安全計(jì)劃與災(zāi)難恢復(fù)

定　價(jià)：￥32.00

作　者：	(美)Eric Maiwald，(美)William Sieglein著；孫東紅等譯
出版社：	人民郵電出版社
叢編項(xiàng)：
標(biāo)　簽：	安全工程系統(tǒng)工程

購(gòu)買(mǎi)這本書(shū)可以去

ISBN：	9787115116840	出版時(shí)間：	2003-01-01	包裝：	膠版紙
開(kāi)本：	26cm	頁(yè)數(shù)：	244	字?jǐn)?shù)：

內(nèi)容簡(jiǎn)介

　　本解決信息安全問(wèn)題不是簡(jiǎn)單地依靠安全技術(shù)人員就可以的，對(duì)于所有從事IT業(yè)務(wù)或者倚仗IT基礎(chǔ)設(shè)施來(lái)輔助業(yè)務(wù)動(dòng)作的公司或組織而方，制定適合本單位的安全計(jì)劃是非常重要的。本書(shū)層次清晰地介紹了安全計(jì)劃的建立、實(shí)施和管理，緊急事件處理等方面的具體細(xì)節(jié)。針對(duì)安全計(jì)劃所涉及的政策、過(guò)程、審計(jì)、監(jiān)控、培訓(xùn)、時(shí)間和資金投入以及意外事件的應(yīng)急處理等進(jìn)行了專(zhuān)題講解。本書(shū)內(nèi)容環(huán)環(huán)相扣，具有很強(qiáng)的指導(dǎo)性和可實(shí)踐性。本書(shū)適合政府、企業(yè)等行業(yè)中IT相關(guān)部門(mén)的管理人員，以及網(wǎng)絡(luò)和信息安全服務(wù)行業(yè)的從業(yè)人員使用。

作者簡(jiǎn)介

　　EricMaiwald是Fortrex公司的首席技術(shù)官，負(fù)責(zé)管理公司全部的安全研究和培訓(xùn)活動(dòng)以及Fortrex網(wǎng)絡(luò)安全中心的運(yùn)行工作。此外，Maiwald先生還參與過(guò)很多其他類(lèi)型的工作，比如對(duì)大型的金融機(jī)構(gòu)、服務(wù)公司和生產(chǎn)廠(chǎng)商進(jìn)行風(fēng)險(xiǎn)評(píng)估，制定企業(yè)的開(kāi)發(fā)策略和部署安全解決方案等等。作為咨詢(xún)顧問(wèn)、安全主管和開(kāi)發(fā)者，他在安全領(lǐng)域有著豐富的工作經(jīng)驗(yàn)。Maiwald擁有Rensselaer理工學(xué)院的電子工程理學(xué)學(xué)士學(xué)位、Stevens科技學(xué)院的電子工程學(xué)碩士學(xué)位，并且是認(rèn)證的信息系統(tǒng)安全專(zhuān)家（CISSP）。

