要解决信息安全问题不是简单地依靠安全技术人员就可以的,对于所有从事IT业务或者倚仗IT基础设施来辅助业务运作的公司或组织而言,制定适合本单位的安全计划是非常重要的。本书层次清晰地介绍了安全计划的建立、实施和管理,紧急事件处理等方面的具体细节。针对安全计划所涉及的政策、过程、审计、监控、培训、时间和资金投入以及意外事件的应急处理等进行了专题讲解。本书内容环环相扣,具有很强的指导性和可实践性。\r\n\r\n 本书适合政府、企业等行业中汀相关部门的管理人员,以及网络和信息安全服务行业的从业人员使用。\r\n
\r\n
第一部分 制定安全计划的指导原则 \r\n\r\n 第1章 信息安全计划的任务 \r\n\r\n 1. 1 正确的开端 \r\n\r\n 1. 2 确定安全部门的任务 \r\n\r\n 1. 2. 1 报告的机构 \r\n\r\n 1. 2. 2 任务声明 \r\n\r\n 1. 2. 3 长期目标 \r\n\r\n 1. 2. 4 短期目标 \r\n\r\n 1. 3 关系 \r\n\r\n 1. 3. 1 技术关系 \r\n\r\n 1. 3. 2 业务关系 \r\n\r\n 1. 4 检查清单:计划的关键任务 \r\n\r\n 第2章 美国的相关法律和法规 \r\n\r\n 2. 1 与执法部门合作 \r\n\r\n 2. 2 法律背景 \r\n\r\n 2. 2. 1 计算机欺骗和滥用法(1986年版) \r\n\r\n 2. 2. 2 电子通信隐私法(1986年版) \r\n\r\n 2. 2. 3 计算机安全法(1987) \r\n\r\n 2. 2. 4 国家信息基础设施保护法(1996) \r\n\r\n 2. 2. 5 Gramm-Leach-Bliley金融服务现代化法案(GLBA) \r\n\r\n 2. 2. 6 医疗保险信息携带及责任法案(HIPAA) \r\n\r\n 2. 3 网络资源 \r\n\r\n 2. 4 检查清单:信息安全法律问题的要点 \r\n\r\n 第3章 评估 \r\n\r\n 3. 1 内部审计 \r\n\r\n 3. 2 外部审计 \r\n\r\n 3. 3 评估 \r\n\r\n 3. 3. 1 自我评估 \r\n\r\n 3. 3. 2 漏洞评估 \r\n\r\n 3. 3. 3 穿透测试 \r\n\r\n 3. 3. 4 风险评估 \r\n\r\n 3. 4 检查清单:评估的要点 \r\n\r\n 第二部分 计划的实施 \r\n\r\n 第4章 制定政策与程序 \r\n\r\n 4. 1 政策的目的 \r\n\r\n 4. 2 制定政策 \r\n\r\n 4. 2. 1 可接受使用政策(AUP) \r\n\r\n 4. 2. 2 信息安全政策 \r\n\r\n 4. 3 现有文档的处理 \r\n\r\n 4. 4 使他们认可 \r\n\r\n 4. 5 政策审查 \r\n\r\n 4. 6 检查清单:制定政策与程序的要点 \r\n\r\n 第5章 安全计划的实施 \r\n\r\n 5. 1 从何处开始 \r\n\r\n 5. 1. 1 建立计划书 \r\n\r\n 5. 1. 2 风险评估 \r\n\r\n 5. 1. 3 降低风险的计划 \r\n\r\n 5. 1. 4 制定政策 \r\n\r\n 5. 1. 5 解决方案的部署 \r\n\r\n 5. 1. 6 培训 \r\n\r\n 5. 1. 7 审计和报告 \r\n\r\n 5. 1. 8 重新再做一遍 \r\n\r\n 5. 2 和系统管理员们一起工作 \r\n\r\n 5. 3 和管理者一起工作 \r\n\r\n 5. 4 教育用户 \r\n\r\n 5. 5 检查清单:安全计划实施的要点 \r\n\r\n 第6章 部署新项目和新技术 \r\n\r\n 6. 1 新的业务项目 \r\n\r\n 6. 1. 1 需求定义 \r\n\r\n 6. 1. 2 系统设计 \r\n\r\n 6. 1. 3 内部开发 \r\n\r\n 6. 1. 4 第三方产品 \r\n\r\n 6. 1. 5 测试 \r\n\r\n 6. 1. 6 试运行 \r\n\r\n 6. 1. 7 完全产品化 \r\n\r\n 6. 2 检查清单:部署业务项目的要点 \r\n\r\n 第7章 安全培训和安全意识 \r\n\r\n 7. 