新書推薦:
《
津轻:日本无赖派文学代表太宰治自传性随笔集
》
售價:HK$
66.7
《
河流之齿
》
售價:HK$
59.8
《
新经济史革命:计量学派与新制度学派
》
售價:HK$
89.7
《
盗墓笔记之秦岭神树4
》
售價:HK$
57.3
《
战胜人格障碍
》
售價:HK$
66.7
《
逃不开的科技创新战争
》
售價:HK$
103.3
《
漫画三国一百年
》
售價:HK$
55.2
《
希腊文明3000年(古希腊的科学精神,成就了现代科学之源)
》
售價:HK$
82.8
|
| 編輯推薦: |
|
本书*版《信息安全管理与风险评估》自出版以来,深受广大高校师生和业界专业人员的欢迎。本书第二版在*版基础上,进一步结合教学和工作经验,融入信息安全管理体系与风险评估方面的*标准,同时,紧密结合我国网络安全发展状况和需求,大幅度增加网络安全等级保护方面的内容,更加适合网络安全业界教师、从业人员、以及研究人员的实际需求。
|
| 內容簡介: |
|
本书在系统归纳国内外信息安全管理与风险评估、网络安全等级保护的知识与实践以及近年来研究成果的基础上,全面介绍了信息安全管理模型、信息安全管理体系、信息安全风险评估、网络安全等级保护、网络安全等级测评的基本知识、国内外相关标准和各项内容,全书涵盖了信息安全管理体系建立流程、风险评估实施流程、网络安全等级保护实施流程、以及信息安全管理控制措施与网络安全等级保护安全通用要求及扩展要求、IT治理等内容。
|
| 關於作者: |
|
赵刚,工学博士、教授,北京信息科技大学信息管理学院信息安全专业教师、网络空间安全学科及管理科学与工程学科硕士生导师。1996年至2000年留学日本,在大阪市立大学攻读人工智能研究方向博士研究生,于2000年取得工学博士学位。近年来主要从事人工智能、机器学习、信息安全管理、信息安全风险评估、信息系统安全,网络安全等级保护等领域的研究和教学工作。
|
| 目錄:
|
第1章 引论
1.1 信息安全管理概述
1.1.1 信息安全管理的内涵
1.1.2 信息安全管理体系模型
1.1.3 信息安全管理体系的特点与作用
1.1.4 信息安全风险评估的内涵
1.1.5 信息安全管理与风险评估的关系
1.2 网络安全等级保护制度概述
1.2.1 网络安全等级保护制度的内涵
1.2.2 网络安全等级保护制度的意义
1.2.3 网络安全等级保护的主要内容
1.3 信息安全管理体系与网络安全等级保护制度
1.4 信息安全管理体系与网络安全等级保护制度的发展
1.4.1 国外发展方向与现状
1.4.2 国内发展现状
1.5 国内外相关标准
1.5.1 国外主要相关标准
1.5.2 国内主要相关标准
1.5.3 网络安全等级保护标准体系
1.6 相关工具
思考题
第2章 信息安全风险评估
2.1 风险评估基础模型
2.1.1 风险要素关系模型
2.1.2 风险分析原理
2.1.3 风险评估方法
2.2 信息安全风险评估工作概述
2.2.1 风险评估依据
2.2.2 风险评估原则
2.2.3 风险评估组织管理
2.2.4 风险评估实施流程
2.3 风险评估的准备工作
2.4 资产识别
2.4.1 工作内容
2.4.2 参与人员
2.4.3 工作方式
2.4.4 工具及资料
2.4.5 输出结果
2.5 威胁识别
2.5.1 工作内容
2.5.2 参与人员
2.5.3 工作方式
2.5.4 工具及资料
2.5.5 输出结果
2.6 脆弱性识别
2.6.1 工作内容
2.6.2 参与人员
2.6.3 工作方式
2.6.4 工具及资料
2.6.5 输出结果
2.7 已有安全措施确认
2.7.1 工作内容
2.7.2 参与人员
2.7.3 工作方式
2.7.4 工具及资料
2.7.5 输出结果
2.8 风险分析与风险处理
2.8.1 风险分析与计算
2.8.2 风险处理计划
2.8.3 现存风险判断
2.8.4 控制目标确定
2.8.5 风险管理的方法
2.9 风险评估报告
2.10 信息系统生命周期各阶段的风险评估
2.10.1 规划阶段的信息安全风险评估
2.10.2 设计阶段的信息安全风险评估
2.10.3 实施阶段的信息安全风险评估
2.10.4 运维阶段的信息安全风险评估
2.1 0.5 废弃阶段的信息安全风险评估
思考题
第3章 信息安全管理体系
3.1 建立信息安全管理体系的工作步骤
3.2 信息安全管理体系的策划与准备
3.2.1 管理承诺
3.2.2 组织与人员建设
3.2.3 编制工作计划
