高等學校電子信息學科“十二五”規劃教材：

《高等學校電子信息學科"十二五"規劃教材:信息安全工程與管理》適用於高等院校信息安全專業、信息管理與信息系統專業、網路工程等專業本科及研究生教學，也可作為相關專業技術人員的參考書或培訓教材。

《高等學校電子信息學科"十二五"規劃教材:信息安全工程與管理》以信息系統安全工程與管理的問題和要求為方向，以作者所在團隊多年來在信息安全工程與管理方面相關教學以及研究工作為基礎，參考最新的信息安全工程與管理相關標準和規範，提煉國內外信息安全工程與管理領域的最新成果，全面、系統地介紹了信息安全工程與管理的基本框架、體系結構、控制規範等相關知識。 《高等學校電子信息學科"十二五"規劃教材:信息安全工程與管理》主要內容包括：信息安全工程概述、ISSE過程、SSE—CMM工程、信息安全工程與等級保護、信息安全管理概述、信息安全管理控制規範、信息安全管理體系、信息安全風險評估和信息安全策略。

第1章信息安全工程

1.1信息安全的概念

1.1.1信息安傘的基本範疇

1.1.2信息安全工程的概念

1.2信息安全保障體系

1.2.1信息保障是信息安全的新發展

1.2 2信息保障的構成及其空間特性

1.2.3信息安全保障模型

1.2.4信息安全保障體系的架構

1.2.5信息安傘保障體系的建設

1.3信息安全保障與信息安全工程

1.3.1 實施信息安全工程的必要性

1.3.2信息安全工程的發展

本章小結

思考題

第2章ISSE過程

2.1概述

2.2發掘信息安全需求

2.2.1 了解任務的信息保護需求

2.2.2掌握對信息系統的威脅

2.2.3考慮信息安全的策略

2.3定義信息安全系統

2.3.1確定信息保護目標

2.3.2描述系統聯繫

2.3.3檢查信息保護需求

2.3.4功能分析

2.4設計信息安全系統

2.4.1功能分配

2.4.2信息保護預設計

2.4.3洋細的信息保護設計

2.5實施信息安全系統

2.5.1採購部件

2.5.2建造系統

2.5.3測試系統

2.6評估信息安全系統

2.7 ISSE的基本功能

2.8 ISSE實施框架

2.9 ISSE實施的案例

2.9.1 某省市級電子政務網路互聯基本情況

2.9.2某省市級電子政務信息系統

安全保障工程建設過程

本章小結

思考題

第3章SSE—CMM工程

3.1概述

3.1 ISSE—CMM適用範圍

3.1.2 SSE—CMM的用戶

3.1.3 SSE—CMM的用途

3.1.4使用SSE—CMM的好處

3.2 SSE—CMM體系結構

3.2.1基本概念

3.2.2 SSE.CMM的過程域

3.2.3 SSE.CMM的結構描述

3.3 SSE.CMM套用

3.3.1模型使用

3.3.2過程改進

3.3.3能力評估

3.3.4信任度評估

3.4 ISSE與SSE—CMM的比較

本章小結

思考題

第4章信息安全工程與等級保護

4.1概述

4.2等級保護的發展

4.2.1信息安全評估準則的發展

4.2.2中國等級保護的發展

4.3等級保護與信息保障各環節的關係

4.4實行信息安全等級保護的意義

4.5信息系統安全等級保護的

基本原理和方法

4.5.1等級保護的基本原理

4.5.2等級保護的基本方法

4.5.3關於安傘域

4.6信息系統的安全保護等級

4.6.1安全保護等級的劃分

4.6.2安全保護等級的確定

4.7信息系統安全等級保護體系

4.7.1信息系統安全等級保護法律、法規和政策依據

4.7.2信息系統安全等級保護標準體系

4.7.3信息系統安全等級保護管理體系

4.7.4信息系統安全等級保護技術體系

4.8有關部門信息安全等級保護工作經驗

本章小結

思考題

第5章信息安全管理

5.1信息安全管理相關概念

5.1.1什麼是信息安全管理

5.1.2信息安全管理現狀

5.3信息安全管理意義

5.1.4信息安全管理的內容和原則

5.1.5信息系統的安全因素

5.1.6信息安全管理模型

5.2信息安全管理標準

5.2.1信息安全管理標準的發展

5.2.2 BS 7799的內容

5.2.3引入BS 7799的好處

5.3信息安全管理的實施要點

本章小結

思考題

第6章信息安全管理控制規範

6.1概述

6.2信息安全方針

