安全策略与规程

第1部分 策略简介

第1章 策略定义

1.1 简介

1.2 定义策略

1.3 探讨有史以来的策略

1.3.1 将《圣经》作为古代的策略

1.3.2 将美国宪法作为策略革命

1.4 定义策略在政府中的作用

1.5 定义策略在企业文化中的作用

1.5.1 服务、产品和企业文化中的一致性

1.5.2 遵从政府策略

1.6 理解策略的心理学

1.6.1 使那些知道什么是可能的人参与进来

1.6.2 环境中的变化

1.7 引荐策略

1.7.1 获得批准

1.7.2 把策略引荐给组织

1.8 使策略被接受

1.8.1 组织文化来源于最高层

1.8.2 通过良好的交流强化策略

1.8.3 响应环境变化

1.9 执行信息安全策略

1.9.1 执行行为性策略

1.9.2 执行技术性策略

1.10 本章小结

1.11 自测题

1.11.1 多项选择题

1.11.2 练习题

1.11.3 项目题

1.11.4 案例研究

第2章 策略的元素

2.1 简介

2.2 定义策略配套文档： 标准、准则和规程

2.2.1 标准

2.2.2 准则

2.2.3 规程

2.3 开发策略风格和格式

2.3.1 在编写策略之前做出计划

2.4 定义策略元素

2.4.1 策略标题

2.4.2 策略目标

2.4.3 策略目的声明

2.4.4 策略受众

2.4.5 策略声明

2.4.6 策略例外情况

2.4.7 策略执行条款

2.4.8 策略定义

2.5 本章小结

2.6 自测题

2.6.1 多项选择题

2.6.2 练习题

2.6.3 项目题

2.6.4 案例研究

第2部分 信息安全策略的各个领域

第3章 信息安全框架

3.1 简介

3.2 计划信息安全计划的目标

3.2.1 C代表保密性

3.2.2 I代表完整性

3.2.3 A代表可用性

3.2.4 信息安全的5个A：另外一些有意义的字母及其含义

第4章 安全策略文档和组织的安全策略

第5章 资产分类

第6章 人员安全

第7章 物理与环境安全策略和规程

第8章 通信和运营管理

第9章 访问控制

第10章 系统开发和维护

第11章 业务连续性管理

第3部分 合 规 性

第12章 金融机构的合规性

第13章 医疗卫生领域的合规性

第14章 关键基础设施领域的信息安全合规性

第15章 小企业的安全策略与实践

附录A 访问控制

附录B 雇员信息安全策略批准协议

术语表

《安全策略与规程：原理与实践》提供了信息安全思想的总体描述，以便企业管理人员能够更好地评估他们的公司在处理信息安全问题上的表现。同时《安全策略与规程：原理与实践》也提供一些实用方法来协助各个公司改进其信息安全计划。 《安全策略与规程：原理与实践》是按照为公司建立信息安全计划的步骤来组织内容的。《安全策略与规程：原理与实践》分为三个部分。第1部分“策略简介”旨在为开发、引荐和实施策略提供基础。第2部分“信息安全策略的各个领域”探讨了9个安全领域的信息安全策略和规程。第3部分“合规性”是关于策略和规程遵从联邦规章以及行业最佳实践的实际应用。《安全策略与规程：原理与实践》各章都配有相关的习题，以指导读者深入地进行学习。 《安全策略与规程：原理与实践》可作为高等学校计算机及相关专业的教材，也可作为信息安全及管理人员的参考书。对于有志成为信息安全专业人员的人，掌握《安全策略与规程：原理与实践》中介绍的信息是绝对必要的。

在当今快速发展的技术世界中，计算机安全从业人员必须能够在信息和系统受到攻击之前保护它们。作为一名将来的安全从业人员．你将需要创建有效的安全策略，并且知道如何最佳地实施它们，以便在信息和系统受到攻击之前先发制人。《安全策略与规程：原理与实践》讲述了如何执行这个任务。你将学习全世界的公司如何保护它们自身，以及用于创建你自己的策略和规程的最佳实践。
《安全策略与规程：原理与实践》深入探讨了以下主题：
?通过设计实用的策略和规程，积极地影响组织的行为。
?实施组织的安全标准和最佳实践。
?使用ISO 17799：2000标准作为信息安全计划的框架。
遵守政府规章，如GLBA、HlPAA、FERPA和FISMA。
?为小型和中型企业自定义安全计划。
《安全策略与规程：原理与实践》带有一些工具．用于帮助你超越仅仅学习概念并且帮助你应用它们。这些工具包括：
实际应用教程：应用概念并通过动手实践来学习。
?习题和项目：向你介绍如何应用新技能的作业。
?案例研究：把你学到的知识应用于现实情况。
?补充测试材料和项目．用于强化《安全策略与规程：原理与实践》所讲的内容。
?可下载的检查表和《安全策略与规程：原理与实践》中使用的模板。
?指向其他主题和资源的链接，可以在你的职业生涯中给你提供帮助。