信息安全戰︰企業信息安全建設之道

序言一
序言二
上篇 風起雲涌，危機四伏
第一章 “信息生態”已經改變
一、智慧的地球
二、物聯網
三、新技術，新風險
第二章 被包圍、被滲透、被潛伏——企業信息安全形勢嚴峻
一、黑客入侵加劇
二、病毒肆虐
三、我們的信息已不再安全
四、災難突如其來
五、世紀的戰爭——信息戰
第三章 認清問題，鎖定本質——企業信息安全建設的現狀與分析
一、“頭痛醫頭，腳痛醫腳”
二、重建設，輕運維
三、重後台，輕用戶
四、家底不清，方向不明
五、企業信息安全建設的階段
中篇 運籌帷幄，轉危為安
第四章 企業與信息安全
一、企業風險與安全
二、信息安全的重要性及價值分析
第五章 信息安全基礎及發展趨勢
一、洞察信息安全
二、信息系統安全發展歷程
三、信息安全國際標準
四、中國信恩安全標準
五、安全技術發展趨勢
六、企業信息安全架構
第六章 企業信息安全框架概述
一、企業信息安全實踐的挑戰
二、企業信息安全框架(ESF V5.0)的定義
三、企業信息安全框架建設的意義
下篇 建久安之勢。成長治之業
第七章 安全治理、風險管理和合規
一、企業安全治理
二、信息安全風險管理
三、合規和策略遵從
第八章 信息安全運維
一、安全事件監控
二、安全事件響應
三、安全事件審計
四、安全策略管理
五、安全績效管理
六、安全外包服務
第九章 基礎架構安全和服務
一、身份和訪問安全
二、數據安全
三、應用安全
四、基礎架構安全
五、物理安全
第十章 企業信息安全框架的應用
一、企業信息安全體系總體建設方法
二、企業信息安全架構
三、企業信息安全管理體系的建設
四、企業信息安全運維體系的建設
五、企業信息安全技術體系的建設
第十一章 結束篇
參考文獻
附錄 企業信息安全框架的對應

早在2006年，國家信息化小組就已在《2006—2020年信息化發展戰略》報告中明確提出，信息技術的快速發展必將帶動一場新的全球產業革命，我們必須深刻地認識到這一變化帶來的機遇和挑戰。

時代步入了一個科技創新不斷涌現的重要時期，黨中央、國務院一貫堅持創新，推動了我國信息產業和信息化建設的發展，使得信息網絡技術的應用得到了迅速普及。近年來，我國信息化應用水平持續、快速發展，信息化在促進經濟發展、調整經濟結構、改造傳統產業和提高人民生活質量等方面發揮了不可替代的重要作用。

如今，信息技術的應用早已涵蓋了絕大多數黨政部門、金融、稅務、海關、水利、交通等重要業務領域的業務系統和企業管理信息系統。可以說，我國已經成為一個屹立在東方的信息化大國。

與此同時，我們也必須清醒地看到，隨著我國信息化的高速發展，信息系統已經成為我國眾多行業和領域的神經中樞。信息系統的安全直接影響到這些行業和領域的日常工作和生產的正常運轉，信息系統的可靠性和安全性將直接關系到政府、企業及其他行業的生存力和競爭力。因此，信息系統的安全已經成為信息化進一步發展過程中必須考慮和解決的重要問題之一。

對于國家而言，信息安全體系建設是我們在“十一五”期間必須完成的重要任務之一。我們國家需要提高的六項能力，就是安全防護能力、安全監管能力、應急響應能力、信息對抗能力、評估能力、信任保護能力。同時我們要加大力度自主研發信息安全的關鍵技術和設備，滿足國家對信息安全的要求，要在客碼技術、網絡信任技術、可信安全計算技術、網絡監管技術等方面達到國際領先水平，要在安全監管、安全評估等方面達到世界先進水平。

對于企業而言，進行信患安全建設和規劃，要研究建設信息安全的綜合成本與信息安全風險之間的平衡，而不是片面追求不切實際的安全。不同的行業、不同的應用甚至同一個企業的不同鄯門，對于信患安全的要求都有所不同，信息安全建設並不是“越安全越好”。面對全球一體化的互聯網環境，企業如何提高安全防護甜 障能力，是擺在CIO面前的巨大難題。

長期以來，我國眾多行業和領域的信息化安全建設存在著“重產品、輕體系”的怪圈，企業每年投入大量的人力、物力采購信息安全產品，但信息系統的管理者們仍處于“信息安全年年建，安全問題年年有”的窘境之中。究冀原因，是因為體系化的信息安全建設這一指導原則沒有得到足夠的宣傳和普及。

在國家層面重視信息化安全體系建設這個大好前景下，IBM公司從國內信息安全建設的現狀出發，結合真在全球信息安全建設方面的經驗和實踐，提出了“企業信息安全框架”這一長治久安的信息安全建設總體思路，為各行各業的企業信息系統管理者們進一步建設可靠的信息安全 障系統提供了系統的指引和參考。

相信廣大的企業信息系統管理者們，一定能借助本書提供的方法和理論，全局性地審視自身信息安全體系的不足，找到適合企業需要的信息安全建設的破局之路。

寧家駿
國家信息化專家咨詢委員會委員
2010年2月26日