网络空间安全管理/信息安全管理体系丛书 9787506685146 中国质检出版社，中国标 pdf epub mobi txt 电子书 下载 2025

简体网页||繁体网页

☆☆☆☆☆

谢宗晓，甄杰，董坤祥 著

图书标签:

• 网络安全
• 信息安全
• 管理体系
• 信息安全管理
• 网络空间安全
• 标准
• 中国标准
• 质检出版社
• 安全管理
• 信息技术

店铺： 晚秋画月图书专营店

出版社： 中国质检出版社 ，

ISBN：9787506685146

商品编码：28036044224

包装：平装

出版时间：2017-02-01

基本信息

书名：网络空间安全管理/信息安全管理体系丛书

定价：39.00元

作者：谢宗晓,甄杰,董坤祥

出版社：中国质检出版社，中国标准出版社

出版日期：2017-02-01

ISBN：9787506685146

字数：

页码：171

版次：1

装帧：平装

开本：16开

商品重量：0.4kg

编辑推荐

---

内容提要

---

信息安全存在并作用于自然空间、社会空间和网络空间三重空间中。信息自身的安全存在于所有三重空间中，信息系统安全存在于社会空间和网络空间二重空间中，网络空间安全包括网络空间中的信息自身安全、网络信息系统和网络基础设施安全，以及虚拟自然空间、虚拟社会空间的结构和运行安全。网络空间安全的引致安全会从网络空间扩散到社会空间以及自然空间。
　　网络攻击、无人机的应用，使得网络战、信息战成为新升级的战争模式，致使信息自身的安全直接影响生命、财产安全，乃至国防安全；地震预报信息、谣言等直接影响民众情绪和公共秩序与安全；信息系统深度嵌入业务系统，金融信息系统不安全，会导致银行系统崩溃，引致财产安全和社会混乱；交通信息系统故障，会导致交通事故，引致生命、财产安全；电网信息系统问题，会形成能源事故，引致社会运行瘫痪。所以网络空间中存在安全问题，网络安全的引致安全也会渗透到社会空间中。

目录

---

篇 网络空间安全概念
1 网络空间安全及相关词汇
1．1 什么是网络空间
1．2 网络空间安全的定义
1．2．1 ISO/IEC27032：2012的定义
1．2．2 ITU-TX．1 205中的定义
1．3 同时期使用的不同范畴的词汇
1．3．1 信息系统安全、信息安全和网络空间安全
1．3．2 数据安全、信息安全和知识安全
1．4 不同时期出现的同义指代词汇
1．4．1 通信安全、计算机安全和网络安全
1．4．2 引申：信息安全的定义
1．4．3 引申：翻译导致的三种网络安全
2 界定网络空间安全管理
2．1 相关领域
2．1．1 隐私管理与信息安全管理
2．1．2 保密管理与信息安全管理
2．1．3 网络空间安全管理
2．2 小结及本书词汇使用约定
2．2．1 几个重要结论
2．2．2 补充：网络与信息安全

第二篇 网络空间安全方法
3 网络空间安全管理框架
3．1 识别（Identify/ID）
3．1．1 资产管理（ID．AM）
3．1．2 业务环境（ID．BE）
3．1．3 治理（ID．GV）
3．1．4 风险评估（ID．RA）
3．1．5 风险管理战略（ID．RM）
3．2 保护（Protect/PR）
3．2．1 访问控制（PR．AC）
3．2．2 意识与培训（PR．AT）
3．2．3 数据安全（PR．DS）
3．2．4 信息保护过程与规程（PR．IP）
3．2．5 维护（PR．MA）
3．2．6 保护技术（PR．PT）
3．3 探测（Detect/DE）
3．3．1 异常与事件（DE．AE）
3．3．2 安全持续监视（DE．CM）
3．3．3 探测过程（DE．DP）
3．4 响应（Respond/RS）
3．4．1 计划（RS．RP）
3．4．2 沟通（RS．CO）
3．4．3 分析（RS．AN）
3．4．4 减缓（RS．MI）
3．4．5 改进（RS．IM）
3．5 恢复（Recover/RC）
3．5．1 计划（RC．RP）
3．5．2 改进（RC．IM）
3．5．3 沟通（RC．CO）