3.2.4 能力要求与教育培训
3.3 信息安全管理体系的设计与建立
3.3.1 编写信息安全管理体系文件
3.3.2 建立信息安全管理框架
3.4 信息安全管理体系的实施与运行
3.4.1 信息安全管理体系的试运行
3.4.2 实施和运行ISMS工作
3.5 信息安全管理体系的审核
3.5.1 审核概述
3.5.2 ISMS内部审核
3.6 信息安全管理体系管理评审
3.7 信息安全管理体系的改进与保持
3.7.1 持续改进
3.7.2 纠正措施
3.7.3 预防措施
3.8 信息安全管理体系的认证
3.8.1 认证基本含义
3.8.2 认证的基本条件与认证机构和证书
3.8.3 信息安全管理体系的认证过程
思考题
第4章 网络安全等级保护
4.1 网络安全等级保护概述
4.1.1 网络安全等级保护基本内容
4.1.2 网络安全等级保护架构
4.2 网络安全等级保护基本要求
4.2.1 保护对象
4.2.2 安全保护能力
4.2.3 安全要求
4.3 网络安全等级保护实施流程
4.3.1 等级保护的基本流程
4.3.2 定级
4.3.3 备案
4.3.4 建设整改基本工作
4.3.5 等级测评
4.3.6 自查和监督检查
思考题
第5章 信息安全管理控制措施与网络安全等级保护安全要求
5.1 管理信息安全事件
5.1.1 事件分类
5.1.2 事件分级
5.1.3 应急组织机构
5.1.4 应急处置流程
5.2 信息安全管理控制措施
5.2.1 控制措施的选择
5.2.2 标准中控制措施的描述结构
5.2.3 控制目标与控制措施详述
5.3 网络安全等级保护安全要求
5.3.1 保护对象整体安全保护能力总体要求
5.3.2 安全要求的选择与使用
思考题
第6章 网络安全等级保护扩展要求
6.1 云计算安全扩展要求
6.1.1 云计算概述
6.1.2 云计算优势与安全风险
6.1.3 云计算安全扩展要求技术指标
6.2 移动互联安全扩展要求
6.2.1 采用移动互联技术等级保护对象
6.2.2 采用移动互联技术等级保护对象定级
6.2.3 移动互联安全扩展要求技术指标
6.3 物联网安全扩展要求
6.3.1 物联网系统构成
6.3.2 物联网系统定级与物联网安全扩展要求技术指标
思考题
第7章 IT治理概述
7.1 IT治理
7.2 IT治理支持手段
思考题
附录信息安全管理与风险评估相关表格(参考示例)
参考文献
|
| 內容試閱:
|
信息化已融入人类社会的每一个角落,不断推动着社会的进步和发展。然而,无处不在的信息伴随着随时可能发生的风险,信息安全事件时有发生,信息安全问题已成为全社会共同关注的问题,信息系统的安全、管理、风险与控制
问题日益突出。信息安全研究所涉及的领域相当广泛,信息安全的建设是一个系统工程。在信息安全的建设中,正确的做法是遵循国内外相关信息安全标准与最佳实践,考虑组织对信息安全各个层面的需求,在风险评估的基础上引入合理的控制措施,建立信息安全管理体系以保证信息的安全属性。绝大多数信息安全问题都来自管理方面的缺陷,信息安全管理是十分重要的课题,在解决信息安全问题中占重要地位,其发展对信息安全人才的培养提出了更高的要求。风险评估是信息安全管理体系和信息安全风险管理的基础,是建立信息安全保障体系的必要前提,通过风险评估能够将信息安全活动的重点放在重要的问题上。网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法,建立并落实网络安全等级保护制度是形势所迫、国情所需。
1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。2014年,中央网络安全与信息化领导小组第一次会议指出: 没有网络安全就没有国家安全。2016年10月,公安部网络安全保卫局对原有国家标准《信息安全技术 信息系统安全等级保护基本要求》(GBT 222392008)等系列标准进行修订。2016年11月7日,我国发布了《中华人民共和国网络安全法》,这是确保我国网络安全的基本法律。2016年12月27日,国家互联网信息办公室和中央网络安全与信息化领导小组办公室联合发布了我国《国家网络空间安全战略》。2017年3月1日,外交部和国家互联网信息办公室共同发布了《国家网络空间国际合作战略》。2017年6月1日,《中华人民共和国网络安全法》正式实行,信息安全等级保护过渡到网络安全等级保护,法律明确要求国家实施等级保护制度。2017年10月18日,党的十九大报告中再次强调,加快建设创新型国家和网络强国,确保我国的网络空间安全。2018年3月21日,中央决定: 中央网络安全与信息化领导小组改组为中央网络安全与信息化委员会,负责相关领域重大工作的顶层设计、总体布局、统筹协调、整体推进、监督落实。2018年4月20日,
