Security policies and procedures:principles and practices
副标题:无
分类号:
ISBN:9787302179627
微信扫一扫,移动浏览光盘
简介
在当今快速发展的技术世界中,计算机安全从业人员必须能够在信息
和系统受到攻击之前保护它们。作为一名将来的安全从业人员.你将需要
创建有效的安全策略,并且知道如何最佳地实施它们,以便在信息和系统
受到攻击之前先发制人。本书讲述了如何执行这个任务。你将学习全世界
的公司如何保护它们自身,以及用于创建你自己的策略和规程的最佳实践
。
本书深入探讨了以下主题:
·通过设计实用的策略和规程,积极地影响组织的行为。
·实施组织的安全标准和最佳实践。
·使用ISO 17799:2000标准作为信息安全计划的框架。
·遵守政府规章,如GLBA、HlPAA、FERPA和FISMA。
·为小型和中型企业自定义安全计划。
本书带有一些工具.用于帮助你超越仅仅学习概念并且帮助你应用它
们。这些工具包括:
·实际应用教程:应用概念并通过动手实践来学习。
·习题和项目:向你介绍如何应用新技能的作业。
·案例研究:把你学到的知识应用于现实情况。
·配套Web站点(www.prenhall.com/security)包括:
·补充测试材料和项目,用于强化本书所讲的内容。
·可下载的检查表和本书中使用的模板。
·指向其他主题和资源的链接,可以在你的职业生涯中给你提供帮助
。
目录
目录
第1部分 策略简介
第1章 策略定义
1.1 简介
1.2 定义策略
1.3 探讨有史以来的策略
1.3.1 将《圣经》作为古代的策略
1.3.2 将美国宪法作为策略革命
1.4 定义策略在政府中的作用
1.5 定义策略在企业文化中的作用
1.5.1 服务、产品和企业文化中的一致性
1.5.2 遵从政府策略
1.6 理解策略的心理学
1.6.1 使那些知道什么是可能的人参与进来
1.6.2 环境中的变化
1.7 引荐策略
1.7.1 获得批准
1.7.2 把策略引荐给组织
1.8 使策略被接受
1.8.1 组织文化来源于最高层
1.8.2 通过良好的交流强化策略
1.8.3 响应环境变化
1.9 执行信息安全策略
1.9.1 执行行为性策略
1.9.2 执行技术性策略
1.10 本章小结
1.11 自测题
1.11.1 多项选择题
1.11.2 练习题
1.11.3 项目题
1.11.4 案例研究
第2章 策略的元素
2.1 简介
2.2 定义策略配套文档:标准、准则和规程
2.2.1 标准
2.2.2 准则
2.2.3 规程
2.3 开发策略风格和格式
2.3.1 在编写策略之前做出计划
2.4 定义策略元素
2.4.1 策略标题
2.4.2 策略目标
2.4.3 策略目的声明
2.4.4 策略受众
2.4.5 策略声明
2.4.6 策略例外情况
2.4.7 策略执行条款
2.4.8 策略定义
2.5 本章小结
2.6 自测题
2.6.1 多项选择题
2.6.2 练习题
2.6.3 项目题
2.6.4 案例研究
第2部分 信息安全策略的各个领域
第3章 信息安全框架
3.1 简介
3.2 计划信息安全计划的目标
3.2.1 C代表保密性
3.2.2 I代表完整性
3.2.3 A代表可用性
3.2.4 信息安全的5个A:另外一些有意义的字母及其含义
3.3 对数据和信息进行分类
3.4 确定信息所有权角色
3.5 IS0 17799/BS 7799信息安全管理实施细则
3.6 使用IS0 17799:2000的10个安全领域
3.6.1 安全策略
3.6.2 组织安全
3.6.3 资产分类和控制
3.6.4 人员安全
3.6.5 物理和环境安全
3.6.6 通信和运营管理
3.6.7 访问控制
3.6.8 系统开发和维护
3.6.9 业务连续性管理
3.6.10 合规性
3.6.11 可能具有这么多策略吗
3.7 本章小结
3.8 自测题
3.8.1 多项选择题
3.8.2 练习题
3.8.3 项目题
3.8.4 案例研究
第4章 安全策略文档和组织的安全策略
4.1 简介
4.2 撰写权威声明
4.2.1 谁应该签署权威声明
4.2.2 权威声明应该传达什么消息
4.2.3 安全斗士的角色
4.3 安全策略文档策略——关于策略的策略
4.3.1 组织的安全策略文档与美国联邦法律之间有关系吗
4.3.2 安全策略的雇员版本的要求
4.3.3 策略是动态的
4.4 管理组织的安全
4.4.1 创建支持信息安全目标的组织结构
4.4.2 其他人有访问权限吗
4.4.3 外包日益成为一种趋势
4.5 本章小结
4.6 自测题
4.6.1 多项选择题