第三篇 网络空间安全实践
4 建立网络空间安全规程
4．1 优先级与范围
4．2 确定方向
4．3 建立当前轮廓
4．4 实施风险评估
4．5 建立目标轮廓

附加篇 深入阅读
参考文献

作者介绍

---

文摘

---

序言

---

★本丛书从ISMS的基础信息安全风险管理开始讨论，从不同领域、多个侧面，对ISMS相关知识进行了细致的介绍和阐述，有理论，更有实践，包括ISMS的审核指南、应用方法、业务连续性管理以及在重点行业的应用实例，很有特色。
　　——中国工程院院士 蔡吉人
　　
　　★信息安全是维护国家安全、保持社会稳定、关系长远利益的关键组成部分，本丛书中各种典型的案例、针对各种网络安全问题的应对措施，为组织提供一个完整的业务不间断计划，能为组织业务的正常运行起到保驾护航的作用。
　　——中国工程院院士 周仲义

数字时代的守护者：构建坚不可摧的网络空间安全防线 在信息技术飞速发展的今天，网络空间已成为人类社会运行的重要支撑。从国家关键基础设施到企业运营命脉，再到个人生活点滴，无不与网络紧密相连。然而，伴随而来的网络安全挑战也日益严峻，网络攻击、数据泄露、隐私侵犯等事件层出不穷，对个人、组织乃至国家安全构成了前所未有的威胁。 本书，《网络空间安全管理/信息安全管理体系丛书》，旨在为广大学者、从业者以及所有关心网络安全的人士，提供一套系统、全面、实用的网络空间安全管理与信息安全管理体系的深度解析与实践指导。我们并非简单罗列技术工具或零散的安全措施，而是致力于揭示安全管理的本质，引导读者构建起一套可持续、可量化的安全管理体系，从而在瞬息万变的数字环境中，构筑起坚不可摧的数字屏障。 为何我们需要如此详尽的网络空间安全管理？ 传统意义上的“安全”往往局限于物理边界的保护，而网络空间的出现打破了这一概念。信息在网络中流动、存储、处理，其边界是模糊的，攻击的入口是多元的。一次成功的网络攻击，可能导致核心数据的丢失，商业秘密的泄露，生产系统的瘫痪，甚至国家战略的受损。因此，网络空间安全不再仅仅是技术部门的责任，它已经上升为企业战略、国家安全乃至社会文明的基石。 本书将带领读者深入理解网络空间安全的核心要素，从宏观的战略规划到微观的执行落地，层层递进，全面覆盖。 一、 洞察网络安全威胁的本质与演变 在着手构建安全体系之前，我们必须深刻理解我们所面对的敌人——网络威胁。本书将深入剖析各类网络安全威胁的最新发展趋势，包括但不限于： 新型恶意软件与勒索软件的演化： 探究其隐蔽性、传播方式、攻击模式以及防御策略的不断更新。 高级持续性威胁（APT）的隐匿与破坏： 分析APT攻击的组织性、长期性、以及其对关键信息基础设施的精准打击。 零日漏洞的利用与防范： 揭示未知漏洞的杀伤力，以及如何通过多层次的检测与响应机制来应对。 社会工程学与人类弱点的攻破： 强调信息安全不仅仅是技术问题，更是人的问题，深入剖析钓鱼、欺骗等攻击方式的心理学原理。 供应链安全风险的蔓延： 解析第三方软件、硬件和服务带来的潜在安全隐患，以及如何进行有效的供应商风险评估与管理。 数据泄露的根源与代价： 从技术、流程、人为等多个维度分析数据泄露发生的原因，以及其对企业声誉、经济效益和法律合规带来的毁灭性打击。 新兴技术带来的安全挑战： 关注物联网（IoT）、人工智能（AI）、云计算、5G等新技术在带来便利的同时，所催生的新型安全风险。 二、 构筑坚实的信息安全管理体系（ISMS） 仅仅了解威胁是不够的，我们需要一套科学、系统的管理体系来支撑我们的安全实践。本书将以国际公认的《信息安全管理体系》（ISMS）标准为基础，进行详细阐述和解读，帮助读者建立一套符合自身需求的、可落地的安全管理框架。 ISMS的战略意义与价值： 明确ISMS不仅是合规要求，更是提升组织核心竞争力的重要手段，能够帮助组织更好地管理风险，保护资产，维护业务连续性。 建立ISMS的完整流程： 从体系的规划、设计、实施、运行、评审到持续改进，提供全流程的指导，确保ISMS能够真正发挥作用。 风险评估与管理的核心地位： 详细讲解风险识别、分析、评估、处理和监控的科学方法，指导读者量化风险，优先应对高风险项。 