信息安全管理指南

1信息安全概述

1．1信息安全的总体要求和基本原则

1．1．1总体要求

1．1．2基本原则

1．2信息安全管理的范围

1．2．1信息基础设施

1．2．2信息安全基础设施

1．2．3基础通信网络

1．2．4广播电视传输网

1．2．5信息系统

1．3安全管理在信息安全保障中的地位和作用

2信息安全管理和组织机构

2．1信息安全管理的基本问题

2．1．1信息系统生命期安全管理问题

2．1．2信息安全中的分级保护问题

2．1．3信息安全管理的基本内容

2．2信息安全管理的指导原则

2．2．1策略原则

2．2．2工程原则

2．3安全过程管理与0SI安全管理的关系

2．3．1安全管理过程

2．3．20SI管理

2．3．3OSl安全管理

2．4信息安全管理的组织机构

2．4．1行政管理机构

2．4．2信息安全服务与技术管理机构

3信息安全管理要素与管理模型

3．1概述

3．1．1信息安全管理活动

3．1．2安全目标、方针和策略

3．2与安全管理相关的要素

3．2．1资产

3．2．2脆弱性

3．2．3威胁

3．2．4影响

3．2．5风险

3．2．6残留风险

3．2．7安全措施

3．2．8约束

3．3管理模型

3．3．1安全要素关系模型

3．3．2风险管理关系模型

3．3．3基于过程的信息安全管理模型

3．3．4PDCA模型

4信息系统生命周期的安全管理

4．1安排和规划

4．1．1组织的信息安全策略

4．1．2信息安全的组织

4．1．3风险分析方法

4．2管理的技术方法

4．2．1信息安全的目标、方针和策略

4．2．2组合风险分析法

4．3安全措施的选择与实施

4．3．1基础性评估

4．3．2安全措施

4．3．3根据信息系统类型选择基线安全措施

4．3．4根据安全重点和威胁选择安全措施

4．3．5根据详细风险评估选择安全措施

4．3．6安全措施的实施

4．3．7安全意识

4．4后续活动

4．4．1维护安全措施

4．4．2安全遵从性

4．4．3监控

4．4．4事件处理

5管理要求与人员安全

5．1概述

5．2信息安全策略

5．2．1信息安全策略文档

5．2．2评审与评估

5．3组织对安全的管理

5．3．1信息安全管理的基础结构

5．3．2第三方访问的安全问题

5．3．3委外管理

5．4人员安全

5．4．1岗位定义和资源分配的安全

5．4．2用户培训

5．4．3对安全事件和故障的响应

5．5符合性要求

5．5．1符合法律要求

5．5．2符合安全策略和技术标准

5．5．3系统审计方面的考虑

6资产分类与物理安全管理

6．1资产分类与管理

6．1．1资产分类与责任落实

6．1．2信息分类与标记

6．2物理和环境安全

6．2．1安全区域

6．2．2设备安全

6．2．3日常性控制措施

7运行安全管理

7．1网络安全管理

7．1．1概述

7．1．2任务

7．1．3识别和分析

7．2通信和操作管理

7．2．1操作程序和责任

7．2．2系统规划和验收

7．2．3脆弱性和补丁

7．2．4防范恶意软件

7．2．5内务处理

7．2．6网络管理

7．2．7介质处理和安全

7．2．8信息和软件的交换

7．3访问控制

7．3．1访问控制的策略

7．3．2用户访问管理

7．3．3用户职责

7．3．4网络访问控制

7．3．5操作系统访问控制

7．3．6应用系统访问控制

7．3．7监控系统访问与使用

7．3．8移动计算和远程工作

7．4系统开发和维护

7．4．1系统的安全需求

7．4．2应用系统中的安全

7．4．3加密控制

7．4．4与工程有关的系统文件安全

7．4．5开发和支持进程的安全

7．5业务持续性管理

7．5．1业务持续性管理

7．5．2业务持续性和影响的分析

7．5．3制订和实施持续性计划

7．5．4业务持续性计划框架

7．5．5测试、维护和再评估业务持续性计划

附录

附录1信息安全管理检查列表

附录2信息安全应知应会培训参考材料

2．1信息安全ABC

2．2信息安全知识主题和概念

附录3信息安全常见缩略语

参考文献

　　本书涉及与信息安全有关的法律法规，行政、技术和工程管理的方方面面，既有信息安全管理理论与方法论的介绍；也有从信息安全管理角度识别信息系统及资源的方法和分类原则，以及识别信息系统资产的脆弱性、威胁、影响进而进行风险管理的过程描述；还有从信息安全管理角度识别风险、对抗风险的理论和方法的论述，以及进行基于风险管理的从资源分析、风险分析与评估、安全需求分析，到安全保护策略和措施选择的工程实践方法和实务操作的详细描述。从事信息系统的安全规划、设计、建设和保护，以及从事技术开发、信息安全咨询服务和产品生产的人们，都可以从本书中找到他们在其他地方找不到的东西；同时本书也可作为与信息技术和信息安全专业有关的研究生、本科生或培养高级专业技术人才时的教材或参考书。　　本书从信息安全有关的法律法规,行政、技术和工程管理等方面精辟地阐述了信息安全管理的理论、方法和工程实践，包括从信息安全角度识别信息系统及资源的方法和分类原则，识别并针对信息系统资源的脆弱性、威胁、影响等因素进行风险管理的过程，识别与对抗风险的理论与方法，以及从资源分析、风险分析与评估、安全需求分析到安全保护策略和措施选择的工程实践和实务操作等。　　本书是“全国信息技术人才培养工程教材”之一，适于用作与信息技术和信息安全相关专业本科生、研究生的教材，也是相关专业从业人员值得优选的参考书。