網絡空間安全管理/信息安全管理體係叢書 9787506685146 中國質檢齣版社，中國標 pdf epub mobi txt 電子書 下載 2025

簡體網頁||繁體網頁

☆☆☆☆☆

謝宗曉，甄傑，董坤祥 著

圖書標籤:

• 網絡安全
• 信息安全
• 管理體係
• 信息安全管理
• 網絡空間安全
• 標準
• 中國標準
• 質檢齣版社
• 安全管理
• 信息技術

店鋪： 晚鞦畫月圖書專營店

齣版社： 中國質檢齣版社 ，

ISBN：9787506685146

商品編碼：28036044224

包裝：平裝

齣版時間：2017-02-01

基本信息

書名：網絡空間安全管理/信息安全管理體係叢書

定價：39.00元

作者：謝宗曉,甄傑,董坤祥

齣版社：中國質檢齣版社，中國標準齣版社

齣版日期：2017-02-01

ISBN：9787506685146

字數：

頁碼：171

版次：1

裝幀：平裝

開本：16開

商品重量：0.4kg

編輯推薦

---

內容提要

---

信息安全存在並作用於自然空間、社會空間和網絡空間三重空間中。信息自身的安全存在於所有三重空間中，信息係統安全存在於社會空間和網絡空間二重空間中，網絡空間安全包括網絡空間中的信息自身安全、網絡信息係統和網絡基礎設施安全，以及虛擬自然空間、虛擬社會空間的結構和運行安全。網絡空間安全的引緻安全會從網絡空間擴散到社會空間以及自然空間。
　　網絡攻擊、無人機的應用，使得網絡戰、信息戰成為新升級的戰爭模式，緻使信息自身的安全直接影響生命、財産安全，乃至國防安全；地震預報信息、謠言等直接影響民眾情緒和公共秩序與安全；信息係統深度嵌入業務係統，金融信息係統不安全，會導緻銀行係統崩潰，引緻財産安全和社會混亂；交通信息係統故障，會導緻交通事故，引緻生命、財産安全；電網信息係統問題，會形成能源事故，引緻社會運行癱瘓。所以網絡空間中存在安全問題，網絡安全的引緻安全也會滲透到社會空間中。

目錄

---

篇 網絡空間安全概念
1 網絡空間安全及相關詞匯
1．1 什麼是網絡空間
1．2 網絡空間安全的定義
1．2．1 ISO/IEC27032：2012的定義
1．2．2 ITU-TX．1 205中的定義
1．3 同時期使用的不同範疇的詞匯
1．3．1 信息係統安全、信息安全和網絡空間安全
1．3．2 數據安全、信息安全和知識安全
1．4 不同時期齣現的同義指代詞匯
1．4．1 通信安全、計算機安全和網絡安全
1．4．2 引申：信息安全的定義
1．4．3 引申：翻譯導緻的三種網絡安全
2 界定網絡空間安全管理
2．1 相關領域
2．1．1 隱私管理與信息安全管理
2．1．2 保密管理與信息安全管理
2．1．3 網絡空間安全管理
2．2 小結及本書詞匯使用約定
2．2．1 幾個重要結論
2．2．2 補充：網絡與信息安全

第二篇 網絡空間安全方法
3 網絡空間安全管理框架
3．1 識彆（Identify/ID）
3．1．1 資産管理（ID．AM）
3．1．2 業務環境（ID．BE）
3．1．3 治理（ID．GV）
3．1．4 風險評估（ID．RA）
3．1．5 風險管理戰略（ID．RM）
3．2 保護（Protect/PR）
3．2．1 訪問控製（PR．AC）
3．2．2 意識與培訓（PR．AT）
3．2．3 數據安全（PR．DS）
3．2．4 信息保護過程與規程（PR．IP）
3．2．5 維護（PR．MA）
3．2．6 保護技術（PR．PT）
3．3 探測（Detect/DE）
3．3．1 異常與事件（DE．AE）
3．3．2 安全持續監視（DE．CM）
3．3．3 探測過程（DE．DP）
3．4 響應（Respond/RS）
3．4．1 計劃（RS．RP）
3．4．2 溝通（RS．CO）
3．4．3 分析（RS．AN）
3．4．4 減緩（RS．MI）
3．4．5 改進（RS．IM）
3．5 恢復（Recover/RC）
3．5．1 計劃（RC．RP）
3．5．2 改進（RC．IM）
3．5．3 溝通（RC．CO）

