第1章 信息安全管理概论
1. 1 什么是信息安全管理
1. 1. 1 信息安全
1. 1. 2 信息安全管理
1. 1. 3 信息安全管理的重要性
1. 1. 4 信息安全管理与信息安全技术
1. 1. 5 信息安全管理现状
1. 1. 6 信息安全管理的发展与国内外标准
1. 2 信息安全管理标准BS7799概述
1. 2. 1 BS7799的历史
1. 2. 2 BS7799的内容简介
1. 2. 3 对BS7799的理解与认识
1. 2. 4 BS7799/ISO/IECl7799在国际上的争议
1. 3 组织引入BS7799的目的与模式
1. 3. 1 引入BS7799能给组织带来什么好处
1. 3. 2 组织实施BS7799的程序与模式
1. 3. 3 与其它ISO国际标准的有机集成
第2章 信息安全管理理论与控制规范
2. 1 基于风险评估的安全管理模型
2. 1. 1 安全管理模型
2. 1. 2 风险评估与安全管理
2. 2 PDCA模型
2. 2. 1 PDCA简介
2. 2. 2 计划阶段
2. 2. 3 实施阶段
2. 2. 4 检查阶段
2. 2. 5 改进阶段
2. 2. 6 持续的过程
2. 3 信息安全管理控制规范
2. 3. 1 信息安全方针 A. 3
2. 3. 2 安全组织 A. 4
2. 3. 3 资产分类与控制 A. 5
2. 3. 4 人员安全 A. 6
2. 3. 5 物理与环境安全 A. 7
2. 3. 6 通信与运营安全 A. 8
2. 3. 7 访问控制 A. 9
2. 3. 8 系统开发与维护 A. 10
2. 3. 9 业务持续性管理 A. 11
2. 3. 10 符合性 A. 12
第3章 信息安全管理体系的策划与准备
3. 1 什么是信息安全管理体系
3. 1. 1 信息安全管理体系的定义
3. 1. 2 信息安全管理体系的作用
3. 2 信息安全管理体系的准备
3. 2. 1 管理承诺
3. 2. 2 组织与人员建设
3. 2. 3 编制工作计划
3. 2. 4 能力要求与教育培训
3. 3 信息安全管理体系文件
3. 3. 1 文件的作用
3. 3. 2文件的层次
3. 3. 3 文件的管理
第4章 信息安全管理体系的建立
4. 1 建立信息安全管理体系
4. 1. 1 确定信息安全政策
4. 1. 2 确定信息安全管理体系的范围
4. 1. 3 现状调查与风险评估
4. 1. 4 管理风险
4. 1. 5 选择控制目标和控制对象
4. 1. 6 适用性声明
4. 2 信息安全管理体系的运行
4. 2. 1 信息安全管理体系的试运行
4. 2. 2 保持信息安全管理体系的持续有效
4. 3 信息安全管理体系的审核
4. 3. 1 什么是信息安全审核
4. 3. 2 信息安全管理体系的审核准备
4. 3. 3 信息安全体系审核策划
4. 3. 4 实施审核
4. 3. 5 审核报告
4. 3. 6 内审中纠正措施的跟踪
4. 4 信息安全管理体系的管理评审
4. 4. 1 什么是管理评审
4. 4. 2 管理评审的时机
4. 4. 3 管理评审计划
4. 4. 4 评审输入
4. 4. 5 召开管理评审会
4. 4. 6 评审输出
4. 4. 7 管理评审的后续管理
4. 4. 8 管理评审的记录
4. 5 信息安全管理体系的检查与持续改进
4. 5. 1 对信息安全管理体系的检查
4, 5. 2 对信息管理体系的持续改进
4. 5. 3 管理不符合项的职责与要求,
第5章 信息安全管理体系的认证
5. 1 什么是信息安全管理认证
5. 2 认证的目的和作用
5. 3 认证范围
5. 4 认证条件与认证机构的选择
5. 5 信息安全管理体系的认证过程
5. 5. 1 认证的准备
5. 5. 2 认证的实施
5. 5. 3 证书与标志
5. 5. 4 维持认证
5. 5. 5 认证案例
第6章 信息安全风险评估详述
6. 1 信息安全风险评估的基本概念
6. 1. 1 资产
6. 1. 2 资产的价值
6. 1. 3 威胁
6. 1. 4 脆弱性
6. 1. 5 安全风险
6. 1. 6 安全需求
6. 1. 7 安全控制
6. 1. 8 安全各组成因素之间的关系
6. 2 风险评估过程
6. 2. 1 资产的确定及估价
6. 2. 2 威胁评估
6. 2. 3 脆弱性评估
6. 2. 4 现有的安全控制
