《安全計畫與災難恢復》是2003年人民郵電出版社出版的圖書,作者是梅沃德。
基本介紹
- 書名:安全計畫與災難恢復
- 作者:梅沃德
- 出版社:人民郵電出版社
- 出版時間:2003年11月01日
- 開本:大16開
- ISBN:71151168400
內容簡介,圖書目錄,
內容簡介
要解決信息安全問題不是簡單地依靠安全技術人員就可以的,對於所有從事IT業務或者倚仗IT基礎設施來輔助業務運作的公司或組織而言,制定適合本單位的安全計畫是非常重要的。本書層次清晰地介紹了安全計畫的建立、實施和管理,緊急事件處理等方面的具體細節。針對安全計畫所涉及的政策、過程、審計、監控、培訓、時間和資金投入以及意外事件的應急處理等進行了專題講解。本書內容環環相扣,具有很強的指導性和可實踐性。
圖書目錄
第一部分 制定安全計畫的指導原則
第1章 信息安全計畫的任務
1. 1 正確的開端
1. 2 確定安全部門的任務
1. 2. 1 報告的機構
1. 2. 2 任務聲明
1. 2. 3 長期目標
1. 2. 4 短期目標
1. 3 關係
1. 3. 1 技術關係
1. 3. 2 業務關係
1. 4 檢查清單:計畫的關鍵任務
第2章 美國的相關法律和法規
2. 1 與執法部門合作
2. 2 法律背景
2. 2. 1 計算機欺騙和濫用法(1986年版)
2. 2. 2 電子通信隱私法(1986年版)
2. 2. 3 計算機安全法(1987)
2. 2. 4 國家信息基礎設施保護法(1996)
2. 2. 5 Gramm-Leach-Bliley金融服務現代化法案(GLBA)
2. 2. 6 醫療保險信息攜帶及責任法案(HIPAA)
2. 3 網路資源
2. 4 檢查清單:信息安全法律問題的要點
第3章 評估
3. 1 內部審計
3. 2 外部審計
3. 3 評估
3. 3. 1 自我評估
3. 3. 2 漏洞評估
3. 3. 3 穿透測試
3. 3. 4 風險評估
3. 4 檢查清單:評估的要點
第二部分 計畫的實施
第4章 制定政策與程式
4. 1 政策的目的
4. 2 制定政策
4. 2. 1 可接受使用政策(AUP)
4. 2. 2 信息安全政策
4. 3 現有文檔的處理
4. 4 使他們認可
4. 5 政策審查
4. 6 檢查清單:制定政策與程式的要點
第5章 安全計畫的實施
5. 1 從何處開始
5. 1. 1 建立計畫書
5. 1. 2 風險評估
5. 1. 3 降低風險的計畫
5. 1. 4 制定政策
5. 1. 5 解決方案的部署
5. 1. 6 培訓
5. 1. 7 審計和報告
5. 1. 8 重新再做一遍
5. 2 和系統管理員們一起工作
5. 3 和管理者一起工作
5. 4 教育用戶
5. 5 檢查清單:安全計畫實施的要點
第6章 部署新項目和新技術
6. 1 新的業務項目
6. 1. 1 需求定義
6. 1. 2 系統設計
6. 1. 3 內部開發
6. 1. 4 第三方產品
6. 1. 5 測試
6. 1. 6 試運行
6. 1. 7 完全產品化
6. 2 檢查清單:部署業務項目的要點
第7章 安全培訓和安全意識
7. 1 用戶意識
7. 2 管理者意識
7. 3 安全小組的培訓和意識
7. 4 培訓方法
7. 4. 1 工作描述
7. 4. 2 始業教育
7. 4. 3 可接受使用政策(AUP)
7. 4. 4 正式的課堂培訓
7. 4. 5 研討會和自助會議
7. 4. 6 時事通訊和網站
7. 4. 7 大型活動
7. 4. 8 會議
7. 5 檢查清單: 安全培訓和安全意識的要點
第8章 安全監控
8. 1 政策監控
8. 1. 1 意識
8. 1. 2 系統
8. 1. 3 員工
8. 1. 4 計算機的使用政策
8. 2 網路監控
8. 2. 1 系統配置
8. 2. 2 網路攻擊
8. 2. 3 網路監控機制
8. 3 審計日誌的監控
8. 3. 1 非授權的訪問
8. 3. 2 不合適的行為
8. 3. 3 有效日誌監控機制
8. 4 安全漏洞監控
8. 4. 1 軟體補丁
8. 4. 2 配置問題
8. 4. 3 識別安全漏洞的機制
8. 5 檢查清單:安全監控的要點
第三部分 安全計畫的管理
第9章 安全預算
9. 1 確定需求
9. 2 制定預算
9. 3 其他事項
9. 3. 1 人員需求
9. 3. 2 培訓費用
9. 3. 3 軟體和硬體維護
9. 3. 4 外部服務
9. 3. 5 新產品
9. 3. 6 不可預料的費用
9. 4 嚴格執行預算
9. 5 檢查清單:安全計畫預算中的要點
第10章 安全人員
10. 1 技能領域
10. 1. 1 安全管理能力
10. 1. 2 政策開發能力
10. 1. 3 體系結構設計能力
