本书内容安排

1.5　本书内容安排

第1章为绪论。主要对信息安全管理的基本概念、主要内容、技术体系、方法、保障体系等内容进行了概要的阐述。绪论是本书的内容铺垫，后面各章基本围绕绪论中所列出的信息安全管理的主要内容展开。具体安排如下。

第2章为信息安全风险评估。依据PDCA循环的四个阶段对信息安全风险评估的概念、策略、流程以及方法进行详细阐述，并通过一简单案例说明风险评估过程。

第3章为系统与网络安全。主要介绍系统与网络安全存在的问题及其防范措施。首先，详细分析TCP/IP原理，并在此基础上列举了常见的TCP/IP安全漏洞；然后，分析有害程序的作用机理，给出有害程序防范的基本技术；最后，针对网络与终端所存在的安全问题，给出常见的网络安全和终端安全解决方案。

第4章为物理安全。系统地讲述物理安全的内涵、产生的根源、物理安全策略以及相关的法律法规。结合物理安全的需求，具体介绍设备安全、环境安全以及人员安全的基本内容。

第5章为信息系统安全审计。安全审计也属于安全控制措施的范畴，通过安全审计，可以发现系统的缺陷以及外来的入侵，同时通过计算机取证打击信息安全犯罪，从而达到保护信息系统安全的目的。此章对信息系统安全审计的基本概念、关键技术和相关标准以及计算机取证等内容进行了深入探讨。

第6章为灾难恢复与业务连续性。首先介绍与灾难恢复密切相关的备份技术；然后结合GB/T 20988—2007《信息安全技术信息系统灾难恢复规范》给出灾难恢复的具体内容；最后，从业务连续性的全局考虑，讲述如何构建业务连续性管理体系。

第7章为信息安全标准。讲述解信息安全标准的相关概念、各系列标准涉及的内容，并重点介绍计算机安全等级保护标准、信息技术安全性评估通用准则（CC）以及ISO/IEC 27000系列标准的基本内容。

第8章为信息安全法律法规。讲述信息安全法的发展现状、法规体系，列举与计算机犯罪、知识产权和电子商务相关的法律法规，并详细介绍我国的《电子签名法》，最后对国内外典型的信息安全法的基本特点进行分析和总结。