圖書(shū)目錄

第一部分  制定安全計(jì)劃的指導(dǎo)原則
第1章  信息安全計(jì)劃的任務(wù)
1. 1  正確的開(kāi)端
1. 2  確定安全部門(mén)的任務(wù)
1. 2. 1  報(bào)告的機(jī)構(gòu)
1. 2. 2  任務(wù)聲明
1. 2. 3  長(zhǎng)期目標(biāo)
1. 2. 4  短期目標(biāo)
1. 3  關(guān)系
1. 3. 1  技術(shù)關(guān)系
1. 3. 2  業(yè)務(wù)關(guān)系
1. 4  檢查清單：計(jì)劃的關(guān)鍵任務(wù)
第2章  美國(guó)的相關(guān)法律和法規(guī)
2. 1  與執(zhí)法部門(mén)合作
2. 2  法律背景
2. 2. 1  計(jì)算機(jī)欺騙和濫用法(1986年版)
2. 2. 2  電子通信隱私法(1986年版)
2. 2. 3  計(jì)算機(jī)安全法(1987)
2. 2. 4  國(guó)家信息基礎(chǔ)設(shè)施保護(hù)法(1996)
2. 2. 5  Gramm-Leach-Bliley金融服務(wù)現(xiàn)代化法案(GLBA)
2. 2. 6  醫(yī)療保險(xiǎn)信息攜帶及責(zé)任法案(HIPAA)
2. 3  網(wǎng)絡(luò)資源
2. 4  檢查清單：信息安全法律問(wèn)題的要點(diǎn)
第3章  評(píng)估
3. 1  內(nèi)部審計(jì)
3. 2  外部審計(jì)
3. 3  評(píng)估
3. 3. 1  自我評(píng)估
3. 3. 2  漏洞評(píng)估
3. 3. 3  穿透測(cè)試
3. 3. 4  風(fēng)險(xiǎn)評(píng)估
3. 4  檢查清單：評(píng)估的要點(diǎn)
第二部分  計(jì)劃的實(shí)施
第4章  制定政策與程序
4. 1  政策的目的
4. 2  制定政策
4. 2. 1  可接受使用政策(AUP)
4. 2. 2  信息安全政策
4. 3  現(xiàn)有文檔的處理
4. 4  使他們認(rèn)可
4. 5  政策審查
4. 6  檢查清單：制定政策與程序的要點(diǎn)
第5章  安全計(jì)劃的實(shí)施
5. 1  從何處開(kāi)始
5. 1. 1  建立計(jì)劃書(shū)
5. 1. 2  風(fēng)險(xiǎn)評(píng)估
5. 1. 3  降低風(fēng)險(xiǎn)的計(jì)劃
5. 1. 4  制定政策
5. 1. 5  解決方案的部署
5. 1. 6  培訓(xùn)
5. 1. 7  審計(jì)和報(bào)告
5. 1. 8  重新再做一遍
5. 2  和系統(tǒng)管理員們一起工作
5. 3  和管理者一起工作
5. 4  教育用戶(hù)
5. 5  檢查清單：安全計(jì)劃實(shí)施的要點(diǎn)
第6章  部署新項(xiàng)目和新技術(shù)
6. 1  新的業(yè)務(wù)項(xiàng)目
6. 1. 1  需求定義
6. 1. 2  系統(tǒng)設(shè)計(jì)
6. 1. 3  內(nèi)部開(kāi)發(fā)
6. 1. 4  第三方產(chǎn)品
6. 1. 5  測(cè)試
6. 1. 6  試運(yùn)行
6. 1. 7  完全產(chǎn)品化
6. 2  檢查清單：部署業(yè)務(wù)項(xiàng)目的要點(diǎn)
第7章  安全培訓(xùn)和安全意識(shí)
7. 1  用戶(hù)意識(shí)
7. 2  管理者意識(shí)
7. 3  安全小組的培訓(xùn)和意識(shí)
7. 4  培訓(xùn)方法
7. 4. 1  工作描述
7. 4. 2  始業(yè)教育
7. 4. 3  可接受使用政策(AUP)
7. 4. 4  正式的課堂培訓(xùn)
7. 4. 5  研討會(huì)和自助會(huì)議
7. 4. 6  時(shí)事通訊和網(wǎng)站
7. 4. 7  大型活動(dòng)
7. 4. 8  會(huì)議
7. 5  檢查清單：  安全培訓(xùn)和安全意識(shí)的要點(diǎn)
第8章  安全監(jiān)控
