第部分 簡介

第 信息安全管理簡介

作為全書的起始，本章為理解信息安全奠定了基礎(chǔ)，揭示了信息技術(shù)的重要性并指出誰應(yīng)該負(fù)責(zé)保護(hù)機(jī)構(gòu)的重要信息。讀者可在本章中了解信息安全的定義和重要特點，以及信息安全管理與普通管理的區(qū)別。

第部分 計劃

第 安全計劃

本章闡明了計劃的重要性，并講述了組織計劃和信息安全系統(tǒng)實施計劃的主要內(nèi)容。 

應(yīng)急計劃

本章講述了應(yīng)急計劃的必要性，形象地介紹了怎樣根據(jù)業(yè)務(wù)影響分析建立一系列簡單的應(yīng)急計劃，以及怎樣測試這些計劃。

第部分 策略和項目

第 安全策略

本章定義了信息安全策略，并講述了它在一個成功的信息安全項目中的中心地位。研究表明，有類主要的信息安全策略；本章解釋了每一類安全策略的內(nèi)容，并對怎樣開發(fā)、實施和維護(hù)各種類型的信息安全策略做了示范。

第 制定安全項圈

本章探索了信息安全的各種不同組織方法，并且闡述了信息安全項目的各個功能組件。讀者將學(xué)習(xí)怎樣按照機(jī)構(gòu)的規(guī)模去規(guī)劃和配置機(jī)構(gòu)的信息安全部門人員，也將學(xué)習(xí)怎樣評估影響機(jī)構(gòu)及其活動的內(nèi)外部因素。本章也鑒別和描述典型的工作職務(wù)，并且闡述了它們在信息安全計劃中所扮演的角色。最后，講述安全教育、培訓(xùn)和意識提升項目的設(shè)立和管理。

第 安全管理模型與實踐

本章介紹了幾個主要的信息安全管理模型的組件（包括經(jīng)美國政府同意的模型），還討論了怎樣實現(xiàn)這些模型以適應(yīng)某個具體機(jī)構(gòu)的需求。讀者將學(xué)習(xí)怎樣實現(xiàn)信息安全管理關(guān)鍵操作的基本要素，并理鰓美國聯(lián)邦I(lǐng)T系統(tǒng)認(rèn)證和鑒定中出現(xiàn)的新趨勢。

附錄-NIST SP 800-26，信息技術(shù)系統(tǒng)的安全性自我評估指南，人工防火墻委員會安全管理索引概覽。

根據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究院( NIST)文檔和人工防火墻委員會安全管理索引，本附錄介紹了基本的安全管理模型。

第部分 保護(hù)機(jī)制

第 風(fēng)險評估

本章定義了風(fēng)險管理及其在機(jī)構(gòu)中的作用，描述了怎樣使用風(fēng)險管理技術(shù)以鑒別信息資產(chǎn)的風(fēng)險因素，并對其按重要性次序進(jìn)行區(qū)分。風(fēng)險管理模型根據(jù)不利事件的可能性及其發(fā)生時對信息資產(chǎn)的影響對風(fēng)險進(jìn)行評估。最后，簡單討論了怎樣記錄風(fēng)險鑒別的結(jié)果。 

風(fēng)險管理和控制

本章介紹了基本的風(fēng)險緩解策略選擇，并對如何控制風(fēng)險進(jìn)行了討論，包括鑒別風(fēng)險控制分類，使用已有的概念框架對風(fēng)險控制進(jìn)行評估，并提出了成本效益分析法。讀者將學(xué)習(xí)怎樣實施和堅持風(fēng)險控制。除了在本章前面部分介紹的方法外，還介紹了OCTAVE風(fēng)險管理方法。

第 保護(hù)機(jī)制

本章通過介紹訪問控制方法，向讀者展示了技術(shù)上的風(fēng)險控制方法：包括認(rèn)證、授權(quán)以及使用生物特征測量的訪問控制；定義并識別防火墻和常用的防火墻實施方法；另外，該章還涉及了撥號訪問、入侵檢測系統(tǒng)和密碼學(xué)等技術(shù)控制方法。

第部分 人與項目

第10 員工與安全

本章進(jìn)一步闡述了第章介紹的信息安全職位的要求和技術(shù)。探討各種信息安全專業(yè)認(rèn)證，以及每種認(rèn)證包含的具體技巧。在本章后半部分，探討了在機(jī)構(gòu)人力資源配置方面對信息安全約束條件的實施狀況，機(jī)構(gòu)用這些約束來控制員工的行為，防止對信息的誤用。

第11 法律和道德

在本章中，讀者將了解到與信息安全相關(guān)的法律環(huán)境以及它們之間的關(guān)系。這一章講述影響信息安全實施的主要國內(nèi)國際法，以及文化在信息安全道德規(guī)范中所起的作用。

第12 安全項圈管理

最后一章覆蓋了信息安全領(lǐng)域里的項目管理，提供了基本的項目管理技術(shù)，還介紹了如何把項目管理原則應(yīng)用到信息安全計劃中。