1 用户意识 \r\n\r\n 7. 2 管理者意识 \r\n\r\n 7. 3 安全小组的培训和意识 \r\n\r\n 7. 4 培训方法 \r\n\r\n 7. 4. 1 工作描述 \r\n\r\n 7. 4. 2 始业教育 \r\n\r\n 7. 4. 3 可接受使用政策(AUP) \r\n\r\n 7. 4. 4 正式的课堂培训 \r\n\r\n 7. 4. 5 研讨会和自助会议 \r\n\r\n 7. 4. 6 时事通讯和网站 \r\n\r\n 7. 4. 7 大型活动 \r\n\r\n 7. 4. 8 会议 \r\n\r\n 7. 5 检查清单: 安全培训和安全意识的要点 \r\n\r\n 第8章 安全监控 \r\n\r\n 8. 1 政策监控 \r\n\r\n 8. 1. 1 意识 \r\n\r\n 8. 1. 2 系统 \r\n\r\n 8. 1. 3 员工 \r\n\r\n 8. 1. 4 计算机的使用政策 \r\n\r\n 8. 2 网络监控 \r\n\r\n 8. 2. 1 系统配置 \r\n\r\n 8. 2. 2 网络攻击 \r\n\r\n 8. 2. 3 网络监控机制 \r\n\r\n 8. 3 审计日志的监控 \r\n\r\n 8. 3. 1 非授权的访问 \r\n\r\n 8. 3. 2 不合适的行为 \r\n\r\n 8. 3. 3 有效日志监控机制 \r\n\r\n 8. 4 安全漏洞监控 \r\n\r\n 8. 4. 1 软件补丁 \r\n\r\n 8. 4. 2 配置问题 \r\n\r\n 8. 4. 3 识别安全漏洞的机制 \r\n\r\n 8. 5 检查清单:安全监控的要点 \r\n\r\n 第三部分 安全计划的管理 \r\n\r\n 第9章 安全预算 \r\n\r\n 9. 1 确定需求 \r\n\r\n 9. 2 制定预算 \r\n\r\n 9. 3 其他事项 \r\n\r\n 9. 3. 1 人员需求 \r\n\r\n 9. 3. 2 培训费用 \r\n\r\n 9. 3. 3 软件和硬件维护 \r\n\r\n 9. 3. 4 外部服务 \r\n\r\n 9. 3. 5 新产品 \r\n\r\n 9. 3. 6 不可预料的费用 \r\n\r\n 9. 4 严格执行预算 \r\n\r\n 9. 5 检查清单:安全计划预算中的要点 \r\n\r\n 第10章 安全人员 \r\n\r\n 10. 1 技能领域 \r\n\r\n 10. 1. 1 安全管理能力 \r\n\r\n 10. 1. 2 政策开发能力 \r\n\r\n 10. 1. 3 体系结构设计能力 \r\n\r\n 10. 1. 4 研究能力 \r\n\r\n 10. 1. 5 评估能力 \r\n\r\n 10. 1. 6 审计能力 \r\n\r\n 10. 2 雇用好的员工 \r\n\r\n 10. 2. 1 职业道德 \r\n\r\n 10. 2. 2 能力与经验 \r\n\r\n 10. 2. 3 个性品质 \r\n\r\n 10. 2. 4 认证证书 \r\n\r\n 10. 3 小型机构 \r\n\r\n 10. 3. 1 职员的技能 \r\n\r\n 10. 3. 2 寻找外部的技能 \r\n\r\n 10. 4 大型机构 \r\n\r\n 10. 4. 1 安全部门的基本编制 \r\n\r\n 10. 4. 2 寻找外部的技能 \r\n\r\n 10. 5 检查清单:雇用职员的要点 \r\n\r\n 第11章 报告 \r\n\r\n 11. 1 项目计划的进度 \r\n\r\n 11. 2 安全的状态 \r\n\r\n 11. 2. 1 测度 \r\n\r\n 11. 2. 2 风险的测量 \r\n\r\n 11. 3 投资回报 \r\n\r\n 11. 3. 1 业务项目 \r\n\r\n 11. 3. 2 直接的回报 \r\n\r\n 11. 4 意外事件 \r\n\r\n 11. 4. 1 事件的事实描述 \r\n\r\n 11. 4. 2 被利用的安全漏洞 \r\n\r\n 11. 4. 3 采取的行动 \r\n\r\n 11. 4. 4 建议 \r\n\r\n 11. 5 审计 \r\n\r\n 11. 