店铺推荐
【推荐语】
“十三五”国家重点出版物出版规划项目。书中记录所有发生的事件,可以为系统管理员提供系统维护以及安全防范的依据。介绍了信息安全审计风险、标准与法规,以及信息安全审计流程。
【内容】
当前信息安全受到全社会的关注,信息安全技术日益重要。信息安全审计以信息安全管理领域的相关标准和规范等为依据,并基于一系列的控制体系,可以有效地控制信息安全风险,提高安全性。本书重点介绍如何根据相关标准、法规进行合规性安全审计,以及如何对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、网络设备、安全设备等)进行安全审计,记录所有发生的事件,为系统管理员提供系统维护以及安全防范的依据。本书可作为信息安全、网络空间安全、信息管理与信息系统以及其他信息技术类专业的教材,同时也可以作为从事IT审计、信息安全审计工作的专业人员的参考书。
【目录】
前言
第1章信息安全审计概述
1.1信息安全现状分析
1.1.1信息安全现状
1.1.2信息系统面临的主要安全威胁
1.2信息安全目标与主要安全业务
1.2.1信息安全的目标
1.2.2主要安全业务
1.3信息系统安全设计
1.3.1信息系统设计
1.3.2信息系统的安全保护等级
1.3.3信息系统安全风险的分析与控制
1.4信息安全事件、审计及审计案例
1.4.1信息安全事件
1.4.2信息安全审计
1.4.3网上银行审计案例
1.5本章小结
习题1
第2章信息安全技术
2.1密码学
2.1.1密码学基础
2.1.2密码学主要技术
2.1.3国密算法
2.2网络安全技术
2.2.1网络安全协议
2.2.2网络攻击技术
2.2.3入侵检测技术
2.2.4VPN技术
2.2.5防病毒技术
2.2.6PKI技术
2.3信息系统安全
2.3.1信息系统安全基本概念
2.3.2信息系统安全威胁
2.3.3信息系统安全防范
2.4本章小结
习题2
第3章实体访问控制的审计
3.1IT组织与策略的审计
3.1.1IT组织结构审计
3.1.2审查IT战略规划流程
3.1.3审查技术和应用策略
3.1.4审查IT的业绩指标和衡量标准
3.1.5审查IT组织新项目及审批流程
3.1.6评估IT项目执行度及产品质量标准
3.1.7确保IT安全策略的存在
3.2实体级控件的风险与管理的审计
3.2.1审查和评估IT组织的风险评估流程
3.2.2审查和评估员工技能与知识流程
3.2.3审查和评估数据政策和流程
3.2.4审查和评估监管程序流程
3.2.5审查和评估用户满意度流程
3.2.6审查和评估管理第三方服务的程序
3.2.7审查和评估控制非员工逻辑访问的流程
3.2.8审查和评估确保公司遵守适用软件许可证的流程
3.3实体级控件相关的审计
3.3.1审查和评估对公司网络远程访问的控制
3.3.2审查和评估雇佣及解雇程序
3.3.3审查和评估硬件采购及流动程序
3.3.4审查和评估管理控制系统配置
3.3.5审查和评估审计媒体控制策略及程序
3.3.6核实公司政策和程序是否有效
3.3.7确定和审计其他实体级IT流程
3.4本章小结
习题3
第4章数据中心和灾备机制的审计
4.1数据中心的核心作用
4.2数据中心的审计过程
4.2.1数据中心的审计要点
4.2.2审计数据中心的测试步骤
4.2.3审计数据中心清单
4.3本章小结
习题
第5章路由器/防火墙的审计
5.1路由器/防火墙审计的必要性
5.1.1路由器审计的必要性
5.1.2防火墙审计的必要性
5.2路由器/防火墙的审计
5.2.1审计准备
5.2.2审计过程
5.3本章小结
习题5
第6章Web应用的审计
6.1审计主机操作系统
6.2审计Web服务器
6.2.1Web服务器的主要安全威胁
6.2.2审计Web服务器的过程
6.3审计Web应用
6.3.1Web应用的主要安全威胁
6.3.2审计Web应用的过程
6.4本章小结
习题6
第7章数据库与云存储的审计
7.1审计数据库
7.1.1数据库安全
7.1.2数据库安全审计要点
7.2审核云计算和外包运营
7.2.1IT系统和基础设施外包
7.2.2IT服务外包
7.3云储存的审计
7.3.1云储存审计的标准
7.3.2审核云计算和外包运营的测试步骤
7.4本章小结
习题7
第8章信息系统的审计
8.1信息系统开发原理
8.1.1信息系统概述
8.1.2信息系统开发的基本流程和规范
8.2信息系统安全机制
8.2.1身份认证
8.2.2访问控制
8.2.3消息认证技术
8.3信息系统安全审计
8.3.1信息安全审计
8.3.2信息安全审计流程及分析方法
8.4本章小结
习题8
第9章信息安全审计风险、标准和法规
9.1信息安全管理与风险评估
9.1.1信息安全管理与风险评估概述
9.1.2信息安全管理体系
9.1.3信息安全风险评估
9.2信息安全审计标准与法规
9.2.1信息安全审计标准
9.2.2ISO/IEC27001信息安全管理体系
9.2.3信息安全相关法律法规
9.3信息安全等级保护
9.3.1信息安全等级保护的等级划分与相关知识
9.3.2等保(等级保护)2
