本书对信息安全管理理论与方法论做了全面的论述，也对信息安全管理的工程技术实践做了方法论的总结，包括识别信息系统及资源的方法和分类原则，识别信息系统资产的脆弱性、威胁、影响，风险分析过程描述，以及信息系统安全等级保护有关的可操作性技术方法；基于风险管理，从资源分析、风险分析与评估、安全需求分析，到安全保护策略和安全措施选择的工程实践方法和实务操作的详细描述。 本书是面向大专院校信息安全管理专业的基础教材，读者对象定位于大学计算机和通信类一级学科下的专业硕士、信息安全本科学生，以及从事信息系统管理和信息安全管理的工程技术人员。

如果希望加入教师微信交流群，请加微信：itbook8 如果希望加入教师QQ交流群，请加QQ：883604 加入时，请写明：“学校+姓名”，并写明“加入教师群”，只限教师。

这是一本面向大专院校信息安全管理专业的基础教材，读者对象定位于大学计算机和通信类一级学科下的专业硕士、信息安全本科学生，以及从事信息系统管理和信息安全管理工作的工程技术人员。 本书的作者曾在2004年承担由国务院信息化工作办公室下达的“信息安全管理指南”研究项目，此后十年来作者与同事们在信息安全本科和专业硕士的教学中结合项目的研究成果致力于对信息安全管理理论和工程实践进行与时俱进的探索，获得了一些新的知识与研究成果，在此基础上编撰成本书，以此奉献给国内从事信息安全教学与信息安全管理的朋友们。虽然作者尽了最大努力，并力求在书稿中体现中国特色和国家对信息安全管理的方针政策，但由于信息安全问题随着信息化的发展不断出现新情况，有的情况符合预期，有的情况则需要继续审视，加之作者的视野和水平所限，书中仍存在需要探索和商榷，甚至错误的地方； 更由于作者在信息安全管理理论和方法研究方面的视角可能与国内同行有所不同，因此本书中如有与他人观点和管理实践不一致的地方，则应该是可以在学术上争鸣的见仁见智的事情； 但作者和同事们将尽最大努力，与国内同行们继续努力，虚心学习他们的研究经验和成果，以矫正、丰富和完善我们在这一领域的研究和实践。我们希望，现在呈现给读者朋友的这本书能对读者朋友们系统地认识信息安全管理中的问题有所帮助。 本书既对信息安全管理理论与方法论有较为全面的论述，也对信息安全管理的工程技术实践做了方法论的总结，其中涉及的内容有识别信息系统及资源的方法和分类原则，识别信息系统资产的脆弱性、威胁、影响，进行风险分析的过程描述，以及与信息系统安全等级保护有关的可操作性技术方法； 从信息安全管...