4.6.2 练习题
4.6.3 项目题
4.6.4 案例研究
第5章 资产分类
5.1 简介
5.2 我们在尝试保护什么
5.2.1 信息系统
5.2.2 谁负责信息资产
5.3 信息分类
5.3.1 政府和军队的分类系统
5.3.2 商业分类系统
5.4 信息分类标记和处理
5.4.1 信息标记
5.4.2 熟悉的标签
5.4.3 信息处理
5.5 信息分类计划生命周期
5.5.1 信息分类规程
5.5.2 重新分级/撤销密级
5.6 信息系统的价值和关键程度
5.6.1 我们如何知道我们拥有什么
5.6.2 资产清单方法
5.6.3 资产清单的特征和属性
5.6.4 系统表征
5.7 本章小结
5.8 自测题
5.8.1 多项选择题
5.8.2 练习题
5.8.3 项目题
5.8.4 案例研究
第6章 人员安全
6.1 简介
6.2 初次接触
6.2.1 工作说明
6.2.2 面试
6.3 这个人是谁
6.3.1 背景检查的类型
6.4 雇员协议的重要性
6.4.1 保密性协议
6.4.2 信息安全确认协议
6.5 培训重要吗
6.5.1 适用于各种计划的SETA
6.5.2 利用安全意识影响行为
6.5.3 利用安全培训传授技能
6.5.4 安全教育是知识驱动的
6.5.5 投资于培训
6.6 安全事件报告是每个人的责任
6.6.1 事件报告培训
6.6.2 安全报告机制
6.6.3 测试规程
6.7 本章小结
6.8 自测题
6.8.1 多项选择题
6.8.2 练习题
6.8.3 项目题
6.8.4 案例研究
第7章 物理与环境安全策略和规程
7.1 简介
7.2 设计安全区域
7.2.1 保护周界安全
7.2.2 实施物理入口控制
7.2.3 保护办公室、房间和设施安全
7.2.4 在安全区域中工作
7.3 保护设备安全
7.3.1 设备安置和保护
7.3.2 无电不工作
7.3.3 安全地处置和重用设备
7.4 一般控制
7.4.1 清扫桌面和清除屏幕
7.4.2 移走公司财产
7.5 本章小结
7.6 自测题
7.6.1 多项选择题
7.6.2 练习题
7.6.3 项目题
7.6.4 案例研究
第8章 通信和运营管理
8.1 简介
8.2 标准操作规程
8.2.1 为什么要编制操作规程的文档
8.2.2 开发标准操作规程文档编制
8.2.3 授权SOP文档编制
8.2.4 保护SOP文档编制
8.2.5 SOAP更改管理
8.3 操作更改控制
8.3.1 第1步:评估
8.3.2 第2步:记录更改
8.3.3 第3步:交流
8.4 事件响应计划
8.4.1 事件和严重性级别
8.4.2 指定的事件处理者是谁
8.4.3 事件报告、响应和处理规程
8.4.4 分析事件和故障
8.4.5 报告可疑的或者观察到的安全弱点
8.4.6 测试可疑的或观察到的安全弱点
8.5 恶意软件
8.5.1 什么是恶意软件
8.5.2 恶意软件控制
8.6 信息系统备份
8.6.1 定义备份策略
8.6.2 测试恢复的重要性
8.7 管理便携式存储设备
8.7.1 控制非公司所有的可移动介质
8.7.2 控制公司所有的可移动介质离开公司建筑物
8.7.3 存储可移动介质
8.7.4 安全地重用和处置介质
8.7.5 外包介质拆除
8.7.6 当感到怀疑时就检查日志
8.7.7 运输过程中的介质安全
8.7.8 仅适用于经过授权的快递员
8.7.9 在运输期间物理地保护介质
8.7.10 与运输介质相关的安全控制
8.7.11 保护公共可用系统上的数据安全
8.7.12 发布数据和遵守法律
8.7.13 对渗透测试的要求
8.8 保护电子邮件安全
8.8.1 电子邮件不同于其他通信形式吗
8.8.2 我们可能是我们自己最坏的敌人
8.8.3 危及电子邮件服务器
8.9 本章小结
8.10 自测题
8.10.1 多项选择题
8.10.2 练习题
8.10.3 项目题
8.10.4 案例研究
第9章 访问控制
9.1 简介
9.2 什么是安全姿态
9.2.1 拒绝全部或者不拒绝全部……这是一个问题
9.2.2 执行业务活动的最少特权
9.2.3 你需要知道吗,或者只是想知道
9.2.4 我们如何知道谁需要什么
9.2.5 谁决定谁需要什么
9.3 管理用户访问
9.3.1 一个人授权,一个人实施,另一个人监督
9.3.2 用户访问管理
9.3.3 晋升、解雇和其他变化
9.3.4 特权伴随有责任
9.4 保持密码安全
9.4.1 不要问,也不要讲
9.4.2 保护密钥
9.4.3 其他密码策略问题
9.5 用于远程连接的用户身份验证
9.5.1 IPSec和虚拟专用网