安全策略与程序的制定： 引导读者根据风险评估结果，制定切实可行的安全策略、标准和操作规程，涵盖访问控制、数据加密、事件响应、业务连续性计划等关键领域。 组织内部的安全意识与培训： 强调“人”作为安全链条中最薄弱环节，如何通过持续、有效的安全意识教育和专业培训，提升全体员工的安全素养。 信息安全技术与管理手段的融合： 探讨如何在ISMS的框架下，科学选择和部署防火墙、入侵检测/防御系统、杀毒软件、身份认证、数据备份与恢复等技术工具，实现技术与管理的最佳结合。 信息安全审计与合规性： 讲解如何进行内部和外部安全审计，确保ISMS的有效运行，并满足相关法律法规和行业标准的要求。 持续改进的机制： 强调安全管理是一个动态的过程，通过定期的评审和反馈，不断优化ISMS，以适应不断变化的安全威胁和业务需求。 三、 网络空间安全管理：从信息安全到整体防御 网络空间安全的概念远比信息安全更加广阔，它涵盖了更广泛的层面，包括物理安全、人员安全、操作安全、应用安全、数据安全，乃至国家层面的网络主权和信息对抗。本书将在此基础上，进一步拓展和深化： 关键信息基础设施（CII）保护： 深入分析电力、金融、交通、通信等关键领域的安全防护策略，以及国家层面的CII保护框架。 数据安全与隐私保护的法律法规解读： 详细阐述GDPR、CCPA、以及国内相关的数据保护法律法规，指导企业如何合法合规地处理和保护用户数据。 云安全： 探讨云计算环境下的安全挑战，包括数据隔离、访问控制、安全配置、以及云服务商的责任划分。 移动安全： 面对移动设备的普及，如何保障移动应用、移动终端及移动通信的安全。 物联网（IoT）安全： 分析海量物联网设备带来的安全风险，以及如何建立端到端的IoT安全防护体系。 安全事件的响应与处置： 建立一套完善的安全事件响应流程，包括事件的发现、报告、分析、遏制、根除、恢复和事后总结，最大程度地减少事件损失。 业务连续性与灾难恢复（BC/DR）： 制定详细的BC/DR计划，确保在发生重大安全事件或自然灾害时，核心业务能够快速恢复，降低业务中断的风险。 网络安全态势感知与威胁情报： 引入先进的安全态势感知技术，利用威胁情报，主动发现和预测潜在的安全威胁。 网络安全攻防技术前沿： 适度介绍当前网络攻防领域的热点技术和发展方向，帮助读者理解攻击者的思维，从而更好地进行防御。 四、 实践中的挑战与机遇 理论知识的学习终将落脚于实践。本书并非高高在上的理论说教，而是力求贴近实际工作，分析在信息安全管理体系建设和网络空间安全实践中可能遇到的各种挑战，并提供可行的解决方案。 资源有限情况下的安全投入优化： 如何在预算、人员、技术等资源有限的情况下，最大化安全投入的效益。 组织变革中的安全文化建设： 如何克服员工抵触情绪，将安全意识融入企业文化，形成全员参与的安全氛围。 技术更新迭代与安全体系的适应性： 如何保持安全体系的敏捷性，应对快速变化的技术环境和新的安全威胁。 第三方合作与供应链安全管理： 如何有效管理合作伙伴和供应商的安全风险，确保整个价值链的安全。 合规性要求与实际操作的平衡： 如何在满足日益严格的合规性要求的同时，确保安全措施的实用性和有效性。 本书的读者对象： 本书适合以下各类人群阅读： 信息安全从业人员： 包括安全经理、安全工程师、风险评估师、审计师等。 IT管理人员： 包括CIO、CTO、IT总监、系统管理员等，他们需要全面理解信息安全在IT架构中的作用。 企业高层管理者： 包括CEO、COO、CFO等，他们需要了解信息安全对企业战略、品牌声誉和业务连续性的重要影响。 政府部门及公共事业机构相关人员： 负责国家关键信息基础设施保护、网络安全治理的决策者和执行者。 高校师生： 对网络空间安全和信息安全管理感兴趣的研究者和学习者。 对网络安全有浓厚兴趣的个人： 希望提升自身在数字时代的安全意识和防护能力。 结语 网络空间安全管理并非一劳永逸的终点，而是一个持续演进、不断迭代的动态过程。本书将为您提供一把开启安全管理之门的钥匙，帮助您构建起一套全面、系统、可信赖的信息安全管理体系，成为数字时代的坚实守护者。我们相信，通过深入的学习和不懈的实践，您将能够有效应对层出不穷的网络安全威胁，为个人、组织乃至国家的数字未来保驾护航。 立即启程，构建您的数字安全长城！