6, 2. 5 风险评价
6, 3 风险的管理过程
6. 3. 1 安全控制的识别与选择
6. 3. 2 降低风险
6. 3. 3 接受风险
6. 4 风险评估方法
6. 4. 1 基本的风险评估
6. 4. 2 详细的风险评估
6. 4. 3 联合评估方法
6. 4. 4 选择风险评估和风险管理方法时应考虑的因素
6. 5 风险因素的常用计算方法
6. 5. 1 预定义价值矩阵法
6. 5. 2 按风险大小对威胁排序法
6. 5. 3 按风险频度和危害评估资产价值法
6. 5. 4 区分可接受风险与不接受风险法
6. 5. 5 风险优先级别的确定
6. 5. 6 风险评估与管理工具的选择
第7章 信息安全管理控制详述
7. 1 选择控制措施方法
7. 1. 1 确定安全需求
7. 1. 2 风险评估与管理
7. 1. 3 选择控制目标与控制措施
7. 2 选择控制措施的详细过程
7. 2. 1 安全需求评估
7. 2. 2 选择控制的方法
7. 2. 3 选择控制的过程
7. 3 控制目标与控制措施
7. 3. 1 从安全需求选择控制
7. 3. 2 从安全问题选择控制
7. 4 影响选择控制的因素和条件
7. 4. 1 要考虑的因素
7. 4. 2 限制条件
第8章 如何制定信息安全政策与程序
8. 1 为什么要制定安全政策与程序
8. 2 什么是信息安全政策与程序
8. 2. 1 安全政策的内容
8. 2. 2 安全程序的内容
8. 3 安全政策与程序的格式
8. 3. 1 安全方针的格式
8. 3. 2 安全策略的格式
8. 3. 3 程序文件的内容与格式
8. 4 政策与程序的制定过程
8. 5 制定政策与程序时要注意的问题
8. 5. 1 制定和实施信息安全政策时的注意事项
8. 5. 2 编写信息安全程序时的注意事项
8. 6 BS7799安全领域内有关策略与程序
8. 6. 1 常用信息安全策略
8. 6. 2 BS7799中要求建立的程序
8. 7 安全政策与程序案例
8. 7. 1 信息安全方针案例
8. 7. 2 安全策略案例
8. 7. 3 信息安全程序的案例
第9章 BS7799实施工具ISMTOOL
9. 1 ISMTOOL概述
9. 2 ISMTOOL适用范围
9. 3 ISMTOOL安装与启动
9. 4 ISMTOOL的系统功能简介
9. 4. 1 主要模块
9. 4. 2 辅助模块
第10章 BS7799实施案例
10. 1 案例一:依据BS7799建设PKI/CA认证中心
10. 1. 1 为什么要依据BS7799建设PKI/CA认证中心
10. 1. 2 如何结合BS7799建设PKI/CA认证中心
10. 1. 3 实施BS7799带来的效益
10. 2 案例二:在IBAS公司内建立信息安全管理体系
10. 2. 1 企业背景
10. 2. 2 客户需求
10. 2. 3 实施过程
10. 2. 4 实施效果
10. 2. 5 经验总结
10. 3 案例三:BS7799框架下安全产品与技术的具体实现
10. 3. 1 引言
10. 3. 2 BS7799控制目标与措施
10. 3. 3 利用CA的产品和服务设计ISMS
10. 4 案例四:建立信息安全管理体系的HTP方法
10. 4. 1 问题的提出
10. 4. 2 HTP模型
10. 4. 3 建立HTP信息安全体系的步骤
10. 4. 4 重视信息安全中最活跃的因素--人
10. 4. 5 建立有效的技术防火墙
10. 4. 6 保证信息安全性. 完整性. 可用性及有效性
10. 4. 7 实施ISMS项目要点
第11章 整合标准, 构建善治的IT治理机制
11. 1 何为IT治理
11. 2 四种基本的IT治理支持手段
11. 3 哪个标准更好
11. 3. 1 COBIT和ITIL的比较
11. 3. 2 COBIT和ISO/IECl7799的比较
11. 3. 3 COBIT 和PRlNCE2的比较
11. 4 四个标准间的相互联系
11. 5 剪裁与实施
11. 6 总结
附录A 信息安全网络资源
A. 1 BS7799相关网络资源
A. 2 国内与信息安全相关的网络资源
A. 3 国外与信息安全相关的网络资源
附录B 信息安全相关法律法规
B. 1 国家法律
B. 2 行政法规
B. 3 最高人民法院的司法解释
B. 4 国际公约
B. 5 有关互联网法律法规. 政策常用网址