薛丽敏,女，1968年生，海军指挥学院信息系信息安全研究室副教授，一直从事机要技术和装备、网络工程和信息安全等教学科研工作，教学科研骨干，军事学硕士生导师，信息安全方向学科带头人。2013年获海军密码干部“贡献奖”优选个人。2015年《信息安全原理与工程》获海军很好教学成果奖（排名1）、学院很好课程（排名1）。在《海军学术研究》、《信息网络安全》等核心期刊相关发表论文数十篇，主编参编《信息安全保障理论与技术》、《铸造信息网络安全之盾》等专著、教材多部。

目 录章信息安全管理概述1.1信息安全管理产生的背景1.1.1信息与信息安全1.1.2信息安全管理产生的时代背景1.2信息安全管理的内涵1.2.1信息安全管理的内涵1.2.2信息安全管理的特征1.2.3信息安全管理的本质1.2.4信息安全管理的目的意义1.3信息安全管理研究对象1.3.1信息安全管理的研究内容1.3.2信息安全管理的基本原理1.4信息安全管理现状1.4.1国内信息安全管理现状1.4.2国外信息安全管理现状第2章 信息安全管理体系2.1信息安全管理体系概述2.1.1信息安全管理体系的内涵2.1.2 PDCA循环2.2 BS7799信息安全管理体系2.2.1 BS7799的产生与发展2.2.2 BS7799的目的2.2.3 BS7799的内容2.2.4 BS7799的模式2.2.5 BS7799的建立2.2.6 BS7799的认证2.3 SSE-CMM信息安全管理体系2.3.1 SSE-CMM概述2.3.2 SSE-CMM体系结构2.3.3SSE-CMM应用第3章 信息安全风险管理3.1信息安全风险管理概述3.1.1风险和信息安全风险3.1.2信息安全风险的相关要素3.1.3信息安全风险管理3.2信息安全风险要素的识别与分析3.2.1资产的识别与分析3.2.2威胁的识别与分析3.2.3薄弱点的识别与分析3.3信息安全风险评估3.3.1风险评估的方法3.3.2风险评估的过程3.3.3自我安全评估3.3.4风险评估的算法3.4信息安全风险控制3.4.1风险控制的基本原则3.4.2风险控制的具体措施3.4.3降低风险3.4.4接受风险3.4.5持续性控制风险第4章 组织与人员管理4.1信息安全组织4.1.1安全组织4.1.2安全职能4.2人员安全管理4.2.1人员安全审查4.2.2岗位安全考核4.2.3人员安全培训4.2.4安全保密契约管理4.2.5离岗人员安全管理第5章 软件安全管理5.1软件安全管理概述5.1.1软件安全和网络安全5.1.2影响软件安全的因素5.1.3软件安全管理的措施5.2软件的选型5.2.1软件选型应考虑的因素5.2.2软件选型、购置与储藏5.3软件安全检测与验收5.3.1软件安全检测与验收5.3.2软件安全检测方法5.4软件安全跟踪与版本控制5.4.1软件安全跟踪5.4.2软件安全报告5.4.3软件版本控制5.5软件使用与维护5.5.1软件错误、恶性代码5.5.2软件使用和维护第6章 应用系统开发安全管理6.1应用系统安全概述6.1.1应用系统分类6.1.2应用系统的可靠性6.1.3应用系统面临的安全问题6.2应用系统开发安全6.2.1应用系统开发原则6.2.2应用系统开发生命周期6.3应用系统安全管理6.3.1应用系统启动安全审查管理6.3.2应用软件监控管理6.3.3应用软件版本安装管理6.3.4应用软件维护安全管理第7章 环境与实体管理7.1环境安全管理7.1.1机房安全7.1.2环境与人身安全7.1.3电磁泄漏7.2设备安全管理7.3媒介安全管理7.3.1媒介的分类7.3.2技术文档的安全管理7.3.3移动介质的安全管理第8章 运行与操作安全管理8.1故障管理8.1.1故障诊断8.1.2重现与验证8.1.3实施与检验解决方案8.1.4排障工具 8.2性能与变更管理 8.2.1性能管理8.2.2变更管理 8.3操作安全管理8.3.1操作权限管理8.3.2操作规范管理8.3.3操作责任管理8.3.4操作监控管理第9章 灾难恢复计划9.1灾难恢复概述9.1.1灾难恢复的内涵9.1.2灾难恢复的局限性9.2灾难恢复技术9.2.1主要灾难恢复技术9.2.1灾难恢复级别9.3灾难恢复计划9.3.1灾难恢复计划的概念9.3.2灾难恢复计划的原则9.3.3灾难恢复计划的制定流程9.3.4影响灾难恢复计划实现效果的因素0章 安全应急响应管理10.1安全应急响应概述10.1.1安全应急响应的内涵10.1.2安全应急响应的作用和意义10.1.3安全应急响应组织10.2安全应急响应体系10.2.1安全应急响应指标10.2.2安全应急响应体系的建立10.2.3安全应急响应的处置10.3安全应急响应手册10.3.1准备工作10.3.2确认紧急事件10.3.3控制找出原因 10.3.4恢复与跟踪10.3.5紧急行动步骤1章 信息安全测评认证管理11.1信息安全测评认证概述11.1.1信息安全测评认证概念11.1.2信息安全测评认证的内容11.2信息安全测评认证的程序11.2.1信息安全测评认证的程序11.2.2信息安全测评认证的实施11.3信息安全测评认证标准11.3.1信息技术安全评估通用标准（CC）11.3.2信息技术安全通用评估方法（CEM）2章 信息安全等级管理12.1信息安全等级保护概述12.1.1信息安全与等级保护12.1.2信息系统安全等级与信息安全技术等级12.1.3信息安全等级保护的特征12.1.4信息和信息系统安全等级体系结构12.2信息系统安全等级保护标准体系12.2.1标准体系的组成12.2.2标准体系的主要特点12.2.3按数据分类分区域分等级12.3信息安全等级保护12.3.1信息安全等级保护工作的组织实施12.3.2等级保护与风险评估12.3.3等级保护与系统测评12.3.4风险评估与系统测评3章 信息安全管理效能评估13.1信息安全管理效能概述13.1.1基于信息安全风险评估的管理效能分析模型13.1.2基于灰色关联的风险评估模型13.2信息安全管理能力评估模型13.2.1信息安全管理能力的分析指标体系13.2.2基于模糊层次法的管理能力评估模型13.2.3基于AHP模型的信息安全管理效能评估13.3信息安全系统效能评估方法13.3.1入侵检测系统工作性能分析13.3.2入侵检测系统效能分析13.3.3网络攻击条件下入侵检测系统效能评估模型

本书以构建信息安全管理体系为框架，全面介绍信息安全管理的基本概念、信息安全管理体系以及信息安全管理的各项内容和任务。全书共分13章，内容涵盖了信息安全管理的基本内涵、信息安全管理体系的建立与实施、信息安全风险管理、组织与人员安全管理、环境与实体安全管理、软