评分☆☆☆☆☆

我一直对信息安全在供应链管理中的应用感到好奇。如今，企业越来越依赖于外部供应商，而供应链中的安全漏洞往往成为信息安全风险的重要来源。我希望这本书能够深入探讨如何将ISMS的原则应用到供应链安全管理中。例如，如何对供应商进行安全评估？在合同中如何约定安全责任？如何监控供应商的安全表现？ 我同样期待书中能够提供一些关于信息安全绩效度量和改进的指导。ISMS并非一成不变，而是需要持续改进的。我希望书中能够介绍一些衡量ISMS有效性的关键绩效指标（KPIs），并指导读者如何收集和分析这些数据，从而识别体系的不足之处，并提出改进建议。这对于我们不断优化安全策略、提升整体安全水平至关重要。

评分☆☆☆☆☆

我非常关注这本书对于信息安全审计和内部控制的论述。一个完善的ISMS离不开定期的审计和持续的内部控制，以确保体系的有效性和合规性。我希望书中能够详细介绍信息安全审计的流程和方法，包括审计计划的制定、审计证据的收集、审计报告的撰写等。我期待书中能够提供一些审计检查表和模板，帮助组织进行自查和外部审计。 此外，对于内部控制，我希望书中能够详细阐述风险控制矩阵（RCM）的构建和应用。RCM是连接风险评估和控制措施的重要工具，一个设计良好的RCM能够清晰地展示每个风险点对应的控制措施，以及这些控制措施的有效性。我希望书中能够提供一些实际的RCM案例，并指导读者如何根据组织的具体情况进行定制。

评分☆☆☆☆☆

我一直认为，信息安全管理体系的成功与否，很大程度上取决于组织内部的沟通和协作。许多安全问题并非技术上的难点，而是由于部门之间的壁垒，沟通不畅造成的。我希望这本书能够强调跨部门协作的重要性，并提供一些促进信息安全信息有效流通的策略。 例如，在风险管理过程中，如何让业务部门理解风险的严重性，并积极参与到风险缓解措施的制定中？在安全事件发生时，如何快速有效地协调IT、法务、公关等部门共同应对？我希望书中能够给出一些具体的沟通技巧和协作机制的建议。

评分☆☆☆☆☆

作为一个常年混迹于网络安全领域的从业者，我一直在寻找一本能够系统梳理信息安全管理体系（ISMS）的著作，能够真正做到理论与实践相结合，既有宏观的战略指导，又不失微观的操作细节。拿到这套“网络空间安全管理/信息安全管理体系丛书”，看到其厚重的身躯和“中国质检出版社，中国标”的背景，心中不禁燃起了一丝期待。我希望这本书不仅仅是堆砌概念，而是能够深入浅出地剖析ISMS的建设、运行、维护以及持续改进的全生命周期。 我尤其关注的是，这本书在信息安全风险评估和管理方面是如何阐述的。风险评估是ISMS的基石，一个科学、准确的风险评估方法论，能够帮助组织识别出自身面临的关键威胁和脆弱性，并据此制定出有效的应对策略。我期待书中能够详细介绍各种风险评估模型，比如类比法、定性评估、定量评估等，并对每种方法的优劣、适用场景进行深入分析。更重要的是，我希望书中能够提供具体的案例，展示如何在实际操作中进行风险识别、风险分析、风险评价，以及最终的风险处理。例如，对于一个面临数据泄露风险的电商平台，作者会如何指导其进行风险评估？会考虑哪些具体的场景和威胁？又会推荐哪些控制措施？这对于我日常工作中面临的实际问题至关重要。

评分☆☆☆☆☆

作为一名技术人员，我对信息安全技术层面的实践操作非常感兴趣。虽然ISMS更多的是侧重于管理层面，但我深知技术是支撑ISMS有效运行的关键。因此，我非常期待这本书能够将管理体系与技术措施有机地结合起来，提供一些切实可行的技术实现建议。例如，在访问控制方面，除了制度层面的要求，书中是否会提及一些常用的访问控制技术，如RBAC（基于角色的访问控制）、ABAC（基于属性的访问控制）等，并给出如何在实践中部署和管理的建议？ 我同样关注书中对于信息安全意识培训的论述。人是信息安全最薄弱的环节，再好的技术和管理体系，如果没有员工的意识和配合，都将是纸上谈兵。我希望书中能够详细介绍如何设计和实施有效的安全意识培训计划，包括培训内容的选择、培训形式的多样化、培训效果的评估等。我希望书中能够提供一些吸引人的案例和互动式的培训方法，让员工能够真正理解并重视信息安全的重要性，而不是将其视为一项枯燥的任务。

