安全計劃與災難恢復

定　價：￥32.00

作　者：	(美)Eric Maiwald，(美)William Sieglein著；孫東紅等譯
出版社：	人民郵電出版社
叢編項：
標　簽：	安全工程系統(tǒng)工程

購買這本書可以去

ISBN：	9787115116840	出版時間：	2003-01-01	包裝：	膠版紙
開本：	26cm	頁數(shù)：	244	字數(shù)：

內(nèi)容簡介

　　本解決信息安全問題不是簡單地依靠安全技術(shù)人員就可以的，對于所有從事IT業(yè)務或者倚仗IT基礎(chǔ)設施來輔助業(yè)務動作的公司或組織而方，制定適合本單位的安全計劃是非常重要的。本書層次清晰地介紹了安全計劃的建立、實施和管理，緊急事件處理等方面的具體細節(jié)。針對安全計劃所涉及的政策、過程、審計、監(jiān)控、培訓、時間和資金投入以及意外事件的應急處理等進行了專題講解。本書內(nèi)容環(huán)環(huán)相扣，具有很強的指導性和可實踐性。本書適合政府、企業(yè)等行業(yè)中IT相關(guān)部門的管理人員，以及網(wǎng)絡和信息安全服務行業(yè)的從業(yè)人員使用。

作者簡介

　　EricMaiwald是Fortrex公司的首席技術(shù)官，負責管理公司全部的安全研究和培訓活動以及Fortrex網(wǎng)絡安全中心的運行工作。此外，Maiwald先生還參與過很多其他類型的工作，比如對大型的金融機構(gòu)、服務公司和生產(chǎn)廠商進行風險評估，制定企業(yè)的開發(fā)策略和部署安全解決方案等等。作為咨詢顧問、安全主管和開發(fā)者，他在安全領(lǐng)域有著豐富的工作經(jīng)驗。Maiwald擁有Rensselaer理工學院的電子工程理學學士學位、Stevens科技學院的電子工程學碩士學位，并且是認證的信息系統(tǒng)安全專家（CISSP）。

