这是一本面向大专院校信息安全管理专业的基础教材，读者对象定位于大学计算机和通信类一级学科下的专业硕士、信息安全本科学生，以及从事信息系统管理和信息安全管理工作的工程技术人员。

本书的作者曾在2004年承担由国务院信息化工作办公室下达的“信息安全管理指南”研究项目，此后十年来作者与同事们在信息安全本科和专业硕士的教学中结合项目的研究成果致力于对信息安全管理理论和工程实践进行与时俱进的探索，获得了一些新的知识与研究成果，在此基础上编撰成本书，以此奉献给国内从事信息安全教学与信息安全管理的朋友们。虽然作者尽了最大努力，并力求在书稿中体现中国特色和国家对信息安全管理的方针政策，但由于信息安全问题随着信息化的发展不断出现新情况，有的情况符合预期，有的情况则需要继续审视，加之作者的视野和水平所限，书中仍存在需要探索和商榷，甚至错误的地方； 更由于作者在信息安全管理理论和方法研究方面的视角可能与国内同行有所不同，因此本书中如有与他人观点和管理实践不一致的地方，则应该是可以在学术上争鸣的见仁见智的事情； 但作者和同事们将尽最大努力，与国内同行们继续努力，虚心学习他们的研究经验和成果，以矫正、丰富和完善我们在这一领域的研究和实践。我们希望，现在呈现给读者朋友的这本书能对读者朋友们系统地认识信息安全管理中的问题有所帮助。

本书既对信息安全管理理论与方法论有较为全面的论述，也对信息安全管理的工程技术实践做了方法论的总结，其中涉及的内容有识别信息系统及资源的方法和分类原则，识别信息系统资产的脆弱性、威胁、影响，进行风险分析的过程描述，以及与信息系统安全等级保护有关的可操作性技术方法； 从信息安全管理角度进行基于风险管理的从资源分析、风险分析与评估、安全需求分析到安全保护策略和安全措施选择的工程实践方法和实务操作的详细描述。

本书由胡勇、吴少华编写，其中胡勇负责设计全书的结构，并编写第1、3、6章，吴少华编写第2、4、5章以及附录。

本书的编撰得到了戴宗坤、罗万伯两位老师的热情鼓励和直接指导，在此表示衷心的感谢。

本书的配套课件可以从清华大学出版社网站www.tup.com.cn下载，关于本书及课件使用的任何问题请联系fuhy@tup.tsinghua.edu.cn。

编者2015年10月