第部分 簡介

第 信息安全管理簡介

作為全書的起始，本章為理解信息安全奠定了基礎，揭示了信息技術的重要性并指出誰應該負責保護機構的重要信息。讀者可在本章中了解信息安全的定義和重要特點，以及信息安全管理與普通管理的區別。

第部分 計劃

第 安全計劃

本章闡明了計劃的重要性，并講述了組織計劃和信息安全系統實施計劃的主要內容。 

應急計劃

本章講述了應急計劃的必要性，形象地介紹了怎樣根據業務影響分析建立一系列簡單的應急計劃，以及怎樣測試這些計劃。

第部分 策略和項目

第 安全策略

本章定義了信息安全策略，并講述了它在一個成功的信息安全項目中的中心地位。研究表明，有類主要的信息安全策略；本章解釋了每一類安全策略的內容，并對怎樣開發、實施和維護各種類型的信息安全策略做了示范。

第 制定安全項圈

本章探索了信息安全的各種不同組織方法，并且闡述了信息安全項目的各個功能組件。讀者將學習怎樣按照機構的規模去規劃和配置機構的信息安全部門人員，也將學習怎樣評估影響機構及其活動的內外部因素。本章也鑒別和描述典型的工作職務，并且闡述了它們在信息安全計劃中所扮演的角色。最后，講述安全教育、培訓和意識提升項目的設立和管理。

第 安全管理模型與實踐

本章介紹了幾個主要的信息安全管理模型的組件（包括經美國政府同意的模型），還討論了怎樣實現這些模型以適應某個具體機構的需求。讀者將學習怎樣實現信息安全管理關鍵操作的基本要素，并理鰓美國聯邦IT系統認證和鑒定中出現的新趨勢。

附錄-NIST SP 800-26，信息技術系統的安全性自我評估指南，人工防火墻委員會安全管理索引概覽。

根據美國國家標準與技術研究院( NIST)文檔和人工防火墻委員會安全管理索引，本附錄介紹了基本的安全管理模型。

第部分 保護機制

第 風險評估

本章定義了風險管理及其在機構中的作用，描述了怎樣使用風險管理技術以鑒別信息資產的風險因素，并對其按重要性次序進行區分。風險管理模型根據不利事件的可能性及其發生時對信息資產的影響對風險進行評估。最后，簡單討論了怎樣記錄風險鑒別的結果。 

風險管理和控制

本章介紹了基本的風險緩解策略選擇，并對如何控制風險進行了討論，包括鑒別風險控制分類，使用已有的概念框架對風險控制進行評估，并提出了成本效益分析法。讀者將學習怎樣實施和堅持風險控制。除了在本章前面部分介紹的方法外，還介紹了OCTAVE風險管理方法。

第 保護機制

本章通過介紹訪問控制方法，向讀者展示了技術上的風險控制方法：包括認證、授權以及使用生物特征測量的訪問控制；定義并識別防火墻和常用的防火墻實施方法；另外，該章還涉及了撥號訪問、入侵檢測系統和密碼學等技術控制方法。

第部分 人與項目

第10 員工與安全

本章進一步闡述了第章介紹的信息安全職位的要求和技術。探討各種信息安全專業認證，以及每種認證包含的具體技巧。在本章后半部分，探討了在機構人力資源配置方面對信息安全約束條件的實施狀況，機構用這些約束來控制員工的行為，防止對信息的誤用。

第11 法律和道德

在本章中，讀者將了解到與信息安全相關的法律環境以及它們之間的關系。這一章講述影響信息安全實施的主要國內國際法，以及文化在信息安全道德規范中所起的作用。

第12 安全項圈管理

最后一章覆蓋了信息安全領域里的項目管理，提供了基本的項目管理技術，還介紹了如何把項目管理原則應用到信息安全計劃中。