信息安全管理指南(信息安全实用丛书)
点此进入淘宝搜索页搜索分類: 图书,计算机/网络,信息安全,
作者: 戴宗坤主编
出 版 社: 重庆大学出版社
出版时间: 2008-3-1字数: 287000版次: 1页数: 207印刷时间: 2008/03/01开本: 16开印次: 1纸张: 胶版纸I S B N : 9787562443483包装: 平装内容简介
本书从信息安全有关的法律法规,行政、技术和工程管理等方面精辟地阐述了信息安全管理的理论、方法和工程实践,包括从信息安全角度识别信息系统及资源的方法和分类原则,识别并针对信息系统资源的脆弱性、威胁、影响等因素进行风险管理的过程,识别与对抗风险的理论与方法,以及从资源分析、风险分析与评估、安全需求分析到安全保护策略和措施选择的工程实践和实务操作等。
本书是“全国信息技术人才培养工程教材”之一,适于用作与信息技术和信息安全相关专业本科生、研究生的教材,也是相关专业从业人员值得优选的参考书。
目录
1 信息安全概述
1.1 信息安全的总体要求和基本原则
1.2 信息安全管理的范围
1.3 安全管理在信息安全保障中的地位和作用
2 信息安全管理和组织机构
2.1 信息安全管理的基本问题
2.2 信息安全管理的指导原则
2.3 安全过程管理与OSI安全管理的关系
2.4 信息安全管理的组织机构
3 信息安全管理要素与管理模型
3.1 概述
3.2 与安全管理相关的要素
3.3 管理模型
4 信息系统生命周期的安全管理
4.1 安排和规划
4.2 管理的技术方法
4.3 安全措施的选择与实施
4.4 后续活动
5 管理要求与人员安全
5.1 概述
5.2 信息安全策略
5.3 组织对安全的管理
5.4 人员安全
5.5 符合性要求
6 资产分类与物理安全管理
6.1 资产分类与管理
6.2 物理和环境安全
7 运行安全管理
附录
附录1 信息安全管理检查列表
附录2 信息安全应知应会培训参考材料
2.1 信息安全ABC
2.2 信息安全知识主题和概念
附录3 信息安全常见缩略语
参考文献
书摘插图
1 信息安全概述
1.1 信息安全的总体要求和基本原则
1.1.1总体要求
信息安全保障工作的总体要求是:坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。
积极防御就是要坚持用发展的思路辩证地认识和解决信息安全问题,在对信息安全风险进行充分分析和评估的基础上,构造安全防护与安全监管结合的保护体系,加强预警、应急处理和灾难备份。综合防范就是从预防、监控、应急处理、对抗和打击犯罪等环节,从法律、管理、技术、人员等方面采用多层次的、立体的、全面的防护措施,充分发挥国家、社会、组织和个人的作用,全社会共同构筑国家信息安全保障体系。
1.1.2基本原则
信息安全保障工作的基本原则是:立足国情,以我为主,坚持管理与技术并重;正确处理安全与发展的关系,以安全保发展,在发展中求安全;统筹规划,突出重点,强化基础性工作;明确国家、企业、个人的责任和义务,充分发挥各个方面在信息安全保障工作中的积极性。
增强国家综合实力,促进经济社会的跨越式发展是信息化的根本目的,信息安全保障则是信息化发展的必要前提和保证。将信息安全绝对化或脱离发展过程中的现实而盲目追求信息安全是有害的;同样,只强调信息化应用,忽视信息安全则是另一个极端的错误。必须坚持以安全保发展,在发展中求安全的辩证思想原则。同样,信息安全中的技术与管理也是辨证统一的。在强调信息安全保障工作中的高技术对抗特点时,必须十分重视管理的作用。科学的管理不但贯穿信息安全保障的过程,而且是将信息安全技术转化为保证能力的必要条件。
基于目前我国信息安全主要设备和核心技术尚受制于人的现实,我们必须充分发挥政治、制度优势,强化信息安全意识和责任心,坚持以我为主、管理与技术并重的方针。这样做,不但能有效解决信息安全中技术与管理的互补性问题,同时也是降低信息安全成本的可行办法。坚持从本地、本单位的实际出发,根据信息化发展的不同阶段和不同的安全保护目标,统筹规划,保证重点,客观分析信息安全与信息化应用的适应性。综合平衡安全风险和安全成本,是信息安全保障中始终要遵循的原则。
……
