Information Security Governance pdf epub mobi txt 电子书下载 2026

简体网页||繁体网页

☆☆☆☆☆

出版者:

作者:Brotby, Krag

出品人:

页数:189

译者:

出版时间:2009-4

价格:643.00元

装帧:

isbn号码:9780470131183

丛书系列:

图书标签:

信息安全
治理
风险管理
合规性
框架
标准
最佳实践
策略
信息技术
网络安全

下载链接在页面底部

facebook linkedin mastodon messenger pinterest reddit telegram twitter viber vkontakte whatsapp 复制链接

想要找书就要到图书目录大全

book.wenda123.org

立刻按 ctrl+D收藏本页

你会得到大惊喜!!

具体描述

The Growing Imperative Need for Effective Information Security Governance With monotonous regularity, headlines announce ever more spectacular failures of information security and mounting losses. The succession of corporate debacles and dramatic control failures in recent years underscores the necessity for information security to be tightly integrated into the fabric of every organization. The protection of an organization's most valuable asset information can no longer be relegated to low-level technical personnel, but must be considered an essential element of corporate governance that is critical to organizational success and survival. Written by an industry expert, Information Security Governance is the first book-length treatment of this important topic, providing readers with a step-by-step approach to developing and managing an effective information security program. Beginning with a general overview of governance, the book covers: The business case for information security Defining roles and responsibilities Developing strategic metrics Determining information security outcomes Setting security governance objectives Establishing risk management objectives Developing a cost-effective security strategy A sample strategy development The steps for implementing an effective strategy Developing meaningful security program development metrics Designing relevant information security management metrics Defining incident management and response metrics Complemented with action plans and sample policies that demonstrate to readers how to put these ideas into practice, Information Security Governance is indispensable reading for any professional who is involved in information security and assurance.

书名： Information Security Governance 简介：本书深入探讨信息安全治理的核心原则、实践框架与前沿趋势，旨在为组织提供一套全面、可操作的指导方针，以有效地管理和控制信息风险，确保信息资产的安全与合规性。在这个数字化转型加速、网络威胁日益复杂的时代，信息安全治理已不再是技术部门的孤立任务，而是关乎企业生存与发展的战略性议题。第一部分：信息安全治理的基础与战略定位本部分首先界定了信息安全治理（ISG）的内涵与外延，将其置于企业整体治理架构（如IT治理、风险管理与合规性，即GRC）的关键位置。我们详细阐述了为什么健全的治理结构是实现安全目标的前提，而非仅仅是满足监管要求的手段。治理的基石：阐释了治理与管理的区别。治理关注“做正确的事”（方向、决策权和问责制），而管理侧重于“正确地做事”（执行、操作和控制）。我们深入剖析了董事会、高层管理团队在信息安全决策中的角色与职责，强调自上而下的承诺和投入是成功的关键要素。战略一致性：探讨如何将信息安全战略与组织的整体业务战略、风险偏好和价值创造目标紧密结合。本书提供了一套方法论，用以评估当前安全态势与业务期望之间的差距，并制定出能够直接支撑业务连续性和创新需求的治理路线图。风险文化塑造：强调了文化在治理中的核心作用。一个强大的安全文化能够确保所有员工都理解并承担起信息安全责任。我们提供了构建“安全优先”企业文化的实用工具和案例分析，包括有效的沟通策略、激励机制以及如何将安全意识融入日常工作流程。第二部分：信息安全治理框架的构建与实施本部分是本书的核心技术与实践指南，聚焦于如何落地一个全面、可持续的治理框架。我们不局限于单一的框架介绍，而是融合了行业内主流标准的最佳实践。框架选择与定制：对比分析了 ISO/IEC 27001/27002 的结构化方法论、NIST 网络安全框架（CSF）的功能化视角，以及 COBIT 在IT治理与业务流程集成方面的优势。重点指导读者如何根据行业特点（如金融、医疗或高科技）和监管要求，选择最合适的框架并进行本地化裁剪。关键治理支柱：详细解析了信息安全治理的五大核心支柱： 1. 组织结构与问责制：如何设计有效的安全组织架构（如CISO的角色定位、安全委员会的运作），并明确界定技术团队、业务线负责人和法律合规部门之间的权力与责任边界。 2. 策略、标准与基线：阐述了从高层安全愿景如何分解为可执行的策略文档、详细的技术标准和操作性基线。强调策略文档的简洁性、可理解性及其与业务需求的映射关系。 3. 绩效衡量与报告（Metrics）：提供了设计有意义的安全度量指标（KPIs和KRIs）的方法。区别于传统的“打勾式”合规检查，本书侧重于衡量治理的有效性——即安全投资是否降低了可接受风险水平。报告机制的设计确保了关键信息能准确、及时地传达到董事会层面。 4. 资源管理与投资决策：探讨如何证明安全投资的商业价值（ROI）。通过风险量化模型，帮助读者建立清晰的投资优先级排序机制，确保有限的资源投入到影响最大的风险领域。 5. 合规性管理：系统梳理了全球主要数据保护法规（如GDPR、CCPA）以及特定行业的监管要求。重点在于如何构建一个统一的合规性视图，避免重复审计和冲突要求，实现“一次投入，多重合规”的治理目标。第三部分：治理的持续优化与前沿挑战信息安全治理是一个动态过程。本部分着眼于如何通过持续的监控、审计和技术演进，确保治理体系的活力和有效性。审计与合规性验证：详细介绍了内部审计、第三方认证和持续监控在治理体系中的角色。探讨了如何将自动化工具和AI/ML技术融入到治理的合规性验证流程中，实现对控制措施的实时监测。第三方法人风险治理：随着供应链和云服务的普及，对外部供应商的风险控制成为治理的薄弱环节。本书提供了严格的尽职调查流程、合同条款标准化以及持续监控供应商安全表现的治理模型。新兴技术与治理的适应性：探讨了云计算（SaaS/PaaS/IaaS）、物联网（IoT）和零信任架构（Zero Trust）对传统治理模型的冲击与要求。指导读者如何在新技术环境中重新定义信任边界、数据所有权和风险敞口，并将这些变化纳入现有的治理框架中。事件响应与治理的闭环：强调安全事件的发生是检验治理有效性的最终标准。本书剖析了如何通过事件响应后的“事后分析”（Post-Mortem）来识别治理、策略或控制上的缺陷，并将发现反馈到战略制定环节，形成一个自我修正的闭环系统。面向读者：本书是为首席信息安全官（CISO）、IT治理与风险管理专业人士、内外部审计师、信息安全经理，以及所有负责制定和监督企业信息安全战略的高级管理人员和董事会成员量身打造的专业指南。通过阅读本书，读者将能够建立一个既能有效抵御威胁，又能有力支撑业务发展的稳健信息安全治理体系。

作者简介

目录信息

Acknowledgements
Introduction
1. Governance Overview - How Do We Do It? What Do We Get Out of It?
2. Why Governance?
3. Legal and Regulatory Requirements
4. Roles and Responsibilities
5. Strategic Metrics
6. Information Security Outcomes
7. Security Governance Objectives
8. Risk Management Objectives
9. Current State
10. Developing a Security Strategy
11. Sample Strategy Development
12. Implementing Strategy
13. Security Program Development Metrics
14. Information Security Management Metrics
15. Incident Management and Response Metrics
16. Conclusion
Appendix A. SABSA Business Attributes and Metrics
Appendix B. Cultural Worldviews
Index
· · · · · · (收起)