9.5.2 RADIUS和TACACS+
9.5.3 硬件令牌
9.5.4 质询/响应协议
9.5.5 专用线路
9.5.6 地址检查和回拨控制
9.5.7 准备测试
9.6 移动计算
9.6.1 仍然是另一种风险评估
9.6.2 批准还是禁止
9.7 远程工作
9.7.1 远程工作环境
9.8 监视系统访问和使用
9.8.1 我们需要监视什么
9.8.2 审阅和保持
9.8.3 监视合法吗
9.9 本章小结
9.10 自测题
9.10.1 多项选择题
9.10.2 练习题
9.10.3 项目题
9.10.4 案例研究
第10章 系统开发和维护
10.1 简介
10.2 机构的风险是什么
10.2.1 系统开发
10.2.2 系统维护
10.3 系统的安全需求
10.3.1 风险评估
10.3.2 独立的第三方顾问:需要吗
10.3.3 实现完成后添加控制
10.4 永远不能在敏感数据上发生的事情
10.4.1 数据丢失
10.4.2 数据修改
10.4.3 数据滥用
10.5 随意代码与安全代码
10.5.1 系统所有者
10.5.2 输入验证:简介
10.5.3 高级输入验证
10.5.4 测试数据输入的可信度
10.5.5 输出验证
10.6 风险评估和加密术
10.6.1 风险评估
10.6.2 保密性、完整性、身份验证、认可
10.6.3 密钥的保管人
10.6.4 密钥管理
10.6.5 加密术与业务合作伙伴
10.7 操作系统与应用软件的稳定性
10.7.1 唯有稳定版本才应在生产服务器上部署
10.7.2 更新:必需的、不安全的,还是两者兼备
10.7.3 更新:应当部署的时机
10.7.4 更新:应当执行部署的人
10.7.5 测试环境所关心的内容
10.8 本章小结
10.9 自测题
10.9.1 多项选择题
10.9.2 练习题
10.9.3 项目题
10.9.4 案例研究
第11章 业务连续性管理
11.1 简介
11.2 什么是灾难
11.2.1 风险评估和业务影响分析(BIA)
11.3 无警告的灾难打击
11.3.1 行动计划
11.3.2 业务连续性计划(BCP)组成
11.4 理解角色和职责
11.4.1 定义例外情况
11.4.2 由谁负责
11.5 灾难准备
11.5.1 组织机构
11.5.2 指挥中心位置
11.5.3 通知全体人员
11.5.4 业务的重新部署
11.5.5 备用数据中心站
11.6 响应灾难
11.6.1 发现
11.6.2 通知
11.6.3 宣布
11.6.4 启动
11.7 应急计划
11.7.1 业务应急规程
11.7.2 业务应急文档
11.8 灾难恢复
11.8.1 恢复策略
11.8.2 规程
11.8.3 恢复手册
11.9 计划的测试与维护
11.9.1 测试方法
11.9.2 计划的维护
11.9.3 与卖主达成一致
11.9.4 计划的审计
11.10 本章小结
11.11 自测题
11.11.1 多项选择题
11.11.2 练习题
11.11.3 项目题
11.11.4 案例研究
第3部分 合规性
第12章 金融机构的合规性
12.1 简介
12.2 什么是格雷姆-里奇-比利雷法案
12.2.1 GLBA的适用范围
12.2.2 GLBA的执行者
12.2.3 FFIEC的救赎
12.2.4 GLBA安全条例的理解
12.2.5 什么是部门间的指导原则
12.2.6 信息安全计划的开发与实现
12.3 涉及的董事会
12.3.1 委托信息安全任务
12.4 评估风险
12.4.1 信息和信息系统的详细清单
12.4.2 识别和评估威胁
12.4.3 减损控制
12.5 管理风险
12.5.1 将ISO框架用于完成风险管理的目标
12.5.2 逻辑与管理访问控制
12.5.3 物理安全
12.5.4 数据安全
12.5.5 恶意代码
12.5.6 系统开发、获取和维护
12.5.7 人员安全
12.5.8 电子与纸质介质的处理
12.5.9 日志记录与数据收集
12.5.10 服务提供商监管
12.5.11 入侵检测和响应
12.5.12 业务连续性考虑
12.5.13 培训、培训、再培训
12.5.14 测试控制
12.6 调整计划、报告董事会并实现标准
12.6.1 调整计划
12.6.2 报告董事会
12.6.3 合规性的有效期
12.7 与FTC保护法案的不同之处
12.7.1 目标
12.7.2 元素
12.8 身份盗窃和合规性
12.8.1 身份盗窃的响应
12.8.2 FTC与身份盗窃
12.9 本章小结
12.10 自测题
12.10.1 多项选择题
12.10.2 练习题
12.10.3 项目题