评分☆☆☆☆☆

我一直对信息安全管理体系的合规性建设感到头疼，尤其是在国内复杂的法律法规环境下，如何将ISMS与国家标准、行业规范紧密结合，是摆在我面前的一道难题。我期待这本书能够提供清晰的指引，详细解读与ISMS相关的国家标准（如GB/T 22080系列），以及其他重要的行业性规定。我希望书中能够解释这些标准之间的关系，以及它们在ISMS建设中的具体落地方式。例如，如何将ISO 27001的框架与国内的《网络安全法》、《数据安全法》等法律法规进行对标，找到最佳的融合点。 此外，我非常好奇书中对于信息安全事件响应和业务连续性管理（BCM）是如何处理的。在信息安全事件频发的今天，一个高效的事件响应机制和完善的BCM计划，能够最大限度地减少安全事件对组织造成的损失。我希望书中能够详细阐述事件响应的流程，包括事件的识别、遏制、根除、恢复以及事后分析等关键环节，并提供一些实用的模板和工具。对于BCM，我则希望书中能够深入讲解风险分析、业务影响分析（BIA）、恢复策略制定等核心内容，并提供可操作的指导，帮助组织建立起强大的韧性，应对突发事件。

评分☆☆☆☆☆

信息安全是一个动态的领域，技术的更新迭代非常快，威胁的演变也从未停止。因此，ISMS也需要保持与时俱进，不断更新和优化。我希望这本书能够强调ISMS的持续改进机制，并提供一些关于如何识别新的安全威胁、评估新的技术应用、以及如何调整安全策略的建议。 我尤其关心书中对于信息安全风险的动态监测和预警机制的论述。如何建立一个能够实时监测安全态势，并及时发出预警的系统？如何利用大数据和人工智能等技术来提升风险监测的效率和准确性？这些前沿的探讨，将有助于我们站在信息安全的最前沿，有效地应对未来的挑战。

评分☆☆☆☆☆

从读者角度出发，我更看重的是这本书的实用性和可操作性。理论知识固然重要，但如果不能转化为实际行动，就失去了其价值。我希望书中提供的指导和方法，能够真正落地，而不是停留在纸面。因此，我期待书中能够包含大量的案例研究，最好是来自不同行业、不同规模的组织，能够展示ISMS在各种实际场景中的应用。 例如，对于一个初创企业，如何从零开始建立ISMS？对于一个大型跨国公司，如何对其全球范围内的ISMS进行统一管理？书中对这些问题的解答，将对我个人的工作具有极大的启发性。

评分☆☆☆☆☆

信息安全法律法规的变化日新月异，特别是关于数据保护和隐私的规定，让许多企业感到无所适从。我希望这本书能够对这些最新的法律法规进行解读，并指导企业如何将其融入到ISMS的建设中。例如，GDPR、CCPA以及国内的《个人信息保护法》等，这些都对信息的收集、存储、处理和传输提出了新的要求。 我尤其希望书中能够提供一些关于数据泄露通知和事件报告的实践指南。当发生数据泄露时，企业需要在规定的时间内向监管机构和受影响的个人进行通知。这个过程非常复杂，需要严谨的处理。我希望书中能够提供详细的步骤和注意事项，以及一些可参考的通知模板。

评分☆☆☆☆☆

我对这本书在信息安全组织和人员管理方面的指导性非常期待。建立一个清晰、高效的信息安全组织架构，明确各个层级人员的职责和权限，是ISMS得以有效落地的基础。我希望书中能够提供一些不同规模、不同行业组织的信息安全组织架构模型，并详细阐述各部门、各角色的职能。例如，信息安全官（CSO）的职责边界在哪里？如何协调IT部门、业务部门与安全部门之间的关系？ 同时，书中关于信息安全人员的资质要求、培训和能力发展方面的内容也引起了我的兴趣。在信息安全人才短缺的当下，如何培养和留住优秀的安全人才，是许多组织面临的挑战。我希望书中能够提供一些关于信息安全人才培养路径的建议，以及如何建立有效的绩效评估和激励机制。这对于我所在的团队，以及整个行业的发展都具有重要的参考价值。