信息安全管理结构

第部分 简介

第 信息安全管理简介

作为全书的起始，本章为理解信息安全奠定了基础，揭示了信息技术的重要性并指出谁应该负责保护机构的重要信息。读者可在本章中了解信息安全的定义和重要特点，以及信息安全管理与普通管理的区别。

第部分 计划

第 安全计划

本章阐明了计划的重要性，并讲述了组织计划和信息安全系统实施计划的主要内容。 

应急计划

本章讲述了应急计划的必要性，形象地介绍了怎样根据业务影响分析建立一系列简单的应急计划，以及怎样测试这些计划。

第部分 策略和项目

第 安全策略

本章定义了信息安全策略，并讲述了它在一个成功的信息安全项目中的中心地位。研究表明，有类主要的信息安全策略；本章解释了每一类安全策略的内容，并对怎样开发、实施和维护各种类型的信息安全策略做了示范。

第 制定安全项圈

本章探索了信息安全的各种不同组织方法，并且阐述了信息安全项目的各个功能组件。读者将学习怎样按照机构的规模去规划和配置机构的信息安全部门人员，也将学习怎样评估影响机构及其活动的内外部因素。本章也鉴别和描述典型的工作职务，并且阐述了它们在信息安全计划中所扮演的角色。最后，讲述安全教育、培训和意识提升项目的设立和管理。

第 安全管理模型与实践

本章介绍了几个主要的信息安全管理模型的组件（包括经美国政府同意的模型），还讨论了怎样实现这些模型以适应某个具体机构的需求。读者将学习怎样实现信息安全管理关键操作的基本要素，并理鳃美国联邦IT系统认证和鉴定中出现的新趋势。

附录-NIST SP 800-26，信息技术系统的安全性自我评估指南，人工防火墙委员会安全管理索引概览。

根据美国国家标准与技术研究院( NIST)文档和人工防火墙委员会安全管理索引，本附录介绍了基本的安全管理模型。

第部分 保护机制

第 风险评估

本章定义了风险管理及其在机构中的作用，描述了怎样使用风险管理技术以鉴别信息资产的风险因素，并对其按重要性次序进行区分。风险管理模型根据不利事件的可能性及其发生时对信息资产的影响对风险进行评估。最后，简单讨论了怎样记录风险鉴别的结果。 

风险管理和控制

本章介绍了基本的风险缓解策略选择，并对如何控制风险进行了讨论，包括鉴别风险控制分类，使用已有的概念框架对风险控制进行评估，并提出了成本效益分析法。读者将学习怎样实施和坚持风险控制。除了在本章前面部分介绍的方法外，还介绍了OCTAVE风险管理方法。

第 保护机制

本章通过介绍访问控制方法，向读者展示了技术上的风险控制方法：包括认证、授权以及使用生物特征测量的访问控制；定义并识别防火墙和常用的防火墙实施方法；另外，该章还涉及了拨号访问、入侵检测系统和密码学等技术控制方法。

第部分 人与项目

第10 员工与安全

本章进一步阐述了第章介绍的信息安全职位的要求和技术。探讨各种信息安全专业认证，以及每种认证包含的具体技巧。在本章后半部分，探讨了在机构人力资源配置方面对信息安全约束条件的实施状况，机构用这些约束来控制员工的行为，防止对信息的误用。

第11 法律和道德

在本章中，读者将了解到与信息安全相关的法律环境以及它们之间的关系。这一章讲述影响信息安全实施的主要国内国际法，以及文化在信息安全道德规范中所起的作用。

第12 安全项圈管理

最后一章覆盖了信息安全领域里的项目管理，提供了基本的项目管理技术，还介绍了如何把项目管理原则应用到信息安全计划中。