12.10.4 案例研究
第13章 医疗卫生领域的合规性
13.1 简介
13.2 理解安全法规
13.2.1 HIPAA的目标与目的
13.2.2 HIPAA的关键原则
13.2.3 达不到合规性导致的惩罚
13.2.4 安全法规机构
13.2.5 实现规范
13.3 管理保护
13.3.1 安全管理过程§164.308(a)(1)
13.3.2 指派安全责任§164.308(a)(2)
13.3.3 员工安全§164.308(a)(3)
13.3.4 信息访问管理§164.308(a)(4)
13.3.5 安全意识和培训§164.308(a)(5)
13.3.6 安全事件规程§164.308(a)(6)
13.3.7 意外事故计划§164.308(a)(7)
13.3.8 评估§184.308(a)(8)
13.3.9 业务合作合同和其他安排§164.308(b)(1)
13.4 物理保护
13.4.1 设施访问控制§164.310(a)(1)
13.4.2 工作站的使用§164.310(b)
13.4.3 工作站的安全§164.310(b)
13.4.4 设备与介质控制§164.310(d)(1)
13.5 技术保护
13.5.1 访问控制§164.312(a)(1)
13.5.2 审计控制§164.312(b)
13.5.3 完整性控制§164.312(c)(1)
13.5.4 人员或身份验证§164.312(d)
13.5.5 传输安全§164.312(e)(1)
13.6 机构要求
13.6.1 业务合作合同§164.314(a)(1)
13.6.2 对组健康计划的标准要求§164.314(b)(1)
13.7 策略和规程
13.7.1 策略和规程§164.316(a)
13.7.2 文档§164.316(b)(1)
13.8 本章小结
13.9 自测题
13.9.1 多项选择题
13.9.2 练习题
13.9.3 项目题
13.9.4 案例研究
第14章 关键基础设施领域的信息安全合规性
14.1 简介
14.2 电子政务成为现实
14.2.1 国家级的安全性
14.2.2 合规性必需的元素
14.2.3 用于援救的NIST
14.2.4 从事FISMA的NIST出版物
14.2.5 FISMA实现项目
14.2.6 FISMA的未来
14.3 保护学生记录的隐私
14.3.1 FERPA的目标是什么
14.3.2 教育记录是什么
14.3.3 教育记录的类型
14.3.4 FERPA与信息安全的关系如何
14.4 一切皆从一件公司丑闻开始
14.4.1 SOX与信息安全的关系如何
14.4.2 采用控制框架
14.5 与IS0 17799:2000的关联
14.5.1 IS0 17799安全领域概述
14.6 本章小结
14.7 自测题
14.7.1 多项选择题
14.7.2 练习题
14.7.3 项目题
14.7.4 案例研究
第15章 小企业的安全策略与实践
15.1 简介
15.2 什么是小企业
15.2.1 小企业应当做什么
15.2.2 额外考虑
15.2.3 小企业应当拥有什么策略
15.2.4 策略应当如何提出
15.3 为何要拥有一项保密性策略
15.3.1 合法化
15.3.2 不是一种,也不是两种,而是五种
15.3.3 协议的结构
15.3.4 保护协议
15.4 什么是可接受的行为
15.4.1 所有权
15.4.2 硬件和软件
15.4.3 资源滥用
15.5 互联网的使用——在哪里划定最后界限
15.5.1 互联网通信量的监控、记录日志及阻塞
15.5.2 传输数据
15.6 确保公司电子邮件的安全
15.6.1 只供业务使用
15.6.2 明文通信
15.6.3 资源滥用
15.7 意外事件的报告与响应
15.7.1 意外事件报告
15.7.2 意外事件响应
15.7.3 意外事件响应计划
15.8 口令管理
15.8.1 口令特征
15.8.2 口令检查
15.9 保护信息
15.9.1 分类的确是必需的吗
15.9.2 信息标记
15.9.3 信息保护
15.10 防止恶意软件
15.10.1 病毒、蠕虫、特洛伊木马以及间谍软件
15.10.2 保护要求
15.10.3 不要忘记用户
15.10.4 补丁管理
15.11 保护远程访问
15.11.1 扩展内部网络
15.12 控制更改
15.12.1 小企业为何需要一套变更控制策略
15.13 数据备份与恢复
15.13.1 企业依赖于访问数据的能力
15.13.2 备份的类型
15.13.3 备份介质的存储
15.13.4 测试恢复
15.14 本章小结
15.15 自测题
15.15.1 多项选择题