6 检查清单:安全报告中的要点 \r\n\r\n 第四部分 如何响应意外事件 \r\n\r\n 第12章 事件响应 \r\n\r\n 12. 1 事件响应组 \r\n\r\n 12. 1. 1 小组成员 \r\n\r\n 12. 1. 2 领导 \r\n\r\n 12. 1. 3 授权 \r\n\r\n 12. 1. 4 小组筹备 \r\n\r\n 12. 2 事件确认 \r\n\r\n 12. 2. 1 事件是什么 \r\n\r\n 12. 2. 2 要查找什么 \r\n\r\n 12. 2. 3 服务台的帮助 \r\n\r\n 12. 3 升级 \r\n\r\n 12. 3. 1 调查 \r\n\r\n 12. 3. 2 收集证据 \r\n\r\n 12. 3. 3 决定如何响应 \r\n\r\n 12. 4 控制措施 \r\n\r\n 12. 5 事件根除 \r\n\r\n 12. 6 文档 \r\n\r\n 12. 6. 1 事件发生前的文档 \r\n\r\n 12. 6. 2 事件处理过程中的文档 \r\n\r\n 12. 6. 3 事件处理后的文档 \r\n\r\n 12. 7 法律问题 \r\n\r\n 12. 7. 1 监控 \r\n\r\n 12. 7. 2 证据收集 \r\n\r\n 12. 8 检查清单:事件响应的要点 \r\n\r\n 第13章 制定意外事件的应急计划 \r\n\r\n 13. 1 灾难定义 \r\n\r\n 13. 2 确定重要的系统和数据 \r\n\r\n 13. 2. 1 业务影响分析 \r\n\r\n 13. 2. 2 采访过程 \r\n\r\n 13. 3 准备 \r\n\r\n 13. 3. 1 风险分析项目 \r\n\r\n 13. 3. 2 资产清单 \r\n\r\n 13. 3. 3 获得资金 \r\n\r\n 13. 3. 4 支出的理由 \r\n\r\n 13. 3. 5 资金分配 \r\n\r\n 13. 3. 6 组织间的合作和合作政策 \r\n\r\n 13. 4 把DPR工作组和指导委员会一起考虑 \r\n\r\n 13. 5 常规程序 \r\n\r\n 13. 6 资源 \r\n\r\n 13. 7 检查清单:应急计划的要点 \r\n\r\n 第14章 灾难响应 \r\n\r\n 14. 1 真实性检查 \r\n\r\n 14. 1. 1 先发生的事情先处理 \r\n\r\n 14. 1. 2 损失评估 \r\n\r\n 14. 2 定义权威和工作组 \r\n\r\n 14. 2. 1 工作组的召集 \r\n\r\n 14. 2. 2 可用技术评估 \r\n\r\n 14. 2. 3 设定优先次序 \r\n\r\n 14. 2. 4 设定目标 \r\n\r\n 14. 3 是否遵守计划 \r\n\r\n 14. 4 灾难的阶段 \r\n\r\n 14. 4. 1 灾难响应阶段 \r\n\r\n 14. 4. 2 恢复运作阶段 \r\n\r\n 14. 4. 3 恢复生产阶段 \r\n\r\n 14. 4. 4 灾后重建阶段 \r\n\r\n 14. 5 检查清单:灾难响应的要点 \r\n\r\n 第五部分 附 录 \r\n\r\n 附录A 处理审计 \r\n\r\n A. 1 成为其中一员 \r\n\r\n A. 1. 1 信息搜集 \r\n\r\n A. 1. 2 审计报告 \r\n\r\n A. 1. 3 响应审计 \r\n\r\n A. 2 内部审计 \r\n\r\n A. 2. 1 例行审计 \r\n\r\n A. 2. 2 特定问题的审计 \r\n\r\n A. 3 外部审计 \r\n\r\n A. 3. 1 财务审计 \r\n\r\n A. 3. 2 SAS-70 \r\n\r\n A. 4 信息安全部门对审计的响应 \r\n\r\n A. 5 检查清单:审计中的关键步骤 \r\n\r\n 附录B 安全外包 \r\n\r\n B. 1 外包安全服务 \r\n\r\n B. 1. 1 “技术性”的安全服务 \r\n\r\n B. 1. 2 “面向人”的安全服务 \r\n\r\n B. 2 选择外包什么 \r\n\r\n B. 2. 1 选择外包的理由 \r\n\r\n B. 2. 2 外部安全服务的费用 \r\n\r\n B. 2. 