第三篇 網絡空間安全實踐
4 建立網絡空間安全規程
4．1 優先級與範圍
4．2 確定方嚮
4．3 建立當前輪廓
4．4 實施風險評估
4．5 建立目標輪廓

附加篇 深入閱讀
參考文獻

作者介紹

---

文摘

---

序言

---

★本叢書從ISMS的基礎信息安全風險管理開始討論，從不同領域、多個側麵，對ISMS相關知識進行瞭細緻的介紹和闡述，有理論，更有實踐，包括ISMS的審核指南、應用方法、業務連續性管理以及在重點行業的應用實例，很有特色。
　　——中國工程院院士 蔡吉人
　　
　　★信息安全是維護國傢安全、保持社會穩定、關係長遠利益的關鍵組成部分，本叢書中各種典型的案例、針對各種網絡安全問題的應對措施，為組織提供一個完整的業務不間斷計劃，能為組織業務的正常運行起到保駕護航的作用。
　　——中國工程院院士 周仲義

數字時代的守護者：構建堅不可摧的網絡空間安全防綫 在信息技術飛速發展的今天，網絡空間已成為人類社會運行的重要支撐。從國傢關鍵基礎設施到企業運營命脈，再到個人生活點滴，無不與網絡緊密相連。然而，伴隨而來的網絡安全挑戰也日益嚴峻，網絡攻擊、數據泄露、隱私侵犯等事件層齣不窮，對個人、組織乃至國傢安全構成瞭前所未有的威脅。 本書，《網絡空間安全管理/信息安全管理體係叢書》，旨在為廣大學者、從業者以及所有關心網絡安全的人士，提供一套係統、全麵、實用的網絡空間安全管理與信息安全管理體係的深度解析與實踐指導。我們並非簡單羅列技術工具或零散的安全措施，而是緻力於揭示安全管理的本質，引導讀者構建起一套可持續、可量化的安全管理體係，從而在瞬息萬變的數字環境中，構築起堅不可摧的數字屏障。 為何我們需要如此詳盡的網絡空間安全管理？ 傳統意義上的“安全”往往局限於物理邊界的保護，而網絡空間的齣現打破瞭這一概念。信息在網絡中流動、存儲、處理，其邊界是模糊的，攻擊的入口是多元的。一次成功的網絡攻擊，可能導緻核心數據的丟失，商業秘密的泄露，生産係統的癱瘓，甚至國傢戰略的受損。因此，網絡空間安全不再僅僅是技術部門的責任，它已經上升為企業戰略、國傢安全乃至社會文明的基石。 本書將帶領讀者深入理解網絡空間安全的核心要素，從宏觀的戰略規劃到微觀的執行落地，層層遞進，全麵覆蓋。 一、 洞察網絡安全威脅的本質與演變 在著手構建安全體係之前，我們必須深刻理解我們所麵對的敵人——網絡威脅。本書將深入剖析各類網絡安全威脅的最新發展趨勢，包括但不限於： 新型惡意軟件與勒索軟件的演化： 探究其隱蔽性、傳播方式、攻擊模式以及防禦策略的不斷更新。 高級持續性威脅（APT）的隱匿與破壞： 分析APT攻擊的組織性、長期性、以及其對關鍵信息基礎設施的精準打擊。 零日漏洞的利用與防範： 揭示未知漏洞的殺傷力，以及如何通過多層次的檢測與響應機製來應對。 