15.15.2 练习题
15.15.3 项目题
15.15.4 案例研究
附录A 访问控制
附录B 雇员信息安全策略批准协议
B.1 策略综述
B.2 董事长的声明
B.2.1 可接受的信息资源使用
B.2.2 互联网使用
B.2.3 电子邮件使用策略
B.2.4 信息资源的临时使用
B.2.5 口令策略
B.2.6 便携式计算策略
B.2.7 发布
B.2.8 认可协议
B.2.9 标准定义
术语表
第1部分 策略简介
第1章 策略定义
1.1 简介
1.2 定义策略
1.3 探讨有史以来的策略
1.3.1 将《圣经》作为古代的策略
1.3.2 将美国宪法作为策略革命
1.4 定义策略在政府中的作用
1.5 定义策略在企业文化中的作用
1.5.1 服务、产品和企业文化中的一致性
1.5.2 遵从政府策略
1.6 理解策略的心理学
1.6.1 使那些知道什么是可能的人参与进来
1.6.2 环境中的变化
1.7 引荐策略
1.7.1 获得批准
1.7.2 把策略引荐给组织
1.8 使策略被接受
1.8.1 组织文化来源于最高层
1.8.2 通过良好的交流强化策略
1.8.3 响应环境变化
1.9 执行信息安全策略
1.9.1 执行行为性策略
1.9.2 执行技术性策略
1.10 本章小结
1.11 自测题
1.11.1 多项选择题
1.11.2 练习题
1.11.3 项目题
1.11.4 案例研究
第2章 策略的元素
2.1 简介
2.2 定义策略配套文档:标准、准则和规程
2.2.1 标准
2.2.2 准则
2.2.3 规程
2.3 开发策略风格和格式
2.3.1 在编写策略之前做出计划
2.4 定义策略元素
2.4.1 策略标题
2.4.2 策略目标
2.4.3 策略目的声明
2.4.4 策略受众
2.4.5 策略声明
2.4.6 策略例外情况
2.4.7 策略执行条款
2.4.8 策略定义
2.5 本章小结
2.6 自测题
2.6.1 多项选择题
2.6.2 练习题
2.6.3 项目题
2.6.4 案例研究
第2部分 信息安全策略的各个领域
第3章 信息安全框架
3.1 简介
3.2 计划信息安全计划的目标
3.2.1 C代表保密性
3.2.2 I代表完整性
3.2.3 A代表可用性
3.2.4 信息安全的5个A:另外一些有意义的字母及其含义
3.3 对数据和信息进行分类
3.4 确定信息所有权角色
3.5 IS0 17799/BS 7799信息安全管理实施细则
3.6 使用IS0 17799:2000的10个安全领域
3.6.1 安全策略
3.6.2 组织安全
3.6.3 资产分类和控制
3.6.4 人员安全
3.6.5 物理和环境安全
3.6.6 通信和运营管理
3.6.7 访问控制
3.6.8 系统开发和维护
3.6.9 业务连续性管理
3.6.10 合规性
3.6.11 可能具有这么多策略吗
3.7 本章小结
3.8 自测题
3.8.1 多项选择题
3.8.2 练习题
3.8.3 项目题
3.8.4 案例研究
第4章 安全策略文档和组织的安全策略
4.1 简介
4.2 撰写权威声明
4.2.1 谁应该签署权威声明
4.2.2 权威声明应该传达什么消息
4.2.3 安全斗士的角色
4.3 安全策略文档策略——关于策略的策略
4.3.1 组织的安全策略文档与美国联邦法律之间有关系吗
4.3.2 安全策略的雇员版本的要求
4.3.3 策略是动态的
4.4 管理组织的安全
4.4.1 创建支持信息安全目标的组织结构
4.4.2 其他人有访问权限吗
4.4.3 外包日益成为一种趋势
4.5 本章小结
4.6 自测题
4.6.1 多项选择题
4.6.2 练习题
4.6.3 项目题
4.6.4 案例研究
第5章 资产分类
5.1 简介
5.2 我们在尝试保护什么
5.2.1 信息系统
5.2.2 谁负责信息资产
5.3 信息分类
5.3.1 政府和军队的分类系统
5.3.2 商业分类系统
5.4 信息分类标记和处理
5.4.1 信息标记
5.4.2 熟悉的标签
5.4.3 信息处理
5.5 信息分类计划生命周期
5.5.1 信息分类规程
5.5.2 重新分级/撤销密级
5.6 信息系统的价值和关键程度
5.6.1 我们如何知道我们拥有什么
5.6.2 资产清单方法
5.6.3 资产清单的特征和属性
5.6.4 系统表征
5.7 本章小结
5.8 自测题
5.8.1 多项选择题
5.8.2 练习题
5.8.3 项目题
5.8.4 案例研究
第6章 人员安全
6.1 简介
6.2 初次接触
6.2.1 工作说明
6.2.2 面试
6.3 这个人是谁
6.3.1 背景检查的类型