3 回到风险管理问题 \r\n\r\n B. 3 选择安全服务商 \r\n\r\n B. 3. 1 服务 \r\n\r\n B. 3. 2 价格 \r\n\r\n B. 3. 3 其他问题 \r\n\r\n B. 4 与服务商一起工作 \r\n\r\n B. 4. 1 经常进行沟通和交流 \r\n\r\n B. 4. 2 设定期望值 \r\n\r\n B. 4. 3 风险管理 \r\n\r\n B. 5 检查清单:外部安全服务的关键要点 \r\n\r\n 附录C 管理新的安全项目 \r\n\r\n C. 1 需求定义 \r\n\r\n C. 1. 1 安全需求 \r\n\r\n C. 1. 2 故障时切换需求 \r\n\r\n C. 1. 3 性能需求 \r\n\r\n C. 1. 4 可管理性需求 \r\n\r\n C. 1. 5 集成的需求 \r\n\r\n C. 2 征求建议书(RFP) \r\n\r\n C. 2. 1 RFP的内容 \r\n\r\n C. 2. 2 RFP的条件 \r\n\r\n C. 3 评估供应商的反馈 \r\n\r\n C. 3. 1 技术部分的评估 \r\n\r\n C. 3. 2 非技术部分的评估 \r\n\r\n C. 3. 3 折衷 \r\n\r\n C. 4 选择供应商 \r\n\r\n C. 5 内部开发新信息安全项目 \r\n\r\n C. 6 在内部进行产品集成 \r\n\r\n C. 6. 1 技术集成 \r\n\r\n C. 6. 2 程序的集成 \r\n\r\n C. 7 安全产品的集成 \r\n\r\n C. 8 检查清单:部署新信息安全技术的关键要点 \r\n\r\n 附录D 安全计划与灾难恢复蓝图 \r\n
\r\n
Eric Maiwald是Fortrex公司的首席技术官, 负责管理公司全部的安全研究和培训活动以及Fortrex网络安全中心的运行工作. 此外, Maiwald先生还参与过很多其他类型的工作, 比如对大型的金融机构. 服务公司和生产厂商进行风险评估, 制定企业的开发策略和部署安全解决方案等等. 作为咨询顾问. 安全主管和开发者, 他在安全领域有着丰富的工作经验. Maiwald拥有Rensselaer理工学院的电子工程理学学士学位. Stevens科技学院的电子工程学硕士学位, 并且是认证的信息系统安全专家(CISSP).
Maiwald是以下专利的著
现在是以电子信息为中心的时代, 各类公司或组织倚仗IT基础设施来辅助业务的运作, 甚至有些公司或组织将其作为业务的核心. 对这些公司或组织而言, 安全. 可靠的计算和通信是至关重要的. 这些公司和组织, 开始理解信息安全的重要性, 他们纷纷在CIO的指导下制定安全计划.
除了人员和技术以外, 信息安全计划还包括许多其他的内容, 涉及政策. 过程. 审计. 监控以及时间和资金上的投入. 本书旨在向公司或组织提供安全计划的宽泛的概述:安全计划是什么?应该包括哪些人?必须要做什么事情?如何使之与整个公司或组织相适应?等等.
本书面向安全专家, 他们必须解决公司或组织的安全管理方面的问题. 在现在的经济条件下, 许多公司或组织没有能力雇用人员专门从事安全工作. 通常, 负责这项任务的是没有经过专门的安全培训的IT专家. 本书为这些人提供了指导性的路线图.
全书分为四个主要部分和内容丰富的附录.
第一部分:制定计划的指导原则 第一部分旨在针对安全计划的基本问题提供指导. 在这一部分, 我们概述了信息安全的任务. 法律和法规. 风险识别等基本概念.
· 第1章:信息安全计划的任务 第1章讨论了信息安全计划的整体重要性, 叙述了它在公司或组织中的位置, 以及谁负责建立它的许可. 任务. 责任和权威. 本章还进一步讨论了信息安全经理(及其部门)与公司或组织的其他人员. 部门之间的关系. 信息安全计划不可能凭空建立, 也不能建立在恶劣的组织关系的基础之上.
· 第2章:法律和法规 许多行业都必须遵守的法规. 有些法规可能对安全计划产生影响. 于是, 安全部门对于法规要求的理解就变得十分重要. 有些情况下, 法律和法规明确规定必须实行信息安全计划.
· 第3章:评估 本章旨在讲述公司或组织如何辨别自己的信息安全状况, 包括各种类型的评估信息, 以及何时应该进行评估, 何时不应该进行评估.
