词条 | 安全计划与灾难恢复 |
释义 | 基本信息书名:安全计划与灾难恢复 图书编号:582170 出版社:人民邮电出版社 定价:32.0 ISBN:711511684 作者:梅沃德 出版日期:2003-11-01 版次:1 开本:大16开 简介要解决信息安全问题不是简单地依靠安全技术人员就可以的,对于所有从事IT业务或者倚仗IT基础设施来辅助业务运作的公司或组织而言,制定适合本单位的安全计划是非常重要的。本书层次清晰地介绍了安全计划的建立、实施和管理,紧急事件处理等方面的具体细节。针对安全计划所涉及的政策、过程、审计、监控、培训、时间和资金投入以及意外事件的应急处理等进行了专题讲解。本书内容环环相扣,具有很强的指导性和可实践性。 目录第一部分 制定安全计划的指导原则 第1章 信息安全计划的任务 1. 1 正确的开端 1. 2 确定安全部门的任务 1. 2. 1 报告的机构 1. 2. 2 任务声明 1. 2. 3 长期目标 1. 2. 4 短期目标 1. 3 关系 1. 3. 1 技术关系 1. 3. 2 业务关系 1. 4 检查清单:计划的关键任务 第2章 美国的相关法律和法规 2. 1 与执法部门合作 2. 2 法律背景 2. 2. 1 计算机欺骗和滥用法(1986年版) 2. 2. 2 电子通信隐私法(1986年版) 2. 2. 3 计算机安全法(1987) 2. 2. 4 国家信息基础设施保护法(1996) 2. 2. 5 Gramm-Leach-Bliley金融服务现代化法案(GLBA) 2. 2. 6 医疗保险信息携带及责任法案(HIPAA) 2. 3 网络资源 2. 4 检查清单:信息安全法律问题的要点 第3章 评估 3. 1 内部审计 3. 2 外部审计 3. 3 评估 3. 3. 1 自我评估 3. 3. 2 漏洞评估 3. 3. 3 穿透测试 3. 3. 4 风险评估 3. 4 检查清单:评估的要点 第二部分 计划的实施 第4章 制定政策与程序 4. 1 政策的目的 4. 2 制定政策 4. 2. 1 可接受使用政策(AUP) 4. 2. 2 信息安全政策 4. 3 现有文档的处理 4. 4 使他们认可 4. 5 政策审查 4. 6 检查清单:制定政策与程序的要点 第5章 安全计划的实施 5. 1 从何处开始 5. 1. 1 建立计划书 5. 1. 2 风险评估 5. 1. 3 降低风险的计划 5. 1. 4 制定政策 5. 1. 5 解决方案的部署 5. 1. 6 培训 5. 1. 7 审计和报告 5. 1. 8 重新再做一遍 5. 2 和系统管理员们一起工作 5. 3 和管理者一起工作 5. 4 教育用户 5. 5 检查清单:安全计划实施的要点 第6章 部署新项目和新技术 6. 1 新的业务项目 6. 1. 1 需求定义 6. 1. 2 系统设计 6. 1. 3 内部开发 6. 1. 4 第三方产品 6. 1. 5 测试 6. 1. 6 试运行 6. 1. 7 完全产品化 6. 2 检查清单:部署业务项目的要点 第7章 安全培训和安全意识 7. 1 用户意识 7. 2 管理者意识 7. 3 安全小组的培训和意识 7. 4 培训方法 7. 4. 1 工作描述 7. 4. 2 始业教育 7. 4. 3 可接受使用政策(AUP) 7. 4. 4 正式的课堂培训 7. 4. 5 研讨会和自助会议 7. 4. 6 时事通讯和网站 7. 4. 7 大型活动 7. 4. 8 会议 7. 5 检查清单: 安全培训和安全意识的要点 第8章 安全监控 8. 1 政策监控 8. 1. 1 意识 8. 1. 2 系统 8. 1. 3 员工 8. 1. 4 计算机的使用政策 8. 2 网络监控 8. 2. 1 系统配置 8. 2. 2 网络攻击 8. 2. 3 网络监控机制 8. 3 审计日志的监控 8. 3. 1 非授权的访问 8. 3. 2 不合适的行为 8. 3. 3 有效日志监控机制 8. 4 安全漏洞监控 8. 4. 1 软件补丁 8. 4. 2 配置问题 8. 4. 3 识别安全漏洞的机制 8. 5 检查清单:安全监控的要点 第三部分 安全计划的管理 第9章 安全预算 9. 1 确定需求 9. 2 制定预算 9. 3 其他事项 9. 3. 1 人员需求 9. 3. 2 培训费用 9. 3. 3 软件和硬件维护 9. 3. 4 外部服务 9. 3. 5 新产品 9. 3. 6 不可预料的费用 9. 4 严格执行预算 9. 5 检查清单:安全计划预算中的要点 第10章 安全人员 10. 1 技能领域 10. 1. 1 安全管理能力 10. 1. 2 政策开发能力 10. 1. 3 体系结构设计能力 10. 1. 4 研究能力 10. 1. 5 评估能力 10. 