圖書目錄

第一部分  制定安全計劃的指導原則
第1章  信息安全計劃的任務
1. 1  正確的開端
1. 2  確定安全部門的任務
1. 2. 1  報告的機構(gòu)
1. 2. 2  任務聲明
1. 2. 3  長期目標
1. 2. 4  短期目標
1. 3  關(guān)系
1. 3. 1  技術(shù)關(guān)系
1. 3. 2  業(yè)務關(guān)系
1. 4  檢查清單：計劃的關(guān)鍵任務
第2章  美國的相關(guān)法律和法規(guī)
2. 1  與執(zhí)法部門合作
2. 2  法律背景
2. 2. 1  計算機欺騙和濫用法(1986年版)
2. 2. 2  電子通信隱私法(1986年版)
2. 2. 3  計算機安全法(1987)
2. 2. 4  國家信息基礎(chǔ)設施保護法(1996)
2. 2. 5  Gramm-Leach-Bliley金融服務現(xiàn)代化法案(GLBA)
2. 2. 6  醫(yī)療保險信息攜帶及責任法案(HIPAA)
2. 3  網(wǎng)絡資源
2. 4  檢查清單：信息安全法律問題的要點
第3章  評估
3. 1  內(nèi)部審計
3. 2  外部審計
3. 3  評估
3. 3. 1  自我評估
3. 3. 2  漏洞評估
3. 3. 3  穿透測試
3. 3. 4  風險評估
3. 4  檢查清單：評估的要點
第二部分  計劃的實施
第4章  制定政策與程序
4. 1  政策的目的
4. 2  制定政策
4. 2. 1  可接受使用政策(AUP)
4. 2. 2  信息安全政策
4. 3  現(xiàn)有文檔的處理
4. 4  使他們認可
4. 5  政策審查
4. 6  檢查清單：制定政策與程序的要點
第5章  安全計劃的實施
5. 1  從何處開始
5. 1. 1  建立計劃書
5. 1. 2  風險評估
5. 1. 3  降低風險的計劃
5. 1. 4  制定政策
5. 1. 5  解決方案的部署
5. 1. 6  培訓
5. 1. 7  審計和報告
5. 1. 8  重新再做一遍
5. 2  和系統(tǒng)管理員們一起工作
5. 3  和管理者一起工作
5. 4  教育用戶
5. 5  檢查清單：安全計劃實施的要點
第6章  部署新項目和新技術(shù)
6. 1  新的業(yè)務項目
6. 1. 1  需求定義
6. 1. 2  系統(tǒng)設計
6. 1. 3  內(nèi)部開發(fā)
6. 1. 4  第三方產(chǎn)品
6. 1. 5  測試
6. 1. 6  試運行
6. 1. 7  完全產(chǎn)品化
6. 2  檢查清單：部署業(yè)務項目的要點
第7章  安全培訓和安全意識
7. 1  用戶意識
7. 2  管理者意識
7. 3  安全小組的培訓和意識
7. 4  培訓方法
7. 4. 1  工作描述
7. 4. 2  始業(yè)教育
7. 4. 3  可接受使用政策(AUP)
7. 4. 4  正式的課堂培訓
7. 4. 5  研討會和自助會議
7. 4. 6  時事通訊和網(wǎng)站
7. 4. 7  大型活動
7. 4. 8  會議
7. 5  檢查清單：  安全培訓和安全意識的要點
第8章  安全監(jiān)控
8. 1  政策監(jiān)控
8. 1. 1  意識
8. 1. 2  系統(tǒng)
8. 1. 3  員工
8. 1. 4  計算機的使用政策
8. 2  網(wǎng)絡監(jiān)控
8. 2. 1  系統(tǒng)配置
8. 2. 2  網(wǎng)絡攻擊
8. 2. 3  網(wǎng)絡監(jiān)控機制
8. 3  審計日志的監(jiān)控
8. 3. 1  非授權(quán)的訪問
8. 3. 2  不合適的行為
8. 3. 3  有效日志監(jiān)控機制
8. 4  安全漏洞監(jiān)控
8. 4. 1  軟件補丁
8. 4. 2  配置問題
8. 4. 3  識別安全漏洞的機制
8. 5  檢查清單：安全監(jiān)控的要點
第三部分  安全計劃的管理
第9章  安全預算
9. 1  確定需求
9. 2  制定預算
9. 3  其他事項
9. 3. 1  人員需求
9. 3. 2  培訓費用
9. 3. 3  軟件和硬件維護
9. 3. 4  外部服務
9. 3. 5  新產(chǎn)品
9. 3. 6  不可預料的費用
9. 4  嚴格執(zhí)行預算
9. 5  檢查清單：安全計劃預算中的要點
第10章  安全人員
10. 1  技能領(lǐng)域
10. 1. 1  安全管理能力
10. 1. 2  政策開發(fā)能力
10. 1. 3  體系結(jié)構(gòu)設計能力
10. 1. 4  研究能力
10. 1. 5  評估能力
10. 1. 6  審計能力
10. 2  雇用好的員工
10. 2. 1  職業(yè)道德
10. 2. 2  能力與經(jīng)驗
10. 2. 3  個性品質(zhì)
10. 2. 4  認證證書
10. 3  小型機構(gòu)