第二部分:计划的实施 第二部分讨论了风险管理和降低风险的基础问题. 一旦识别出风险, 就必须采取措施来降低风险. 每个公司或组织的计划各不相同, 本书的这一部分提供了实现的基础.
. 第4章:制定政策与程序 本章讨论了政策和程序的重要性, 以及公司或组织需要创建的政策和程序本身. 本章的核心问题是创建的顺序是什么, 以及公司或组织应该采取什么方法买进已经制定好的政策和程序并将其投入使用.
. 第5章:安全计划的实施 即便安全政策是完好的文档, 但是如果不去实施, 就毫无用处. 本章讨论了政策实施的通用指导原则.
. 第6章:部署新的项目和技术 任何一个公司或组织都不可能完全在内部开发所有需要的东西. 安全问题也是一样. 公司或组织很可能会购买产品, 并在内部开发新项目. 本章讲述了在开发过程中如何管理所面临的风险.
. 第7章:安全培训和安全意识 为了使公司或组织具备安全意识, 必须建立相应的课程表和课程, 本章就讨论这一问题. 在信息安全计划中, 安全意识是成本效率最高的环节. 美国总统数字安全顾问里查得·克拉克(Richard Clark)最近在一次发言中指出:雇员的安全意识对于公司或组织的安全计划来说至关重要. 他还说到, 在未来几个月内, 他将和联邦政府一起向工业界强调这一问题.
. 第8章:安全监控 安全计划到位以后, 如何知道它是否正在发挥作用?惟一的办法是进行监控. 本章叙述了用于监控的更多有用的方法.
第三部分:安全计划的管理 在公司或组织内部, 安全计划和其他计划相比没有什么不同. 一旦建立完成并正常运行, 就必须进行恰当的管理和控制. 这一部分就讨论这一问题.
. 第9章:安全预算 每一个公司或组织都有预算过程. 安全部门必须和其他部门一样通过这个过程. 因此, 很重要的一点就是安全部门把预算做好.
. 第10章:安全人员 虽然不是每个安全计划都安排了安全人员, 但是很多计划是这样做的. 挑选合格的安全人员, 改善他们的技能, 保证安全计划得以实施. 本章讨论了队伍的构成问题, 以及如何寻找合适的人选.
. 第11章:报告 最后是报告问题. 没有报告, 公司或组织就无法衡量安全部门的效率. 几乎很少有安全ROI(但是这正在改变), 因此必须有其他的尺度用以衡量部门的业绩.
第四部分:应急事件响应 所有的计划. 风险识别. 风险缓解和管理任务都能够帮助公司或组织管理风险. 然而, 没有人能够完全消除风险. 本书的这一部分将讨论如何处理突发的事件和灾难.
. 第12章:事件响应 糟糕的事情发生了. 安全计划竭力避免发生事件, 但最终事件还是发生了. 当出现意外事件时, 安全部门必须随时准备好各种应对措施.
. 第13章:制定应急计划 业务可能发生各种形式和规模的灾难. 由于公司或组织对IT基础设施的依赖程度如此之高, 以至于很有必要制定IT灾难恢复计划, 并保持随时更新. 该计划应当说明政策. 程序. 角色和责任, 用以作好应对各种灾难的准备. 本章解释了制定ITDRP的关键步骤.
. 第14章:灾难响应 公司或组织对灾难的响应工作, 与对灾难的准备工作是同等重要的. 通常, 由于出现了未曾预料的情况, 对灾难的响应偏离了制定的计划. 本章讨论如何对严重灾难做出恰当的响应.
第五部分:附录 第五部分的3个章节对全书起补充作用. 这些章节旨在帮助读者回答有关安全和实施强大计划方面的一些特定问题.
. 附录A:处理审计 审计在现实生活中比比皆是. 每个公司或组织都要通过审计, 可能是内部审计, 也可能是外部审计. 安全团队必须是审计的一部分, 是公司或组织的响应的一部分.
. 附录B:安全外包 最近, 安全外包成为一个真实的话题. 许多新的安全公司纷纷成立, 他们销售某种安全服务. 这可能会影响到公司或组织的安全, 也可能是完成安全部门职能的一条高效的途径.
. 附录C:管理新的安全项目 附录C是第6章的延续, 继续讨论构建新的安全项目, 而不是新业务项目的安全问题.
. 附录D:安全计划与灾难恢复蓝图.
第二书店&China-pub战略联盟提供专业服务
第二书店联系方式 010-64348411 webmaster@dearbook.com