6.4 雇员协议的重要性
6.4.1 保密性协议
6.4.2 信息安全确认协议
6.5 培训重要吗
6.5.1 适用于各种计划的SETA
6.5.2 利用安全意识影响行为
6.5.3 利用安全培训传授技能
6.5.4 安全教育是知识驱动的
6.5.5 投资于培训
6.6 安全事件报告是每个人的责任
6.6.1 事件报告培训
6.6.2 安全报告机制
6.6.3 测试规程
6.7 本章小结
6.8 自测题
6.8.1 多项选择题
6.8.2 练习题
6.8.3 项目题
6.8.4 案例研究
第7章 物理与环境安全策略和规程
7.1 简介
7.2 设计安全区域
7.2.1 保护周界安全
7.2.2 实施物理入口控制
7.2.3 保护办公室、房间和设施安全
7.2.4 在安全区域中工作
7.3 保护设备安全
7.3.1 设备安置和保护
7.3.2 无电不工作
7.3.3 安全地处置和重用设备
7.4 一般控制
7.4.1 清扫桌面和清除屏幕
7.4.2 移走公司财产
7.5 本章小结
7.6 自测题
7.6.1 多项选择题
7.6.2 练习题
7.6.3 项目题
7.6.4 案例研究
第8章 通信和运营管理
8.1 简介
8.2 标准操作规程
8.2.1 为什么要编制操作规程的文档
8.2.2 开发标准操作规程文档编制
8.2.3 授权SOP文档编制
8.2.4 保护SOP文档编制
8.2.5 SOAP更改管理
8.3 操作更改控制
8.3.1 第1步:评估
8.3.2 第2步:记录更改
8.3.3 第3步:交流
8.4 事件响应计划
8.4.1 事件和严重性级别
8.4.2 指定的事件处理者是谁
8.4.3 事件报告、响应和处理规程
8.4.4 分析事件和故障
8.4.5 报告可疑的或者观察到的安全弱点
8.4.6 测试可疑的或观察到的安全弱点
8.5 恶意软件
8.5.1 什么是恶意软件
8.5.2 恶意软件控制
8.6 信息系统备份
8.6.1 定义备份策略
8.6.2 测试恢复的重要性
8.7 管理便携式存储设备
8.7.1 控制非公司所有的可移动介质
8.7.2 控制公司所有的可移动介质离开公司建筑物
8.7.3 存储可移动介质
8.7.4 安全地重用和处置介质
8.7.5 外包介质拆除
8.7.6 当感到怀疑时就检查日志
8.7.7 运输过程中的介质安全
8.7.8 仅适用于经过授权的快递员
8.7.9 在运输期间物理地保护介质
8.7.10 与运输介质相关的安全控制
8.7.11 保护公共可用系统上的数据安全
8.7.12 发布数据和遵守法律
8.7.13 对渗透测试的要求
8.8 保护电子邮件安全
8.8.1 电子邮件不同于其他通信形式吗
8.8.2 我们可能是我们自己最坏的敌人
8.8.3 危及电子邮件服务器
8.9 本章小结
8.10 自测题
8.10.1 多项选择题
8.10.2 练习题
8.10.3 项目题
8.10.4 案例研究
第9章 访问控制
9.1 简介
9.2 什么是安全姿态
9.2.1 拒绝全部或者不拒绝全部……这是一个问题
9.2.2 执行业务活动的最少特权
9.2.3 你需要知道吗,或者只是想知道
9.2.4 我们如何知道谁需要什么
9.2.5 谁决定谁需要什么
9.3 管理用户访问
9.3.1 一个人授权,一个人实施,另一个人监督
9.3.2 用户访问管理
9.3.3 晋升、解雇和其他变化
9.3.4 特权伴随有责任
9.4 保持密码安全
9.4.1 不要问,也不要讲
9.4.2 保护密钥
9.4.3 其他密码策略问题
9.5 用于远程连接的用户身份验证
9.5.1 IPSec和虚拟专用网
9.5.2 RADIUS和TACACS+
9.5.3 硬件令牌
9.5.4 质询/响应协议
9.5.5 专用线路
9.5.6 地址检查和回拨控制
9.5.7 准备测试
9.6 移动计算
9.6.1 仍然是另一种风险评估
9.6.2 批准还是禁止
9.7 远程工作
9.7.1 远程工作环境
9.8 监视系统访问和使用
9.8.1 我们需要监视什么
9.8.2 审阅和保持
9.8.3 监视合法吗
9.9 本章小结
9.10 自测题
9.10.1 多项选择题
9.10.2 练习题
9.10.3 项目题
9.10.4 案例研究
第10章 系统开发和维护
10.1 简介
10.2 机构的风险是什么
10.2.1 系统开发
10.2.2 系统维护
10.3 系统的安全需求
10.3.1 风险评估
10.3.2 独立的第三方顾问:需要吗
10.3.3 实现完成后添加控制
10.4 永远不能在敏感数据上发生的事情
10.4.1 数据丢失
10.4.2 数据修改
10.4.3 数据滥用
