本书在编写的过程中，遵照信息安全管理国际标准ISO／IECl7799的精神和原则，对信息安全的风险管理、信息安全策略、信息安全教育、信息安全的组织管理，以及在信息安全管理中常用的安全技术作了详细的介绍。

信息安全不是一个纯粹的技术问题，信息安全重在管理。因此，本书除了适用于计算机系统管理员、网络管理员和信息工程系统集成工程师外，也适用于有关主管领导和计算机网络系统资源的所有使用者。

本书在编写的过程中，遵照信息安全管理国际标准ISO／IECl7799的精神和原则，对信息安全的风险管理、信息安全策略、信息安全教育、信息安全的组织管理，以及在信息安全管理中常用的安全技术作了详细的介绍。

本书共分15章。第1章综合性地对信息安全管理作了概念性的介绍。第2章介绍安全风险管理，并探讨了风险的定性和定量分析、风险评估的模型，以及风险评估与安全评估的关系等。第3章到第12章，对信息系统的物理层、运行、访问控制、应用系统、操作系统等的安全策略与管理，以及数据保密性、完整性、有效性等各方面的管理措施作了全面、详细的论述。第13章描述了信息安全教育的内容、目的，以及信息安全教育的策略。第14章介绍了信息安全的组织管理所涉及的信息安全团队的构建与管理。第15章简单介绍了信息系统常用的安全技术，包括防火墙、入侵检测系统、安全扫描系统，以及反垃圾邮件技术。

第一章 信息安全管理概述

第二章 安全风险管理

第三章 实体安全管理

第四章 运行安全管理

第五章 访问控制

第六章 数据加密与PKI策略

第七章 应用软件系统的开发与维护

第八章 操作系统的安全

第九章 数据库安全

第十章 归档和分级存储管理

第十一章 安全审计机制和策略

第十二章 因特网服务安全防范策略

第十三章 计算机信息安全教育

第十四章 信息安全组织管理

第十五章 信息安全管理常用技术

附录A 计算机信息系统安全保护等级划分准则（GB17859-1999）

附录B 信息系统安全等级保护工程管理要求（送审稿）

参考资料