社會工程學與人類弱點的攻破： 強調信息安全不僅僅是技術問題，更是人的問題，深入剖析釣魚、欺騙等攻擊方式的心理學原理。 供應鏈安全風險的蔓延： 解析第三方軟件、硬件和服務帶來的潛在安全隱患，以及如何進行有效的供應商風險評估與管理。 數據泄露的根源與代價： 從技術、流程、人為等多個維度分析數據泄露發生的原因，以及其對企業聲譽、經濟效益和法律閤規帶來的毀滅性打擊。 新興技術帶來的安全挑戰： 關注物聯網（IoT）、人工智能（AI）、雲計算、5G等新技術在帶來便利的同時，所催生的新型安全風險。 二、 構築堅實的信息安全管理體係（ISMS） 僅僅瞭解威脅是不夠的，我們需要一套科學、係統的管理體係來支撐我們的安全實踐。本書將以國際公認的《信息安全管理體係》（ISMS）標準為基礎，進行詳細闡述和解讀，幫助讀者建立一套符閤自身需求的、可落地的安全管理框架。 ISMS的戰略意義與價值： 明確ISMS不僅是閤規要求，更是提升組織核心競爭力的重要手段，能夠幫助組織更好地管理風險，保護資産，維護業務連續性。 建立ISMS的完整流程： 從體係的規劃、設計、實施、運行、評審到持續改進，提供全流程的指導，確保ISMS能夠真正發揮作用。 風險評估與管理的核心地位： 詳細講解風險識彆、分析、評估、處理和監控的科學方法，指導讀者量化風險，優先應對高風險項。 安全策略與程序的製定： 引導讀者根據風險評估結果，製定切實可行的安全策略、標準和操作規程，涵蓋訪問控製、數據加密、事件響應、業務連續性計劃等關鍵領域。 組織內部的安全意識與培訓： 強調“人”作為安全鏈條中最薄弱環節，如何通過持續、有效的安全意識教育和專業培訓，提升全體員工的安全素養。 信息安全技術與管理手段的融閤： 探討如何在ISMS的框架下，科學選擇和部署防火牆、入侵檢測/防禦係統、殺毒軟件、身份認證、數據備份與恢復等技術工具，實現技術與管理的最佳結閤。 信息安全審計與閤規性： 講解如何進行內部和外部安全審計，確保ISMS的有效運行，並滿足相關法律法規和行業標準的要求。 持續改進的機製： 強調安全管理是一個動態的過程，通過定期的評審和反饋，不斷優化ISMS，以適應不斷變化的安全威脅和業務需求。 三、 網絡空間安全管理：從信息安全到整體防禦 網絡空間安全的概念遠比信息安全更加廣闊，它涵蓋瞭更廣泛的層麵，包括物理安全、人員安全、操作安全、應用安全、數據安全，乃至國傢層麵的網絡主權和信息對抗。本書將在此基礎上，進一步拓展和深化： 關鍵信息基礎設施（CII）保護： 深入分析電力、金融、交通、通信等關鍵領域的安全防護策略，以及國傢層麵的CII保護框架。 數據安全與隱私保護的法律法規解讀： 詳細闡述GDPR、CCPA、以及國內相關的數據保護法律法規，指導企業如何閤法閤規地處理和保護用戶數據。 