1. 6 审计能力 10. 2 雇用好的员工 10. 2. 1 职业道德 10. 2. 2 能力与经验 10. 2. 3 个性品质 10. 2. 4 认证证书 10. 3 小型机构 10. 3. 1 职员的技能 10. 3. 2 寻找外部的技能 10. 4 大型机构 10. 4. 1 安全部门的基本编制 10. 4. 2 寻找外部的技能 10. 5 检查清单:雇用职员的要点 第11章 报告 11. 1 项目计划的进度 11. 2 安全的状态 11. 2. 1 测度 11. 2. 2 风险的测量 11. 3 投资回报 11. 3. 1 业务项目 11. 3. 2 直接的回报 11. 4 意外事件 11. 4. 1 事件的事实描述 11. 4. 2 被利用的安全漏洞 11. 4. 3 采取的行动 11. 4. 4 建议 11. 5 审计 11. 6 检查清单:安全报告中的要点 第四部分 如何响应意外事件 第12章 事件响应 12. 1 事件响应组 12. 1. 1 小组成员 12. 1. 2 领导 12. 1. 3 授权 12. 1. 4 小组筹备 12. 2 事件确认 12. 2. 1 事件是什么 12. 2. 2 要查找什么 12. 2. 3 服务台的帮助 12. 3 升级 12. 3. 1 调查 12. 3. 2 收集证据 12. 3. 3 决定如何响应 12. 4 控制措施 12. 5 事件根除 12. 6 文档 12. 6. 1 事件发生前的文档 12. 6. 2 事件处理过程中的文档 12. 6. 3 事件处理后的文档 12. 7 法律问题 12. 7. 1 监控 12. 7. 2 证据收集 12. 8 检查清单:事件响应的要点 第13章 制定意外事件的应急计划 13. 1 灾难定义 13. 2 确定重要的系统和数据 13. 2. 1 业务影响分析 13. 2. 2 采访过程 13. 3 准备 13. 3. 1 风险分析项目 13. 3. 2 资产清单 13. 3. 3 获得资金 13. 3. 4 支出的理由 13. 3. 5 资金分配 13. 3. 6 组织间的合作和合作政策 13. 4 把DPR工作组和指导委员会一起考虑 13. 5 常规程序 13. 6 资源 13. 7 检查清单:应急计划的要点 第14章 灾难响应 14. 1 真实性检查 14. 1. 1 先发生的事情先处理 14. 1. 2 损失评估 14. 2 定义权威和工作组 14. 2. 1 工作组的召集 14. 2. 2 可用技术评估 14. 2. 3 设定优先次序 14. 2. 4 设定目标 14. 3 是否遵守计划 14. 4 灾难的阶段 14. 4. 1 灾难响应阶段 14. 4. 2 恢复运作阶段 14. 4. 3 恢复生产阶段 14. 4. 4 灾后重建阶段 14. 5 检查清单:灾难响应的要点 第五部分 附 录 附录A 处理审计 A. 1 成为其中一员 A. 1. 1 信息搜集 A. 1. 2 审计报告 A. 1. 3 响应审计 A. 2 内部审计 A. 2. 1 例行审计 A. 2. 2 特定问题的审计 A. 3 外部审计 A. 3. 1 财务审计 A. 3. 2 SAS-70 A. 4 信息安全部门对审计的响应 A. 5 检查清单:审计中的关键步骤 附录B 安全外包 B. 1 外包安全服务 B. 1. 1 “技术性”的安全服务 B. 1. 2 “面向人”的安全服务 B. 2 选择外包什么 B. 2. 1 选择外包的理由 B. 2. 2 外部安全服务的费用 B. 2. 3 回到风险管理问题 B. 3 选择安全服务商 B. 3. 1 服务 B. 3. 2 价格 B. 3. 3 其他问题 B. 4 与服务商一起工作 B. 4. 1 经常进行沟通和交流 B. 4. 2 设定期望值 B. 4. 3 风险管理 B. 5 检查清单:外部安全服务的关键要点 附录C 管理新的安全项目 C. 1 需求定义 C. 1. 1 安全需求 C. 1. 2 故障时切换需求 C. 1. 3 性能需求 C. 1. 4 可管理性需求 C. 1. 5 集成的需求 C. 2 征求建议书(RFP) C. 2. 1 RFP的内容 C. 2. 2 RFP的条件 C. 3 评估供应商的反馈 C. 3. 1 技术部分的评估 C. 3. 2 非技术部分的评估 C. 3. 3 折衷 C. 4 选择供应商 C. 5 内部开发新信息安全项目 C. 6 在内部进行产品集成 C. 6. 1 技术集成 C. 6. 2 程序的集成 C. 7 安全产品的集成 C. 8 检查清单:部署新信息安全技术的关键要点 附录D 安全计划与灾难恢复蓝图 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。