10. 1. 4 研究能力
10. 1. 5 評估能力
10. 1. 6 審計能力
10. 2 雇用好的員工
10. 2. 1 職業道德
10. 2. 2 能力與經驗
10. 2. 3 個性品質
10. 2. 4 認證證書
10. 3 小型機構
10. 3. 1 職員的技能
10. 3. 2 尋找外部的技能
10. 4 大型機構
10. 4. 1 安全部門的基本編制
10. 4. 2 尋找外部的技能
10. 5 檢查清單:雇用職員的要點
第11章 報告
11. 1 項目計畫的進度
11. 2 安全的狀態
11. 2. 1 測度
11. 2. 2 風險的測量
11. 3 投資回報
11. 3. 1 業務項目
11. 3. 2 直接的回報
11. 4 意外事件
11. 4. 1 事件的事實描述
11. 4. 2 被利用的安全漏洞
11. 4. 3 採取的行動
11. 4. 4 建議
11. 5 審計
11. 6 檢查清單:安全報告中的要點
第四部分 如何回響意外事件
第12章 事件回響
12. 1 事件回響組
12. 1. 1 小組成員
12. 1. 2 領導
12. 1. 3 授權
12. 1. 4 小組籌備
12. 2 事件確認
12. 2. 1 事件是什麼
12. 2. 2 要查找什麼
12. 2. 3 服務台的幫助
12. 3 升級
12. 3. 1 調查
12. 3. 2 收集證據
12. 3. 3 決定如何回響
12. 4 控制措施
12. 5 事件根除
12. 6 文檔
12. 6. 1 事件發生前的文檔
12. 6. 2 事件處理過程中的文檔
12. 6. 3 事件處理後的文檔
12. 7 法律問題
12. 7. 1 監控
12. 7. 2 證據收集
12. 8 檢查清單:事件回響的要點
第13章 制定意外事件的應急計畫
13. 1 災難定義
13. 2 確定重要的系統和數據
13. 2. 1 業務影響分析
13. 2. 2 採訪過程
13. 3 準備
13. 3. 1 風險分析項目
13. 3. 2 資產清單
13. 3. 3 獲得資金
13. 3. 4 支出的理由
13. 3. 5 資金分配
13. 3. 6 組織間的合作和合作政策
13. 4 把DPR工作組和指導委員會一起考慮
13. 5 常規程式
13. 6 資源
13. 7 檢查清單:應急計畫的要點
第14章 災難回響
14. 1 真實性檢查
14. 1. 1 先發生的事情先處理
14. 1. 2 損失評估
14. 2 定義權威和工作組
14. 2. 1 工作組的召集
14. 2. 2 可用技術評估
14. 2. 3 設定優先次序
14. 2. 4 設定目標
14. 3 是否遵守計畫
14. 4 災難的階段
14. 4. 1 災難回響階段
14. 4. 2 恢復運作階段
14. 4. 3 恢復生產階段
14. 4. 4 災後重建階段
14. 5 檢查清單:災難回響的要點
第五部分 附 錄
附錄A 處理審計
A. 1 成為其中一員
A. 1. 1 信息蒐集
A. 1. 2 審計報告
A. 1. 3 回響審計
A. 2 內部審計
A. 2. 1 例行審計
A. 2. 2 特定問題的審計
A. 3 外部審計
A. 3. 1 財務審計
A. 3. 2 SAS-70
A. 4 信息安全部門對審計的回響
A. 5 檢查清單:審計中的關鍵步驟
附錄B 安全外包
B. 1 外包安全服務
B. 1. 1 “技術性”的安全服務
B. 1. 2 “面向人”的安全服務
B. 2 選擇外包什麼
B. 2. 1 選擇外包的理由
B. 2. 2 外部安全服務的費用
B. 2. 3 回到風險管理問題
B. 3 選擇安全服務商
B. 3. 1 服務
B. 3. 2 價格
B. 3. 3 其他問題
B. 4 與服務商一起工作
B. 4. 1 經常進行溝通和交流
B. 4. 2 設定期望值
B. 4. 3 風險管理
B. 5 檢查清單:外部安全服務的關鍵要點
附錄C 管理新的安全項目
C. 1 需求定義
C. 1. 1 安全需求
C. 1. 2 故障時切換需求
C. 1. 3 性能需求
C. 1. 4 可管理性需求
C. 1. 5 集成的需求
C. 2 徵求建議書(RFP)
C. 2. 1 RFP的內容
C. 2. 2 RFP的條件
C. 3 評估供應商的反饋
C. 3. 1 技術部分的評估
C. 3. 2 非技術部分的評估
C. 3. 3 折衷
C. 4 選擇供應商
C. 5 內部開發新信息安全項目
C. 6 在內部進行產品集成
C. 6. 1 技術集成
C. 6. 2 程式的集成
C. 7 安全產品的集成
C. 8 檢查清單:部署新信息安全技術的關鍵要點
附錄D 安全計畫與災難恢復藍圖
