目 录
译者序
前言
作者简介
第1章 理解网络安全策略和治理1
信息安全与网络安全策略2
看一看古往今来的策略3
古代策略3
美国宪法3
现代策略4
网络安全策略5
资产6
成功策略的特点7
政府的角色11
其他联邦银行的法规14
其他 的政府网络安全条例14
策略的挑战14
网络安全策略生命周期14
策略开发15
策略发布16
策略采用17
策略评价17
总结18
自测题18
参考资料21
第2章 网络安全策略组织、格式和风格23
策略的层次结构23
标准24
基线24
指南25
进程26
计划和方案27
写作风格和技巧27
使用简明语言27
简明语言运动28
简明语言策略写作技巧29
策略格式31
理解你的受众31
策略格式的类型31
策略组件32
总结39
自测题40
参考资料44
第3章 网络安全框架45
机密性、完整性和可用性46
机密性46
完整性48
可用性49
谁负责CIA52
NIST的网络安全框架53
NIST的功能53
ISO54
NIST网络安全框架54
ISO标准55
总结59
自测题60
参考资料63
第4章 治理与风险管理65
理解网络安全策略65
治理65
战略一致性的意义66
法规要求67
用户级别网络安全策略67
提供商网络安全策略67
网络安全漏洞披露策略68
网络安全策略的客户概要68
谁授权网络安全策略69
分布式治理模型69
评估网络安全策略71
修订网络安全策略:变 驱动因素73
NIST网络安全框架治理子类别和
信息参考74
法规要求76
网络安全风险76
风险是不好的吗77
理解风险管理78
风险偏好和容忍度80
风险评估80
风险评估方法81
总结83
自测题84
参考资料88
第5章 资产管理和数据丢失预防 90
信息资产和系统91
谁负责信息资产91
信息分类93
联邦政府如何对信息进行分类94
为什么 安全信息分类不同95
谁决定如何分类 安全数据96
私营部门如何对数据进行分类97
信息可以重新分类甚至解密吗98
标签和处理标准98
为什么贴标签98
为什么要处理标准99
信息系统清单100
为什么清单是必要的,如何整理清单100
理解数据丢失预防技术103
总结105
自测题106
参考资料110
第6章 人力资源安全111
员工的生命周期112
招聘与安全有什么关系113
入职阶段会发生什么117
什么是用户配置117
员工在任职培训过程中应该学习什么118
为什么终止被视为 危险的阶段119
员工协议的重要性119
什么是保密协议或不泄露协议120
什么是可接受使用协议120
安全教育与培训的重要性121
安全意识影响行为122
安全技能培训122
安全教育由知识驱动122
总结123
自测题124
参考资料128
第7章 物理和环境安全130
理解安全设施分层防御模型131
如何保证网站安全132
如何控制物理访问133
保护设备136
没电无法工作136
火有多危险137
如何处置138
住手,小偷140
总结142
自测题142
参考资料146
第8章 通信和运营安全147
标准运营程序148
为何记录SOP148
制定SOP149
运营变 控制152
为何管理变 152
为什么补丁处理不同155
恶意软件防护157
是否存在不同类型的恶意软件158
如何控制恶意软件159
什么是防病毒软件160
数据复制163
是否有 的备份或复制策略164
安全消息传递166
是什么使电子邮件成为安全风险166
电子邮件服务器是否存在风险168
其他协作和通信工具169
活动监控和日志分析170
日志管理170
服务提供商监督174
尽职调查175
服务提供商合同中应该包含的内容176
威胁情报和信息共享177
如果无法共享网络威胁情报,
该有多好178
总结179
自测题181
参考资料185
第9章 访问控制管理187
访问控制基础188
安全状态188
如何验证身份190
授权193
审计195
基础设施访问控制196
为什么要划分网络196
什么是分层边界安全198
远程访问安全202
用户访问控制205
为什么要管理用户访问206
应监控哪些类型的访问207
总结209
自测题210
参考资料213
0章 信息系统的获取、开发和维护215
系统安全要求216
SDLC216
商用或开源软件怎么样218
测试环境219
保护测试数据219
安全代码220
开放Web应用程序安全项目220
密码学223
为什么加密224
法规要求225
什么是密钥225
PKI225
为什么要保护加密密钥226
数字证书泄露227
总结228
自测题229
参考资料232
1章 网络安全事件响应234
事件响应234
什么是事件235
事件是如何被报告的240
事件响应计划241
事件响应流程242
桌面练习和剧本244
信息共享和协调245
计算机安全事件响应小组245
产品安全事件响应团队247
事件响应培训和练习253
发生了什么事?调查和证据处理253
记录事件253
与执法部门合作254
了解取证分析254
数据泄露通知要求256
是否有联邦违约通知法257
通知是否有效260
总结262
自测题263
参考资料268
2章 业务连续性管理270
应急准备270
弹性组织272
法规要求272
业务连续性风险管理273
业务连续性威胁评估273
业务连续性风险评估274&am;lt;br />业务影响评估275
业务连续性计划277
角色和责任278
灾难响应计划280
运营应急计划282
灾难恢复阶段283
重建阶段285
计划测试和维护285
为什么测试很重要285
计划维护287
总结288
自测题289
参考资料291
3章 金融机构的监管合规性293
Gramm-Leach-Bliley法案293
金融机构294
法规监督295
机构间指南297
纽约金融服务部网络安全法规
(23 NYCRR Part 500)305
监管检查306
检查流程306
检查评分307
个人和企业身份盗窃307
机构间指南附录A要求的内容308
网上银行环境指南中的身份验证补充
所要求的内容309
总结310
自测题311
参考资料316
4章 卫生保健部门的监管合规性318
HIPAA安全规则319
HIPAA安全规则的目标320
如何组织HIPAA安全规则321
物理保障328
技术保障330
组织要求333
政策和程序标准334
HIPAA安全规则映射到NIST网络
安全框架335
HITECH法案和Omnibus规则335
为商业伙伴改变了什么336
违反通知规则概述337
理解HIPAA合规执行流程339
总结340
自测题340
参考资料345
5章 商家的PCI合规性347
保护持卡人数据348
PAN349
Luhn算法349
PCI DSS框架350
照旧开展业务的方法350
PCI DSS要求351
PCI DSS合规性358
谁需要遵守PCI DSS358
数据安全合规性评估359
PCI DSS自我评估问卷360
不合规是否有处罚361
总结362
自测题363
参考资料367
6章 NIST网络安全框架369
NIST网络安全框架组件介绍370
框架核心371
识别372
保护373
检测374
响应374
恢复374
框架实现层374
谁应该协调框架实现376
NIST对建立或改进网络安全计划的建议步骤377
与利益相关者的沟通及供应链关系377
NIST网络安全框架参考工具378
在现实生活中采用NIST网络安全框架380
总结381
自测题381
参考资料384
附录A 网络安全计划资源385
附录B 选择题答案392