10.5 随意代码与安全代码
10.5.1 系统所有者
10.5.2 输入验证:简介
10.5.3 高级输入验证
10.5.4 测试数据输入的可信度
10.5.5 输出验证
10.6 风险评估和加密术
10.6.1 风险评估
10.6.2 保密性、完整性、身份验证、认可
10.6.3 密钥的保管人
10.6.4 密钥管理
10.6.5 加密术与业务合作伙伴
10.7 操作系统与应用软件的稳定性
10.7.1 唯有稳定版本才应在生产服务器上部署
10.7.2 更新:必需的、不安全的,还是两者兼备
10.7.3 更新:应当部署的时机
10.7.4 更新:应当执行部署的人
10.7.5 测试环境所关心的内容
10.8 本章小结
10.9 自测题
10.9.1 多项选择题
10.9.2 练习题
10.9.3 项目题
10.9.4 案例研究
第11章 业务连续性管理
11.1 简介
11.2 什么是灾难
11.2.1 风险评估和业务影响分析(BIA)
11.3 无警告的灾难打击
11.3.1 行动计划
11.3.2 业务连续性计划(BCP)组成
11.4 理解角色和职责
11.4.1 定义例外情况
11.4.2 由谁负责
11.5 灾难准备
11.5.1 组织机构
11.5.2 指挥中心位置
11.5.3 通知全体人员
11.5.4 业务的重新部署
11.5.5 备用数据中心站
11.6 响应灾难
11.6.1 发现
11.6.2 通知
11.6.3 宣布
11.6.4 启动
11.7 应急计划
11.7.1 业务应急规程
11.7.2 业务应急文档
11.8 灾难恢复
11.8.1 恢复策略
11.8.2 规程
11.8.3 恢复手册
11.9 计划的测试与维护
11.9.1 测试方法
11.9.2 计划的维护
11.9.3 与卖主达成一致
11.9.4 计划的审计
11.10 本章小结
11.11 自测题
11.11.1 多项选择题
11.11.2 练习题
11.11.3 项目题
11.11.4 案例研究
第3部分 合规性
第12章 金融机构的合规性
12.1 简介
12.2 什么是格雷姆-里奇-比利雷法案
12.2.1 GLBA的适用范围
12.2.2 GLBA的执行者
12.2.3 FFIEC的救赎
12.2.4 GLBA安全条例的理解
12.2.5 什么是部门间的指导原则
12.2.6 信息安全计划的开发与实现
12.3 涉及的董事会
12.3.1 委托信息安全任务
12.4 评估风险
12.4.1 信息和信息系统的详细清单
12.4.2 识别和评估威胁
12.4.3 减损控制
12.5 管理风险
12.5.1 将ISO框架用于完成风险管理的目标
12.5.2 逻辑与管理访问控制
12.5.3 物理安全
12.5.4 数据安全
12.5.5 恶意代码
12.5.6 系统开发、获取和维护
12.5.7 人员安全
12.5.8 电子与纸质介质的处理
12.5.9 日志记录与数据收集
12.5.10 服务提供商监管
12.5.11 入侵检测和响应
12.5.12 业务连续性考虑
12.5.13 培训、培训、再培训
12.5.14 测试控制
12.6 调整计划、报告董事会并实现标准
12.6.1 调整计划
12.6.2 报告董事会
12.6.3 合规性的有效期
12.7 与FTC保护法案的不同之处
12.7.1 目标
12.7.2 元素
12.8 身份盗窃和合规性
12.8.1 身份盗窃的响应
12.8.2 FTC与身份盗窃
12.9 本章小结
12.10 自测题
12.10.1 多项选择题
12.10.2 练习题
12.10.3 项目题
12.10.4 案例研究
第13章 医疗卫生领域的合规性
13.1 简介
13.2 理解安全法规
13.2.1 HIPAA的目标与目的
13.2.2 HIPAA的关键原则
13.2.3 达不到合规性导致的惩罚
13.2.4 安全法规机构
13.2.5 实现规范
13.3 管理保护
13.3.1 安全管理过程§164.308(a)(1)
13.3.2 指派安全责任§164.308(a)(2)
13.3.3 员工安全§164.308(a)(3)
13.3.4 信息访问管理§164.308(a)(4)
13.3.5 安全意识和培训§164.308(a)(5)
13.3.6 安全事件规程§164.308(a)(6)
13.3.7 意外事故计划§164.308(a)(7)
13.3.8 评估§184.308(a)(8)
13.3.9 业务合作合同和其他安排§164.308(b)(1)
13.4 物理保护
13.4.1 设施访问控制§164.310(a)(1)