6.2.1信息安全方針檔案

6.2.2信息安全方針的評審

6.3安全組織

6.3.1內部組織

6.3.2外部各方

6.4資產管理

6.4.1對資產負責

6.4.2信息資源分類

6.5人員安全

6.5.1任用之前

6.5.2任用之中

6.5.3任用的終止或變化

6.6物理和環境安全

6.6.1安爭區域

6.6.2設備安全

6.7通信與操作安全

6.7.1操作規程和職責

6.7.2第三方服務交付管理

6.7.3系統規劃和驗收

6.7.4防範惡意和移動代碼

6.7.5備份

6.7.6網路安全管理

6.7.7介質處置

6.7.8信息的交換

6.7.9電子商務服務

6.7.10監視

6.8訪問控制

6.81訪問控制策略

6.8 2用戶訪問管理

6.8.3用戶職責

6.84網路訪問控制

6.8.5作業系統訪問控制

6.8.6套用和信息的訪問控制

6.8.7移動計算和遠程工作

6.9系統開發與維護

6.9 1信息系統的安全要求

6.9 2套用中的正確處理

6.9.3密碼控制

6.9.4系統檔案的安會

6.9.5開發和支持過程

6.9.6技術脆弱性管理

6.10安全事件管理

6.10.1報告信息安傘事件和弱點

6.10.2信息安全事件的回響管理

6.11業務持續性管理

6.11.1業務持續性管理的信息安全

6.11.2業務持續性和風險評估

6.11.3制定和實施業務持續性計畫

6.11.4業務持續性計畫框架

6.11.5測試、維護和再評估業務

持續性計畫

6.12符合性保證

6.12.1符合法律要求

6.12.2符合安全策略、標準和相關技術

6.12.3信息系統審計要求

本章小結

思考題

第7章信息安全管理體系

7.1概述

7.2信息安令管理體系的準備

7.2.1組織與人員建設

7.2.2工作計畫制定

7.2.3能力要求與教育培訓

7.2.4信息安全管理體系檔案

7.3信息安全管理體系的建立

7.3.1確定ISMS信息安全力針

7.3.2確定ISMS範圍和邊界

7.3.3實施ISMS風險評估

7.3.4進行ISMS風險符理

7.3.5為處理風險選擇控制目標與措施

7.3.6準備適用性聲明

7.4信息安全管理體系的實施和運行

7.5信息安全管理體系的監視和評審

7.5.1監視和評審過程

7.5.2 ISMS內部審核

7.5.3 ISMS管理評審

7.6信息安全管理體系的保持和改進

7.6.1糾正措施

7.6.2預防措施

7.6.3控制不符合項

7.7信息安全管理體系的認證

7.7.1認證的目的

7.7.2前期工作

7.7.3認證過程

7.7.4 ISMS認證案例

本章小結

思考題

第8章信息安全風險評估

8.1概述

8.1.1信息安全風險評估的目標和原則

8.1.2實施信息安全風險評估的好處

8.2信息安全風險評估的基本要素

8.2.1風險評估的相關要素

8.2.2風險要素的相互關係

8.3信息安全風險評估過程

8.3.1風險評估準備

8.3.2資產識別與估價

8.3.3威脅識別與評估

8.3.4脆弱性識別與評估

8.3.5現有安全控制措施的確認

8.3.6風險計算與分析

8.3.7風險管理與控制

8.3.8風險評估記錄文檔

8.4信息安全風險要素計算方法

8.4.1矩陣法計算風險

8.4.2相乘法計算風險

8.5信息安全風險評估方法

8.5.1基本風險評估

8.5.2詳細風險評估

8.5.3綜颱風險評估

8.6風險評估工具

8.6.1風險評估與管理工具

8.6.2信息基礎設施風險評估工具

8.6.3風險評估輔助上具

8.6.4風險評估工具的選擇

本章小結

思考題

第9章信息安全策略

9.1概述

9.2安全策略的重要性

9.3安全策略的內容

9.3.1總體安全策略

9.3.2問題安全策略

9.3.3功能安全策略

9 4安全策略的制定過程

9.4.1調查與分析階段

9.4.2設計階段

9.4.3實施階段

9.4.4維護階段

9.5安全策略的制定原則

9.6策略管理的自動化工具

9.6.1策略管理框架

9.6.2自適應策略管理及發布模型

9.6.3策略管理的套用工具

9.7關於安全策略的若干偏見

本章小結

思考題

參考文獻