本书从BS7799（ISO／IEC1779）信息安全管理标准入手，全面系统地介绍了现代信息安全管理的思想与方法，以及企业信息安全管理认证。全书共分6章，第1 章信息安全管理概述，主要介绍了信息安全现状、信息安全概念及信息安全管理模型。

前言

现代企业对信息的依赖越来越大，没有各种信息的支持，企业就不能生存和发展。信息已成为现代企业的一种重要资产，更需要加以妥善保护，否则，可能由于人员的原因（疏忽、跳槽、破坏）、竞争对手原因（商业间谍、收买、盗窃、网络攻击）、设备故障、系统缺陷和灾害（爆炸、雷击、火灾、地震）等原因，在一瞬间信息资产被毁灭、消失、损坏、盗窃、贬值、转移，给企业带来致命的打击。由于计算机、通信、网络等现代化技术的普及应用和人员流动的频繁，信息受到的威胁更大。为了国家、企业和个人的信息安全，加强信息安全管理刻不容缓！

目前，我国的信息安全管理主要依靠传统的管理方式与技术手段来实现，传统的管理模式缺乏现代的系统管理思想，而技术手段又有其局限性。保护信息安全，国际公认的、最有效的方式是采用系统的方法（管理＋技术）保护信息安全，即确定信息安全管理方针和范围，在风险分析的基础上选择适宜的控制目标与控制方式并进行控制，制定商务持续性计划、建立并实施信息安全管理体系。这种系统的信息安全管理方法已经成为国际性标准BS7799（ISO/IEC27002）。

如果你到书店里逛一逛，你会发现关于网络安全技术的书籍琳琅满目，但关于信息安全管理方面的书籍很难寻觅。为向广大的信息安全管理者全面系统地介绍现代信息安全管理的思想与方法，作者根据BS7799（ISO/IEC27002）信息安全管理标准，并结合对企业信息安全管理认证咨询的实际经验，编写了此书。全书共分六章，第一章信息安全管理概述，主要介绍了信息安全现状、信息安全概念及信息安全管理模型；第二章信息安全风险评估与管理，系统阐述了风险评估与风险控制的方法；第三章风险管理惯例，提供了可供不同组织选择的安全控制方法，控制方法涉及信息安全领域的方方面面，并对有关信息安全的专业术语进行了解释，如访问控制、身份鉴别、数字签名、信息验证等；第四章信息安全管理标准介绍，主要对建立信息安全管理体系的所依据的BS7799-2标准进行了诠释；第五章建立信息安全管理体系的方法与步骤，为组织建立并实施信息安全管理体系提供了指南；第六章信息安全管理体系认证，介绍体系认证的基本知识与体系认证的过程。附录A列出了与信息安全有关的法律法规目录供读者参考。

本书目标读者：本书的读者面应该说相当广，包括企事业单位、政府组织的信息安全的管理人员与信息安全技术人员。在当今的信息化时代，人们进行证券投资、在家里上网冲浪、刷卡消费等活动已经很普遍，每个人都有个人信息安全的问题，如安全使用各种口令、防范计算机病毒、保护个人隐私等，作者相信一般的读者也会从本书获得一些基本的安全知识，有助于保护个人财产的安全。

书难免有不当之处，欢迎读者批评指正。