13.4.2 工作站的使用§164.310(b)
13.4.3 工作站的安全§164.310(b)
13.4.4 设备与介质控制§164.310(d)(1)
13.5 技术保护
13.5.1 访问控制§164.312(a)(1)
13.5.2 审计控制§164.312(b)
13.5.3 完整性控制§164.312(c)(1)
13.5.4 人员或身份验证§164.312(d)
13.5.5 传输安全§164.312(e)(1)
13.6 机构要求
13.6.1 业务合作合同§164.314(a)(1)
13.6.2 对组健康计划的标准要求§164.314(b)(1)
13.7 策略和规程
13.7.1 策略和规程§164.316(a)
13.7.2 文档§164.316(b)(1)
13.8 本章小结
13.9 自测题
13.9.1 多项选择题
13.9.2 练习题
13.9.3 项目题
13.9.4 案例研究
第14章 关键基础设施领域的信息安全合规性
14.1 简介
14.2 电子政务成为现实
14.2.1 国家级的安全性
14.2.2 合规性必需的元素
14.2.3 用于援救的NIST
14.2.4 从事FISMA的NIST出版物
14.2.5 FISMA实现项目
14.2.6 FISMA的未来
14.3 保护学生记录的隐私
14.3.1 FERPA的目标是什么
14.3.2 教育记录是什么
14.3.3 教育记录的类型
14.3.4 FERPA与信息安全的关系如何
14.4 一切皆从一件公司丑闻开始
14.4.1 SOX与信息安全的关系如何
14.4.2 采用控制框架
14.5 与IS0 17799:2000的关联
14.5.1 IS0 17799安全领域概述
14.6 本章小结
14.7 自测题
14.7.1 多项选择题
14.7.2 练习题
14.7.3 项目题
14.7.4 案例研究
第15章 小企业的安全策略与实践
15.1 简介
15.2 什么是小企业
15.2.1 小企业应当做什么
15.2.2 额外考虑
15.2.3 小企业应当拥有什么策略
15.2.4 策略应当如何提出
15.3 为何要拥有一项保密性策略
15.3.1 合法化
15.3.2 不是一种,也不是两种,而是五种
15.3.3 协议的结构
15.3.4 保护协议
15.4 什么是可接受的行为
15.4.1 所有权
15.4.2 硬件和软件
15.4.3 资源滥用
15.5 互联网的使用——在哪里划定最后界限
15.5.1 互联网通信量的监控、记录日志及阻塞
15.5.2 传输数据
15.6 确保公司电子邮件的安全
15.6.1 只供业务使用
15.6.2 明文通信
15.6.3 资源滥用
15.7 意外事件的报告与响应
15.7.1 意外事件报告
15.7.2 意外事件响应
15.7.3 意外事件响应计划
15.8 口令管理
15.8.1 口令特征
15.8.2 口令检查
15.9 保护信息
15.9.1 分类的确是必需的吗
15.9.2 信息标记
15.9.3 信息保护
15.10 防止恶意软件
15.10.1 病毒、蠕虫、特洛伊木马以及间谍软件
15.10.2 保护要求
15.10.3 不要忘记用户
15.10.4 补丁管理
15.11 保护远程访问
15.11.1 扩展内部网络
15.12 控制更改
15.12.1 小企业为何需要一套变更控制策略
15.13 数据备份与恢复
15.13.1 企业依赖于访问数据的能力
15.13.2 备份的类型
15.13.3 备份介质的存储
15.13.4 测试恢复
15.14 本章小结
15.15 自测题
15.15.1 多项选择题
15.15.2 练习题
15.15.3 项目题
15.15.4 案例研究
附录A 访问控制
附录B 雇员信息安全策略批准协议
B.1 策略综述
B.2 董事长的声明
B.2.1 可接受的信息资源使用
B.2.2 互联网使用
B.2.3 电子邮件使用策略
B.2.4 信息资源的临时使用
B.2.5 口令策略
B.2.6 便携式计算策略
B.2.7 发布
B.2.8 认可协议
B.2.9 标准定义
术语表
Security policies and procedures:principles and practices
- 名称
- 类型
- 大小
光盘服务联系方式: 020-38250260 客服QQ:4006604884
云图客服:
用户发送的提问,这种方式就需要有位在线客服来回答用户的问题,这种 就属于对话式的,问题是这种提问是否需要用户登录才能提问
Video Player
×
Audio Player
×
pdf Player
×