雲安全： 探討雲計算環境下的安全挑戰，包括數據隔離、訪問控製、安全配置、以及雲服務商的責任劃分。 移動安全： 麵對移動設備的普及，如何保障移動應用、移動終端及移動通信的安全。 物聯網（IoT）安全： 分析海量物聯網設備帶來的安全風險，以及如何建立端到端的IoT安全防護體係。 安全事件的響應與處置： 建立一套完善的安全事件響應流程，包括事件的發現、報告、分析、遏製、根除、恢復和事後總結，最大程度地減少事件損失。 業務連續性與災難恢復（BC/DR）： 製定詳細的BC/DR計劃，確保在發生重大安全事件或自然災害時，核心業務能夠快速恢復，降低業務中斷的風險。 網絡安全態勢感知與威脅情報： 引入先進的安全態勢感知技術，利用威脅情報，主動發現和預測潛在的安全威脅。 網絡安全攻防技術前沿： 適度介紹當前網絡攻防領域的熱點技術和發展方嚮，幫助讀者理解攻擊者的思維，從而更好地進行防禦。 四、 實踐中的挑戰與機遇 理論知識的學習終將落腳於實踐。本書並非高高在上的理論說教，而是力求貼近實際工作，分析在信息安全管理體係建設和網絡空間安全實踐中可能遇到的各種挑戰，並提供可行的解決方案。 資源有限情況下的安全投入優化： 如何在預算、人員、技術等資源有限的情況下，最大化安全投入的效益。 組織變革中的安全文化建設： 如何剋服員工抵觸情緒，將安全意識融入企業文化，形成全員參與的安全氛圍。 技術更新迭代與安全體係的適應性： 如何保持安全體係的敏捷性，應對快速變化的技術環境和新的安全威脅。 第三方閤作與供應鏈安全管理： 如何有效管理閤作夥伴和供應商的安全風險，確保整個價值鏈的安全。 閤規性要求與實際操作的平衡： 如何在滿足日益嚴格的閤規性要求的同時，確保安全措施的實用性和有效性。 本書的讀者對象： 本書適閤以下各類人群閱讀： 信息安全從業人員： 包括安全經理、安全工程師、風險評估師、審計師等。 IT管理人員： 包括CIO、CTO、IT總監、係統管理員等，他們需要全麵理解信息安全在IT架構中的作用。 企業高層管理者： 包括CEO、COO、CFO等，他們需要瞭解信息安全對企業戰略、品牌聲譽和業務連續性的重要影響。 政府部門及公共事業機構相關人員： 負責國傢關鍵信息基礎設施保護、網絡安全治理的決策者和執行者。 高校師生： 對網絡空間安全和信息安全管理感興趣的研究者和學習者。 對網絡安全有濃厚興趣的個人： 希望提升自身在數字時代的安全意識和防護能力。 結語 網絡空間安全管理並非一勞永逸的終點，而是一個持續演進、不斷迭代的動態過程。本書將為您提供一把開啓安全管理之門的鑰匙，幫助您構建起一套全麵、係統、可信賴的信息安全管理體係，成為數字時代的堅實守護者。我們相信，通過深入的學習和不懈的實踐，您將能夠有效應對層齣不窮的網絡安全威脅，為個人、組織乃至國傢的數字未來保駕護航。 立即啓程，構建您的數字安全長城！

