. 2. 4 认证证书
10. 3 小型机构
10. 3. 1 职员的技能
10. 3. 2 寻找外部的技能
10. 4 大型机构
10. 4. 1 安全部门的基本编制
10. 4. 2 寻找外部的技能
10. 5 检查清单:雇用职员的要点
第11章 报告
11. 1 项目计划的进度
11. 2 安全的状态
11. 2. 1 测度
11. 2. 2 风险的测量
11. 3 投资回报
11. 3. 1 业务项目
11. 3. 2 直接的回报
11. 4 意外事件
11. 4. 1 事件的事实描述
11. 4. 2 被利用的安全漏洞
11. 4. 3 采取的行动
11. 4. 4 建议
11. 5 审计
11. 6 检查清单:安全报告中的要点
第四部分 如何响应意外事件
第12章 事件响应
12. 1 事件响应组
12. 1. 1 小组成员
12. 1. 2 领导
12. 1. 3 授权
12. 1. 4 小组筹备
12. 2 事件确认
12. 2. 1 事件是什么
12. 2. 2 要查找什么
12. 2. 3 服务台的帮助
12. 3 升级
12. 3. 1 调查
12. 3. 2 收集证据
12. 3. 3 决定如何响应
12. 4 控制措施
12. 5 事件根除
12. 6 文档
12. 6. 1 事件发生前的文档
12. 6. 2 事件处理过程中的文档
12. 6. 3 事件处理后的文档
12. 7 法律问题
12. 7. 1 监控
12. 7. 2 证据收集
12. 8 检查清单:事件响应的要点
第13章 制定意外事件的应急计划
13. 1 灾难定义
13. 2 确定重要的系统和数据
13. 2. 1 业务影响分析
13. 2. 2 采访过程
13. 3 准备
13. 3. 1 风险分析项目
13. 3. 2 资产清单
13. 3. 3 获得资金
13. 3. 4 支出的理由
13. 3. 5 资金分配
13. 3. 6 组织间的合作和合作政策
13. 4 把DPR工作组和指导委员会一起考虑
13. 5 常规程序
13. 6 资源
13. 7 检查清单:应急计划的要点
第14章 灾难响应
14. 1 真实性检查
14. 1. 1 先发生的事情先处理
14. 1. 2 损失评估
14. 2 定义权威和工作组
14. 2. 1 工作组的召集
14. 2. 2 可用技术评估
14. 2. 3 设定优先次序
14. 2. 4 设定目标
14. 3 是否遵守计划
14. 4 灾难的阶段
14. 4. 1 灾难响应阶段
14. 4. 2 恢复运作阶段
14. 4. 3 恢复生产阶段
14. 4. 4 灾后重建阶段
14. 5 检查清单:灾难响应的要点
第五部分 附 录
附录A 处理审计
A. 1 成为其中一员
A. 1. 1 信息搜集
A. 1. 2 审计报告
A. 1. 3 响应审计
A. 2 内部审计
A. 2. 1 例行审计
A. 2. 2 特定问题的审计
A. 3 外部审计
A. 3. 1 财务审计
A. 3. 2 SAS-70
A. 4 信息安全部门对审计的响应
A. 5 检查清单:审计中的关键步骤
附录B 安全外包
B. 1 外包安全服务
B. 1. 1 “技术性”的安全服务
B. 1. 2 “面向人”的安全服务
B. 2 选择外包什么
B. 2. 1 选择外包的理由
B. 2. 2 外部安全服务的费用
B. 2. 3 回到风险管理问题
B. 3 选择安全服务商
B. 3. 1 服务
B. 3. 2 价格
B. 3. 3 其他问题
B. 4 与服务商一起工作
B. 4. 1 经常进行沟通和交流
B. 4. 2 设定期望值
B. 4. 3 风险管理
B. 5 检查清单:外部安全服务的关键要点
附录C 管理新的安全项目
C. 1 需求定义
C. 1. 1 安全需求
C. 1. 2 故障时切换需求
C. 1. 3 性能需求
C. 1. 4 可管理性需求
C. 1. 5 集成的需求
C. 2 征求建议书(RFP)
C. 2. 1 RFP的内容
C. 2. 2 RFP的条件
C. 3 评估供应商的反馈
C. 3. 1 技术部分的评估
C. 3. 2 非技术部分的评估
C. 3. 3 折衷
C. 4 选择供应商
C. 5 内部开发新信息安全项目
C. 6 在内部进行产品集成
C. 6. 1 技术集成
C. 6. 2 程序的集成
C. 7 安全产品的集成
C. 8 检查清单:部署新信息安全技术的关键要点
附录D 安全计划与灾难恢复蓝图