9.4本章小结
习题9
第10章信息安全审计流程
l0.1COSO
10.1.1内部控制及其关键概念
10.1.2内部控制整合框架
10.1.3企业风险管理整合框架
10.1.4COSO的影响
10.2信息及相关技术控制目标(COBIT)
10.2.1COBIT概念
10.2.2IT治理
10.2.3IT治理成熟度模型
10.2.4COBIT.COSO连接
10.3IT基础架构库(ITIL)
……
第1章信息安全审计概述
1.1信息安全现状分析
1.1.1信息安全现状
1.1.2信息系统面临的主要安全威胁
1.2信息安全目标与主要安全业务
1.2.1信息安全的目标
1.2.2主要安全业务
1.3信息系统安全设计
1.3.1信息系统设计
1.3.2信息系统的安全保护等级
1.3.3信息系统安全风险的分析与控制
1.4信息安全事件、审计及审计案例
1.4.1信息安全事件
1.4.2信息安全审计
1.4.3网上银行审计案例
1.5本章小结
习题1
第2章信息安全技术
2.1密码学
2.1.1密码学基础
2.1.2密码学主要技术
2.1.3国密算法
2.2网络安全技术
2.2.1网络安全协议
2.2.2网络攻击技术
2.2.3入侵检测技术
2.2.4VPN技术
2.2.5防病毒技术
2.2.6PKI技术
2.3信息系统安全
2.3.1信息系统安全基本概念
2.3.2信息系统安全威胁
2.3.3信息系统安全防范
2.4本章小结
习题2
第3章实体访问控制的审计
3.1IT组织与策略的审计
3.1.1IT组织结构审计
3.1.2审查IT战略规划流程
3.1.3审查技术和应用策略
3.1.4审查IT的业绩指标和衡量标准
3.1.5审查IT组织新项目及审批流程
3.1.6评估IT项目执行度及产品质量标准
3.1.7确保IT安全策略的存在
3.2实体级控件的风险与管理的审计
3.2.1审查和评估IT组织的风险评估流程
3.2.2审查和评估员工技能与知识流程
3.2.3审查和评估数据政策和流程
3.2.4审查和评估监管程序流程
3.2.5审查和评估用户满意度流程
3.2.6审查和评估管理第三方服务的程序
3.2.7审查和评估控制非员工逻辑访问的流程
3.2.8审查和评估确保公司遵守适用软件许可证的流程
3.3实体级控件相关的审计
3.3.1审查和评估对公司网络远程访问的控制
3.3.2审查和评估雇佣及解雇程序
3.3.3审查和评估硬件采购及流动程序
3.3.4审查和评估管理控制系统配置
3.3.5审查和评估审计媒体控制策略及程序
3.3.6核实公司政策和程序是否有效
3.3.7确定和审计其他实体级IT流程
3.4本章小结
习题3
第4章数据中心和灾备机制的审计
4.1数据中心的核心作用
4.2数据中心的审计过程
4.2.1数据中心的审计要点
4.2.2审计数据中心的测试步骤
4.2.3审计数据中心清单
4.3本章小结
习题
第5章路由器/防火墙的审计
5.1路由器/防火墙审计的必要性
5.1.1路由器审计的必要性
5.1.2防火墙审计的必要性
5.2路由器/防火墙的审计
5.2.1审计准备
5.2.2审计过程
5.3本章小结
习题5
第6章Web应用的审计
6.1审计主机操作系统
6.2审计Web服务器
6.2.1Web服务器的主要安全威胁
6.2.2审计Web服务器的过程
6.3审计Web应用
6.3.1Web应用的主要安全威胁
6.3.2审计Web应用的过程
6.4本章小结
习题6
第7章数据库与云存储的审计
7.1审计数据库
7.1.1数据库安全
7.1.2数据库安全审计要点
7.2审核云计算和外包运营
7.2.1IT系统和基础设施外包
7.2.2IT服务外包
7.3云储存的审计
7.3.1云储存审计的标准
7.3.2审核云计算和外包运营的测试步骤
7.4本章小结
习题7
第8章信息系统的审计
8.1信息系统开发原理
8.1.1信息系统概述
8.1.2信息系统开发的基本流程和规范
8.2信息系统安全机制
8.2.1身份认证
8.2.2访问控制
8.2.3消息认证技术
8.3信息系统安全审计
8.3.1信息安全审计
8.3.2信息安全审计流程及分析方法
8.4本章小结
习题8
第9章信息安全审计风险、标准和法规
9.1信息安全管理与风险评估
9.1.1信息安全管理与风险评估概述
9.1.2信息安全管理体系
9.1.3信息安全风险评估
9.2信息安全审计标准与法规
9.2.1信息安全审计标准
9.2.2ISO/IEC27001信息安全管理体系
9.2.3信息安全相关法律法规
9.3信息安全等级保护
9.3.1信息安全等级保护的等级划分与相关知识
9.3.2等保(等级保护)2
9.4本章小结
习题9
第10章信息安全审计流程
l0.1COSO
10.1.1内部控制及其关键概念
10.1.2内部控制整合框架
10.1.3企业风险管理整合框架
10.1.4COSO的影响
10.2信息及相关技术控制目标(COBIT)
10.2.1COBIT概念
10.2.2IT治理
10.2.3IT治理成熟度模型
10.2.4COBIT.COSO连接
10.3IT基础架构库(ITIL)
……