网络安全与信息化委员会工作会议指出: 要主动适应信息化要求,强化互联网思维,不断提高对互联网规律的把握能力、对网络舆论的引导能力、对信息化发展的驾驭能力、对网络安全的保障能力。2019年5月10日,随着《信息安全技术 网络安全等级保护基本要求》(GBT 222392019)、《信息安全技术 网络安全等级保护安全设计技术要求》(GBT 250702019)、《信息安全技术 网络安全等级保护测评要求》(GBT 284482019)等标准的正式发布,标志着等级保护2.0全面启动。
本书依据信息安全管理体系最新标准及等级保护2.0最新相关标准,以适应教师教学与学生学习的组织方式,合理安排章节内容。本书旨在通过学习,使学生了解信息安全管理、信息安全风险评估的基本知识、相关标准,理解信息安全管理体系的建立过程以及风险评估的实施过程,理解网络安全等级保护相关知识和实施流程,进而在实际工作中进行应用,
给组织的具体实践提供理论指导,帮助组织建立合理的信息安全管理体系,帮助网络运营者、关键信息基础设施的运营者及相关组织和机构正确实施网络安全等级保护。
本书从信息安全、信息安全管理的基本概念和基本知识出发,全面、系统地介绍了信息安全管理体系、信息安全风险评估、网络安全等级保护、IT治理等内容。全书分为7章,第1章引论,着重介绍了信息、信息安全、信息安全管理等基本概念,进而引入信息安全管理体系及网络安全等级保护制度等方面的主要内容的概述; 第2章信息安全风险评估,着重讨论了风险要素关系、风险分析基本原理以及风险评估基本方法,进而详细阐述了风险评估各阶段的作业流程及其具体内容,同时分析了信息系统生命周期各阶段的风险评估,包括信息系统生命周期中规划阶段、设计阶段、实施阶段、运维阶段和废弃阶段中风险评估的工作内容; 第3章信息安全管理体系,在介绍建立信息安全管理体系6个基本工作步骤的基础上,深入细致地讨论了建立信息安全管理体系的工作流程、工作方式和工作内容,同时从信息安全管理体系认证概念出发,充分讨论了认证的目的、范围、认证机构
及认证过程等内容; 第4章网络安全等级保护,详细阐述了网络安全等级保护相关概念、网络安全等级保护基本要求以及网络安全等级保护实施流程等相关内容; 第5章信息安全管理控制措施与网络安全等级保护安全要求,充分论述了信息安全事件相关概念和信息安全事件管理方法,进而着重讨论了建立信息安全管理体系的控制措施以及网络安全等级保护的安全要求方面的详细内容; 第6章网络安全等级保护扩展要求,重点讨论了网络安全等级保护基本要求1 X体系框架下的云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求等方面的相关内容; 第7章IT治理概述,主要介绍了IT治理相关概念、基础内容,围绕国际上公认的IT治理相关标准,重点讨论了IT治理支持手段,包括COBIT、PRINCE2、ITIL、ISOIEC 20000以及COSO发布的内部控制框架等。
全书结构合理,内容全面,概念清晰,深入浅出,知识实用性强,紧跟信息安全管理与风险评估、网络安全等级保护方面的研究以及IT应用的发展趋势,融入了最新的创新内容。
本书是作者长期从事理论研究和工程实践以及教学经验和成果的归纳总结,通过精心设计安排全书的结构和内容,以适应不同层次和不同专业读者的需求。书中汲取了大量国内外本领域代表文献的精华,参考了大量的国内外有关研究成果,在此,谨向书中提到和参考文献中列出的作者表示感谢。作者所指导的学生左冉、魏楠、程昕等参与了本书编写的相关工作,在此一并表示感谢。衷心感谢清华大学出版社的相关人员为本书出版付出的辛勤劳动。
信息技术在飞速发展,信息安全管理和风险评估、网络安全等级保护也在不断创新和发展,其理念、方法和技术等也在不断地完善和更新。书稿虽经多次修改,但由于作者水平有限,书中难免存在不妥之处,诚望使用本书的师生和读者不吝指教。
本书有配套的教学电子课件,可登录清华大学出版社网站(http:www.tup.com.cn)下载。
编者
2019年6月于北京
|
|
購物車/收銀台(0) | 在線留言板
| 付款方式
| 運費計算
| 聯絡我們
| 幫助中心 |
加入書簽
HOME
新書上架