10. 3. 1  職員的技能
10. 3. 2  尋找外部的技能
10. 4  大型機構(gòu)
10. 4. 1  安全部門的基本編制
10. 4. 2  尋找外部的技能
10. 5  檢查清單：雇用職員的要點
第11章  報告
11. 1  項目計劃的進度
11. 2  安全的狀態(tài)
11. 2. 1  測度
11. 2. 2  風險的測量
11. 3  投資回報
11. 3. 1  業(yè)務項目
11. 3. 2  直接的回報
11. 4  意外事件
11. 4. 1  事件的事實描述
11. 4. 2  被利用的安全漏洞
11. 4. 3  采取的行動
11. 4. 4  建議
11. 5  審計
11. 6  檢查清單：安全報告中的要點
第四部分  如何響應意外事件
第12章  事件響應
12. 1  事件響應組
12. 1. 1  小組成員
12. 1. 2  領(lǐng)導
12. 1. 3  授權(quán)
12. 1. 4  小組籌備
12. 2  事件確認
12. 2. 1  事件是什么
12. 2. 2  要查找什么
12. 2. 3  服務臺的幫助
12. 3  升級
12. 3. 1  調(diào)查
12. 3. 2  收集證據(jù)
12. 3. 3  決定如何響應
12. 4  控制措施
12. 5  事件根除
12. 6  文檔
12. 6. 1  事件發(fā)生前的文檔
12. 6. 2  事件處理過程中的文檔
12. 6. 3  事件處理后的文檔
12. 7  法律問題
12. 7. 1  監(jiān)控
12. 7. 2  證據(jù)收集
12. 8  檢查清單：事件響應的要點
第13章  制定意外事件的應急計劃
13. 1  災難定義
13. 2  確定重要的系統(tǒng)和數(shù)據(jù)
13. 2. 1  業(yè)務影響分析
13. 2. 2  采訪過程
13. 3  準備
13. 3. 1  風險分析項目
13. 3. 2  資產(chǎn)清單
13. 3. 3  獲得資金
13. 3. 4  支出的理由
13. 3. 5  資金分配
13. 3. 6  組織間的合作和合作政策
13. 4  把DPR工作組和指導委員會一起考慮
13. 5  常規(guī)程序
13. 6  資源
13. 7  檢查清單：應急計劃的要點
第14章  災難響應
14. 1  真實性檢查
14. 1. 1  先發(fā)生的事情先處理
14. 1. 2  損失評估
14. 2  定義權(quán)威和工作組
14. 2. 1  工作組的召集
14. 2. 2  可用技術(shù)評估
14. 2. 3  設定優(yōu)先次序
14. 2. 4  設定目標
14. 3  是否遵守計劃
14. 4  災難的階段
14. 4. 1  災難響應階段
14. 4. 2  恢復運作階段
14. 4. 3  恢復生產(chǎn)階段
14. 4. 4  災后重建階段
14. 5  檢查清單：災難響應的要點
第五部分  附  錄
附錄A  處理審計
A. 1  成為其中一員
A. 1. 1  信息搜集
A. 1. 2  審計報告
A. 1. 3  響應審計
A. 2  內(nèi)部審計
A. 2. 1  例行審計
A. 2. 2  特定問題的審計
A. 3  外部審計
A. 3. 1  財務審計
A. 3. 2  SAS-70
A. 4  信息安全部門對審計的響應
A. 5  檢查清單：審計中的關(guān)鍵步驟
附錄B 安全外包
B. 1  外包安全服務
B. 1. 1  “技術(shù)性”的安全服務
B. 1. 2  “面向人”的安全服務
B. 2  選擇外包什么
B. 2. 1  選擇外包的理由
B. 2. 2  外部安全服務的費用
B. 2. 3  回到風險管理問題
B. 3  選擇安全服務商
B. 3. 1  服務
B. 3. 2  價格
B. 3. 3  其他問題
B. 4  與服務商一起工作
B. 4. 1  經(jīng)常進行溝通和交流
B. 4. 2  設定期望值
B. 4. 3  風險管理
B. 5  檢查清單：外部安全服務的關(guān)鍵要點
附錄C  管理新的安全項目
C. 1  需求定義
C. 1. 1  安全需求
C. 1. 2  故障時切換需求
C. 1. 3  性能需求
C. 1. 4  可管理性需求
C. 1. 5  集成的需求
C. 2  征求建議書(RFP)
C. 2. 1  RFP的內(nèi)容
C. 2. 2  RFP的條件
C. 3  評估供應商的反饋
C. 3. 1  技術(shù)部分的評估
C. 3. 2  非技術(shù)部分的評估
C. 3. 3  折衷
C. 4  選擇供應商
C. 5  內(nèi)部開發(fā)新信息安全項目
C. 6  在內(nèi)部進行產(chǎn)品集成
C. 6. 1  技術(shù)集成
C. 6. 2  程序的集成
C. 7  安全產(chǎn)品的集成
C. 8  檢查清單：部署新信息安全技術(shù)的關(guān)鍵要點
附錄D  安全計劃與災難恢復藍圖