目 录
序言 6
第一章:企业与信息安全 7
1.1、企业风险与安全 7
1.1.1 企业风险 7
1.1.2 企业信息安全 8
1.2、信息安全的重要性及价值分析 12
1.2.1 企业安全之痛 12
1.2.2 保护企业客户信息和内部员工信息 13
1.2.3 商业机密信息的安全交换 13
1.2.4 保障业务持续运转 13
1.2.5 信息安全是企业持续发展的需要 13
1.2.6 降低风险,简化复杂性 14
第二章:信息安全基础及发展趋势 15
2.1、洞察信息安全 15
2.1.1 信息安全概述 15
2.1.2 信息安全基本目标 16
2.2、信息系统安全发展历程 17
2.2.1 通信安全阶段 17
2.2.2 信息安全阶段 17
2.2.3 信息保障阶段 18
2.3、信息安全国际标准 19
2.3.1 信息安全管理标准 19
2.3.2 信息安全产品标准 22
2.4、中国信息安全标准 23
2.4.1 中国国家信息安全标准 23
2.4.2 中国行业信息安全标准 25
2.5、安全技术发展趋势 25
2.5.1 新概念新技术 26
2.5.2 信息安全行业转型 26
2.5.3 “云安全” 26
2.5.4 “SOA 安全” 28
2.6、企业信息安全架构 28
2.6.1 企业信息系统安全威胁 29
2.6.2 企业信息安全子系统 29
2.6.3 完整的企业信息安全架构 30
第三章:企业信息安全框架概述 31
3.1、企业信息安全实践的挑战 31
3.2、企业信息安全框架(ESF)的定义 31
3.3、企业信息安全框架建设的意义 33
第四章:企业信息安全框架 34
4.1、安全治理、风险管理和合规 34
4.1.1 战略和治理框架 34
4.1.2 信息安全风险管理 36
4.1.3 合规和策略遵从 39
4.2、信息安全运维 42
4.2.1 安全事件监控 42
4.2.2 安全事件响应 45
4.2.3 安全事件审计 47
4.2.4 安全策略管理 48
4.2.5 安全绩效管理 51
4.3、基础安全服务及架构 51
4.3.1 身份和访问安全 51
4.3.2 数据安全 57
4.3.3 应用安全 73
4.3.4 基础架构安全 84
4.3.5 物理安全 92
第五章:企业信息安全框架应用 99
5.1、企业信息安全体系总体建设方法 99
5.2、企业信息安全运维体系的建设 99
5.3、企业信息安全技术体系的建设 101
5.3.1 安全技术设计目标 101
5.3.2 安全技术体系的建设 101
第六章:企业信息安全落实 102
参考文献 102