8. 1  政策監(jiān)控
8. 1. 1  意識(shí)
8. 1. 2  系統(tǒng)
8. 1. 3  員工
8. 1. 4  計(jì)算機(jī)的使用政策
8. 2  網(wǎng)絡(luò)監(jiān)控
8. 2. 1  系統(tǒng)配置
8. 2. 2  網(wǎng)絡(luò)攻擊
8. 2. 3  網(wǎng)絡(luò)監(jiān)控機(jī)制
8. 3  審計(jì)日志的監(jiān)控
8. 3. 1  非授權(quán)的訪(fǎng)問(wèn)
8. 3. 2  不合適的行為
8. 3. 3  有效日志監(jiān)控機(jī)制
8. 4  安全漏洞監(jiān)控
8. 4. 1  軟件補(bǔ)丁
8. 4. 2  配置問(wèn)題
8. 4. 3  識(shí)別安全漏洞的機(jī)制
8. 5  檢查清單：安全監(jiān)控的要點(diǎn)
第三部分  安全計(jì)劃的管理
第9章  安全預(yù)算
9. 1  確定需求
9. 2  制定預(yù)算
9. 3  其他事項(xiàng)
9. 3. 1  人員需求
9. 3. 2  培訓(xùn)費(fèi)用
9. 3. 3  軟件和硬件維護(hù)
9. 3. 4  外部服務(wù)
9. 3. 5  新產(chǎn)品
9. 3. 6  不可預(yù)料的費(fèi)用
9. 4  嚴(yán)格執(zhí)行預(yù)算
9. 5  檢查清單：安全計(jì)劃預(yù)算中的要點(diǎn)
第10章  安全人員
10. 1  技能領(lǐng)域
10. 1. 1  安全管理能力
10. 1. 2  政策開(kāi)發(fā)能力
10. 1. 3  體系結(jié)構(gòu)設(shè)計(jì)能力
10. 1. 4  研究能力
10. 1. 5  評(píng)估能力
10. 1. 6  審計(jì)能力
10. 2  雇用好的員工
10. 2. 1  職業(yè)道德
10. 2. 2  能力與經(jīng)驗(yàn)
10. 2. 3  個(gè)性品質(zhì)
10. 2. 4  認(rèn)證證書(shū)
10. 3  小型機(jī)構(gòu)
10. 3. 1  職員的技能
10. 3. 2  尋找外部的技能
10. 4  大型機(jī)構(gòu)
10. 4. 1  安全部門(mén)的基本編制
10. 4. 2  尋找外部的技能
10. 5  檢查清單：雇用職員的要點(diǎn)
第11章  報(bào)告
11. 1  項(xiàng)目計(jì)劃的進(jìn)度
11. 2  安全的狀態(tài)
11. 2. 1  測(cè)度
11. 2. 2  風(fēng)險(xiǎn)的測(cè)量
11. 3  投資回報(bào)
11. 3. 1  業(yè)務(wù)項(xiàng)目
11. 3. 2  直接的回報(bào)
11. 4  意外事件
11. 4. 1  事件的事實(shí)描述
11. 4. 2  被利用的安全漏洞
11. 4. 3  采取的行動(dòng)
11. 4. 4  建議
11. 5  審計(jì)
11. 6  檢查清單：安全報(bào)告中的要點(diǎn)
第四部分  如何響應(yīng)意外事件
第12章  事件響應(yīng)
12. 1  事件響應(yīng)組
12. 1. 1  小組成員
12. 1. 2  領(lǐng)導(dǎo)
12. 1. 3  授權(quán)
12. 1. 4  小組籌備
12. 2  事件確認(rèn)
12. 2. 1  事件是什么
12. 2. 2  要查找什么
12. 2. 3  服務(wù)臺(tái)的幫助
12. 3  升級(jí)
12. 3. 1  調(diào)查
12. 3. 2  收集證據(jù)
12. 3. 3  決定如何響應(yīng)
12. 4  控制措施
12. 5  事件根除
12. 6  文檔
12. 6. 1  事件發(fā)生前的文檔
12. 6. 2  事件處理過(guò)程中的文檔
12. 6. 3  事件處理后的文檔
12. 7  法律問(wèn)題
12. 7. 1  監(jiān)控
12. 7. 2  證據(jù)收集
12. 8  檢查清單：事件響應(yīng)的要點(diǎn)
