本书强调管理手段对信息系统安全的重要性，分析安全技术与安全管理的互动，突出信息管理对安全技术提出的需求及安全技术对信息管理的影响，并把软件工程中的软件生命周期的概念引入信息系统安全领域，从开发过程管理的角度提高安全措施的可信性。为了更有效地将这些管理问题纳入信息系统的设计考虑之中，本书把“机构组织结构”(Enterprise Architecture)的概念引入信息系统安全开发过程中。此外，本书也把“信息系统的安全开发生命周期”的概念引用到我们的信息系统安全构建方法中，以确保信息系统的设计可以在最早阶段便开始考虑信息安全的问题，分析信息系统的安全需求及实施相应的安全保护措施。

本书作为全国普通高等教育“十一五”国家级规划教材，内容包括信息系统安全基本概念、信息系统安全体系、信息系统安全管理目标、信息系统安全需求、风险管理与控制、风险评估与分析、信息系统安全技术、信息安全标准与法律法规。本书结合目前信息系统安全的教学研究和实践需要，以网上银行系统为例，介绍了安全信息系统具体实现的过程；此外，本书也介绍了比较新颖的责任追究技术，以及在信息系统安全研究领域中引入“机构组织结构”(Enterprise Architecture)和“信息系统的安全开发生命周期”(Security Considerations in the Information System Development Life Cycle)等与信息管理相关的概念。

本书强调管理手段对信息系统安全的重要性，分析安全技术与安全管理的互动，突出信息管理对安全技术提出的需求及安全技术对信息管理的影响，并把软件工程中的软件生命周期的概念引入信息系统安全领域，从开发过程管理的角度提高安全措施的可信性。

书着重从实践的角度，对信息系统安全概念、信息系统需求、信息系统的设计(包括安全技术应用和安全管理两方面)、信息系统的实践作概况性介绍，同时尽量采用当前国际信息安全研究领域的最新成果和研究方向，便于读者能够了解信息安全研究的最新动态。

本书主要供计算机专业和信息系统管理专业的本科生和研究生作为信息安全课程的教材使用。同时，本书也适合信息安全管理人员作为在信息系统开发过程中使用。希望读者在阅读本书时，能从管理与实践的角度，重新认识和理解信息安全的概念。

第1部分 信息系统安全概论

第1章 信息系统安全概述

 1.1 信息安全简介

1.1.1 信息化与信息系统的发展情况

1.1.2 信息系统安全的发展

1.1.3 安全需求的来源

1.1.4 信息系统安全问题的困境

 1.2 信息系统安全基本概念

1.2.1 信息安全的相关概念

1.2.2 信息系统概述

1.2.3 大型网络信息系统的安全挑战

 1.3 信息系统安全体系概述

1.3.1 信息系统安全体系

1.3.2 信息系统安全技术体系

1.3.3 信息系统安全管理体系

1.3.4 信息系统安全标准体系

1.3.5 信息系统安全法律法规

 1.4 小结

第2部分 信息系统安全需求

第2章 信息系统安全的管理目标

 2.1 管理目标概述

2.1.1 政策需要

2.1.2 业务需要

 2.2 信息系统安全需求的依据

2.2.1 国家法律

2.2.2 机构政策

2.2.3 业务策略

2.2.4 责任追究

 2.3 小结

第3章 信息系统安全需求分析

 3.1 系统安全需求

 3.2 安全信息系统的构建过程

3.2.1 安全信息系统构建基础与目标

3.2.2 机构体系结构

3.2.3 安全信息系统开发概述

 3.3 小结

第3部分 信息系统安全管理

第4章 信息系统安全管理概述

 4.1 信息系统安全管理概述

4.1.1 信息系统安全管理

4.1.2 信息系统安全管理标准

4.1.3 信息系统安全法规

4.1.4 信息系统安全组织保障

 4.2 信息系统安全管理体系

4.2.1 信息系统安全管理理论

4.2.2 信息系统安全管理的基础模型

4.2.3 信息系统安全管理过程

4.2.4 信息系统安全管理体系的建立

 4.3 小结

第5章 信息系统安全风险管理与控制

 5.1 信息系统的安全缺陷与限制

 5.2 信息系统安全风险管理

5.2.1 风险管理与风险评估的概念

5.2.2 风险管理与风险评估的基本要素

 5.3 风险管理

 5.4 信息安全风险控制手段

 5.5 小结

第6章 信息安全风险分析与评估

 6.1 信息安全风险评估

6.1.1 风险评估的模式

6.1.2 风险评估过程

 ……

第7章 信息系统安全管理措施

第4部分 信息系统安全技术

第8章 信息安全技术概述

第9章 信息安全法律法规

第10章 密码技术的应用与安全协议

第11章 安全检测与审计

第5部分 信息系统安全标准规范与法律法规

第12章 责任追究技术

第13章 信息安全标准体系

第14章 信息安全法律法规

第6部分 信息系统安全实践

第15章 安全信息系统的开发

第16章 网上银行系统安全设计

附录A 信息系统安全相关国内标准和指南

附录B 信息系统安全开发生命周期中的安全考虑

缩略语

参考文献