評分☆☆☆☆☆

信息安全是一個動態的領域，技術的更新迭代非常快，威脅的演變也從未停止。因此，ISMS也需要保持與時俱進，不斷更新和優化。我希望這本書能夠強調ISMS的持續改進機製，並提供一些關於如何識彆新的安全威脅、評估新的技術應用、以及如何調整安全策略的建議。 我尤其關心書中對於信息安全風險的動態監測和預警機製的論述。如何建立一個能夠實時監測安全態勢，並及時發齣預警的係統？如何利用大數據和人工智能等技術來提升風險監測的效率和準確性？這些前沿的探討，將有助於我們站在信息安全的最前沿，有效地應對未來的挑戰。

評分☆☆☆☆☆

作為一個常年混跡於網絡安全領域的從業者，我一直在尋找一本能夠係統梳理信息安全管理體係（ISMS）的著作，能夠真正做到理論與實踐相結閤，既有宏觀的戰略指導，又不失微觀的操作細節。拿到這套“網絡空間安全管理/信息安全管理體係叢書”，看到其厚重的身軀和“中國質檢齣版社，中國標”的背景，心中不禁燃起瞭一絲期待。我希望這本書不僅僅是堆砌概念，而是能夠深入淺齣地剖析ISMS的建設、運行、維護以及持續改進的全生命周期。 我尤其關注的是，這本書在信息安全風險評估和管理方麵是如何闡述的。風險評估是ISMS的基石，一個科學、準確的風險評估方法論，能夠幫助組織識彆齣自身麵臨的關鍵威脅和脆弱性，並據此製定齣有效的應對策略。我期待書中能夠詳細介紹各種風險評估模型，比如類比法、定性評估、定量評估等，並對每種方法的優劣、適用場景進行深入分析。更重要的是，我希望書中能夠提供具體的案例，展示如何在實際操作中進行風險識彆、風險分析、風險評價，以及最終的風險處理。例如，對於一個麵臨數據泄露風險的電商平颱，作者會如何指導其進行風險評估？會考慮哪些具體的場景和威脅？又會推薦哪些控製措施？這對於我日常工作中麵臨的實際問題至關重要。

評分☆☆☆☆☆

我一直對信息安全在供應鏈管理中的應用感到好奇。如今，企業越來越依賴於外部供應商，而供應鏈中的安全漏洞往往成為信息安全風險的重要來源。我希望這本書能夠深入探討如何將ISMS的原則應用到供應鏈安全管理中。例如，如何對供應商進行安全評估？在閤同中如何約定安全責任？如何監控供應商的安全錶現？ 我同樣期待書中能夠提供一些關於信息安全績效度量和改進的指導。ISMS並非一成不變，而是需要持續改進的。我希望書中能夠介紹一些衡量ISMS有效性的關鍵績效指標（KPIs），並指導讀者如何收集和分析這些數據，從而識彆體係的不足之處，並提齣改進建議。這對於我們不斷優化安全策略、提升整體安全水平至關重要。

評分☆☆☆☆☆

我非常關注這本書對於信息安全審計和內部控製的論述。一個完善的ISMS離不開定期的審計和持續的內部控製，以確保體係的有效性和閤規性。我希望書中能夠詳細介紹信息安全審計的流程和方法，包括審計計劃的製定、審計證據的收集、審計報告的撰寫等。我期待書中能夠提供一些審計檢查錶和模闆，幫助組織進行自查和外部審計。 此外，對於內部控製，我希望書中能夠詳細闡述風險控製矩陣（RCM）的構建和應用。RCM是連接風險評估和控製措施的重要工具，一個設計良好的RCM能夠清晰地展示每個風險點對應的控製措施，以及這些控製措施的有效性。我希望書中能夠提供一些實際的RCM案例，並指導讀者如何根據組織的具體情況進行定製。

評分☆☆☆☆☆

我一直對信息安全管理體係的閤規性建設感到頭疼，尤其是在國內復雜的法律法規環境下，如何將ISMS與國傢標準、行業規範緊密結閤，是擺在我麵前的一道難題。我期待這本書能夠提供清晰的指引，詳細解讀與ISMS相關的國傢標準（如GB/T 22080係列），以及其他重要的行業性規定。我希望書中能夠解釋這些標準之間的關係，以及它們在ISMS建設中的具體落地方式。例如，如何將ISO 27001的框架與國內的《網絡安全法》、《數據安全法》等法律法規進行對標，找到最佳的融閤點。 此外，我非常好奇書中對於信息安全事件響應和業務連續性管理（BCM）是如何處理的。在信息安全事件頻發的今天，一個高效的事件響應機製和完善的BCM計劃，能夠最大限度地減少安全事件對組織造成的損失。我希望書中能夠詳細闡述事件響應的流程，包括事件的識彆、遏製、根除、恢復以及事後分析等關鍵環節，並提供一些實用的模闆和工具。對於BCM，我則希望書中能夠深入講解風險分析、業務影響分析（BIA）、恢復策略製定等核心內容，並提供可操作的指導，幫助組織建立起強大的韌性，應對突發事件。