第13章  制定意外事件的應(yīng)急計(jì)劃
13. 1  災(zāi)難定義
13. 2  確定重要的系統(tǒng)和數(shù)據(jù)
13. 2. 1  業(yè)務(wù)影響分析
13. 2. 2  采訪(fǎng)過(guò)程
13. 3  準(zhǔn)備
13. 3. 1  風(fēng)險(xiǎn)分析項(xiàng)目
13. 3. 2  資產(chǎn)清單
13. 3. 3  獲得資金
13. 3. 4  支出的理由
13. 3. 5  資金分配
13. 3. 6  組織間的合作和合作政策
13. 4  把DPR工作組和指導(dǎo)委員會(huì)一起考慮
13. 5  常規(guī)程序
13. 6  資源
13. 7  檢查清單：應(yīng)急計(jì)劃的要點(diǎn)
第14章  災(zāi)難響應(yīng)
14. 1  真實(shí)性檢查
14. 1. 1  先發(fā)生的事情先處理
14. 1. 2  損失評(píng)估
14. 2  定義權(quán)威和工作組
14. 2. 1  工作組的召集
14. 2. 2  可用技術(shù)評(píng)估
14. 2. 3  設(shè)定優(yōu)先次序
14. 2. 4  設(shè)定目標(biāo)
14. 3  是否遵守計(jì)劃
14. 4  災(zāi)難的階段
14. 4. 1  災(zāi)難響應(yīng)階段
14. 4. 2  恢復(fù)運(yùn)作階段
14. 4. 3  恢復(fù)生產(chǎn)階段
14. 4. 4  災(zāi)后重建階段
14. 5  檢查清單：災(zāi)難響應(yīng)的要點(diǎn)
第五部分  附  錄
附錄A  處理審計(jì)
A. 1  成為其中一員
A. 1. 1  信息搜集
A. 1. 2  審計(jì)報(bào)告
A. 1. 3  響應(yīng)審計(jì)
A. 2  內(nèi)部審計(jì)
A. 2. 1  例行審計(jì)
A. 2. 2  特定問(wèn)題的審計(jì)
A. 3  外部審計(jì)
A. 3. 1  財(cái)務(wù)審計(jì)
A. 3. 2  SAS-70
A. 4  信息安全部門(mén)對(duì)審計(jì)的響應(yīng)
A. 5  檢查清單：審計(jì)中的關(guān)鍵步驟
附錄B 安全外包
B. 1  外包安全服務(wù)
B. 1. 1  “技術(shù)性”的安全服務(wù)
B. 1. 2  “面向人”的安全服務(wù)
B. 2  選擇外包什么
B. 2. 1  選擇外包的理由
B. 2. 2  外部安全服務(wù)的費(fèi)用
B. 2. 3  回到風(fēng)險(xiǎn)管理問(wèn)題
B. 3  選擇安全服務(wù)商
B. 3. 1  服務(wù)
B. 3. 2  價(jià)格
B. 3. 3  其他問(wèn)題
B. 4  與服務(wù)商一起工作
B. 4. 1  經(jīng)常進(jìn)行溝通和交流
B. 4. 2  設(shè)定期望值
B. 4. 3  風(fēng)險(xiǎn)管理
B. 5  檢查清單：外部安全服務(wù)的關(guān)鍵要點(diǎn)
附錄C  管理新的安全項(xiàng)目
C. 1  需求定義
C. 1. 1  安全需求
C. 1. 2  故障時(shí)切換需求
C. 1. 3  性能需求
C. 1. 4  可管理性需求
C. 1. 5  集成的需求
C. 2  征求建議書(shū)(RFP)
C. 2. 1  RFP的內(nèi)容
C. 2. 2  RFP的條件
C. 3  評(píng)估供應(yīng)商的反饋
C. 3. 1  技術(shù)部分的評(píng)估
C. 3. 2  非技術(shù)部分的評(píng)估
C. 3. 3  折衷
C. 4  選擇供應(yīng)商
C. 5  內(nèi)部開(kāi)發(fā)新信息安全項(xiàng)目
C. 6  在內(nèi)部進(jìn)行產(chǎn)品集成
C. 6. 1  技術(shù)集成
C. 6. 2  程序的集成
C. 7  安全產(chǎn)品的集成
C. 8  檢查清單：部署新信息安全技術(shù)的關(guān)鍵要點(diǎn)
附錄D  安全計(jì)劃與災(zāi)難恢復(fù)藍(lán)圖