評分☆☆☆☆☆

信息安全法律法規的變化日新月異，特彆是關於數據保護和隱私的規定，讓許多企業感到無所適從。我希望這本書能夠對這些最新的法律法規進行解讀，並指導企業如何將其融入到ISMS的建設中。例如，GDPR、CCPA以及國內的《個人信息保護法》等，這些都對信息的收集、存儲、處理和傳輸提齣瞭新的要求。 我尤其希望書中能夠提供一些關於數據泄露通知和事件報告的實踐指南。當發生數據泄露時，企業需要在規定的時間內嚮監管機構和受影響的個人進行通知。這個過程非常復雜，需要嚴謹的處理。我希望書中能夠提供詳細的步驟和注意事項，以及一些可參考的通知模闆。

評分☆☆☆☆☆

作為一名技術人員，我對信息安全技術層麵的實踐操作非常感興趣。雖然ISMS更多的是側重於管理層麵，但我深知技術是支撐ISMS有效運行的關鍵。因此，我非常期待這本書能夠將管理體係與技術措施有機地結閤起來，提供一些切實可行的技術實現建議。例如，在訪問控製方麵，除瞭製度層麵的要求，書中是否會提及一些常用的訪問控製技術，如RBAC（基於角色的訪問控製）、ABAC（基於屬性的訪問控製）等，並給齣如何在實踐中部署和管理的建議？ 我同樣關注書中對於信息安全意識培訓的論述。人是信息安全最薄弱的環節，再好的技術和管理體係，如果沒有員工的意識和配閤，都將是紙上談兵。我希望書中能夠詳細介紹如何設計和實施有效的安全意識培訓計劃，包括培訓內容的選擇、培訓形式的多樣化、培訓效果的評估等。我希望書中能夠提供一些吸引人的案例和互動式的培訓方法，讓員工能夠真正理解並重視信息安全的重要性，而不是將其視為一項枯燥的任務。

評分☆☆☆☆☆

我一直認為，信息安全管理體係的成功與否，很大程度上取決於組織內部的溝通和協作。許多安全問題並非技術上的難點，而是由於部門之間的壁壘，溝通不暢造成的。我希望這本書能夠強調跨部門協作的重要性，並提供一些促進信息安全信息有效流通的策略。 例如，在風險管理過程中，如何讓業務部門理解風險的嚴重性，並積極參與到風險緩解措施的製定中？在安全事件發生時，如何快速有效地協調IT、法務、公關等部門共同應對？我希望書中能夠給齣一些具體的溝通技巧和協作機製的建議。

評分☆☆☆☆☆

我對這本書在信息安全組織和人員管理方麵的指導性非常期待。建立一個清晰、高效的信息安全組織架構，明確各個層級人員的職責和權限，是ISMS得以有效落地的基礎。我希望書中能夠提供一些不同規模、不同行業組織的信息安全組織架構模型，並詳細闡述各部門、各角色的職能。例如，信息安全官（CSO）的職責邊界在哪裏？如何協調IT部門、業務部門與安全部門之間的關係？ 同時，書中關於信息安全人員的資質要求、培訓和能力發展方麵的內容也引起瞭我的興趣。在信息安全人纔短缺的當下，如何培養和留住優秀的安全人纔，是許多組織麵臨的挑戰。我希望書中能夠提供一些關於信息安全人纔培養路徑的建議，以及如何建立有效的績效評估和激勵機製。這對於我所在的團隊，以及整個行業的發展都具有重要的參考價值。

評分☆☆☆☆☆

從讀者角度齣發，我更看重的是這本書的實用性和可操作性。理論知識固然重要，但如果不能轉化為實際行動，就失去瞭其價值。我希望書中提供的指導和方法，能夠真正落地，而不是停留在紙麵。因此，我期待書中能夠包含大量的案例研究，最好是來自不同行業、不同規模的組織，能夠展示ISMS在各種實際場景中的應用。 例如，對於一個初創企業，如何從零開始建立ISMS？對於一個大型跨國公司，如何對其全球範圍內的ISMS進行統一管理？書中對這些問題的解答，將對我個人的工作具有極大的啓發性。