買這商品的人也買了...
-
$1,320Peer Reviews in Software: A Practical Guide (Paperback) -
IT Security: Risking the Corporation$1,520$1,444 -
Project 2003 徹底研究$690$538 -
Microsoft Windows Internals: Microsoft Windows Server 2003, Windows XP, and Windows 2000, 4/e$2,370$2,252 -
The Business Case for Network Security : Advocacy, Governance, and ROI$2,030$1,929 -
Java 2 與 UML 物件導向程式設計範例教本$680$578 -
最新詳解 Javascript & HTML & CSS 語法辭典(增訂新版)$490$382 -
PowerPoint 2003 實力養成暨評量解題秘笈$150$119 -
Microsoft SQL Server 2005 設計實務$680$578 -
ASP.NET 2.0 深度剖析範例集$650$507 -
Microsoft SQL Server 2005 管理實務$680$578 -
SQL 語法範例辭典$550$468 -
Computer Security: 20 Things Every Employee Should Know, 2/e$840$798 -
SCJP Java 5 專業認證手冊 (SCJP Sun Certified Programmer for Java 5 Study Guide)(Exam 310-055)
$880$695 -
Dreamweaver 搞不定的網頁設計效果:CSS 關鍵救援密碼
$520$442 -
Ajax 實戰手冊 (Ajax in Action)$680$537 -
The Wargame:駭客訓練基地─駭客防駭實戰演練$550$468 -
Ajax 技術手冊 (Foundations of Ajax)$450$356 -
Ajax 快速上手 (Head Rush Ajax)$780$616 -
聖殿祭司的 ASP.NET 2.0 專家技術手冊─使用 C#$720$569 -
Fedora Core 6 Linux 實務應用(附DVD)$650$553 -
次世代─Linux Ubuntu 玩全手冊$580$493 -
簡報設計王 2-善用圖表、插圖、動畫與範本來提升企劃說服力$450$351 -
輕鬆打造我的網站─XOOPS2 深入使用手冊$580$493 -
董大偉 Silverlight 權威講座-ASP.NET 整合秘技 X 獨家案例剖析$540$459
相關主題
商品描述
Bridging the gap between information security and strategic planning
This publication is a reflection of the author's firsthand experience as an information security consultant, working for an array of clients in the private and public sectors. Readers discover how to work with their organizations to develop and implement a successful information security plan by improving management practices and by establishing information security as an integral part of overall strategic planning.
The book starts with an overview of basic concepts in strategic planning, information technology strategy, and information security strategy. A practical guide to defining an information security strategy is then provided, covering the "nuts and bolts" of defining long-term information security goals that effectively protect information resources. Separate chapters covering technology strategy and management strategy clearly demonstrate that both are essential, complementary elements in protecting information.
Following this practical introduction to strategy development, subsequent chapters cover the theoretical foundation of an information security strategy, including:
* Examination of key enterprise planning models that correspond to different uses of information and different strategies for securing information
* Review of information economics, an essential link between information security strategy and business strategy
* Role of risk in building an information security strategy
Two separate case studies are developed, helping readers understand how the development and implementation of information security strategies can work within their own organizations.
This is essential reading for information security managers, information technology executives, and consultants. By linking information security to general management strategy, the publication is also recommended for nontechnical executives who need to protect the value and security of their organization's information.
Table of Contents
List of Figures.
Preface.
1. Introduction.
Strategy Overview.
Strategy and Information Technology.
Strategy and Information Security.
An Information Security Strategic Planning Methodology.
The Business Environment.
Information Value.
Risk.
The Strategic Planning Process.
The Technology Plan.
The Management Plan.
Theory and Practice.
2. Developing an Information Security Strategy.
Overview.
An Information Security Strategy Development Methodology.
Strategy Prerequisites.
Research Sources.
Preliminary Development.
Formal Project Introduction.
Fact Finding.
General Background Information.
Documentation Review.
Interviews.
Surveys.
Research Sources.
Analysis Methods.
Strengths, Weaknesses, Opportunities, and Threats.
Business Systems Planning.
Life-Cycle Methods.
Critical Success Factors.
Economic Analysis.
Risk Analysis.
Benchmarks and Best Practices.
Compliance Requirements.
Analysis Focus Areas.
Industry Environment.
Organizational Mission and Goals.
Executive Governance.
Management Systems and Controls.
Information Technology Management.
Information Technology Architecture.
Security Management.
Draft Plan Presentation.
Final Plan Presentation.
Options for Plan Development.
A Plan Outline.
Selling the Strategy.
Plan Maintenance.
The Security Assessment and the Security Strategy.
Strategy Implementation:
What is a Tactical Plan?
Converting Strategic goals to Tactical Plans.
Turning Tactical Planning Outcomes into Ongoing Operations.
Key Points.
Plan Outline.
3. The Technology Strategy.
Thinking About Technology.
Planning Technology Implementation.
Technology Forecasting.
Some Basic Advice.
Technology Life-Cycle Models.
Technology Solution Evaluation.
Role of Analysts.
Technology Strategy Components:
The Security Strategy Technical Architecture.
Leveraging Existing Vendors.
Legacy Technology.
The Management Dimension.
Overall Technical Design.
The Logical Technology Architecture.
Specific Technical Components.
Servers.
Network Zones.
External Network Connections.
Desktop Systems.
Applications and DBMS.
Portable Computing Devices.
Telephone Systems.
Control Devices.
Intelligent Peripherals.
Facility Security Systems.
Security Management Systems.
Key Points.
4. The Management Strategy.
Control Systems.
Control Systems and the Information Security Strategy.
Governance.
Ensuring IT Governance.
IT Governance Models.
Current Issues in Governance.
Control Objectives for Information and Related Technology (CobiT).
IT Balanced Scorecard.
Governance in Information Security.
End-User Role.
An IT Management Model for Information Security.
Policies, Procedures, and Standards.
Assigning Information Security Responsibilities.
To Whom Should Information Security Report?
Executive Roles.
Organizational Interfaces.
Information Security Staff Structure.
Staffing and Funding Levels.
Managing Vendors.
Organizational Culture and Legitimacy.
Training and Awareness.
Key Points.
5. Case Studies.
Case Study 1—Singles Opportunity Services.
Background.
Developing the Strategic Plan.
Information Value Analysis.
Risk Analysis.
Technology Strategy.
Management Strategy.
Implementation.
Case Study 2—Rancho Nachos Mosquito Abatement District.
Background.
Developing the Strategic Plan.
Information Value Analysis.
Risk Analysis.
Technology Strategy.
Management Strategy.
Implementation.
Key Points.
6. Business and IT Strategy:
Introduction.
Strategy and Systems of Management.
Business Strategy Models.
Boston Consulting Group Business Matrix.
Michael Porter—Competitive Advantage.
Business Process Reengineering.
The Strategy of No Strategy.
IT Strategy.
Nolan/Gibson Stages of Growth.
Information Engineering.
Rockart’s Critical Success Factors.
IBM Business System Planning (BSP).
So is IT really “strategic”?
IT Strategy and Information Security Strategy.
Key Points.
7. Information Economics.
Concepts of Information Protection.
Information Ownership.
From Ownership to Asset.
Information Economics and Information Security.
Basic Economic Principles.
Why is Information Economics Difficult?
Information Value—Reducing Uncertainty.
Information Value—Improved Business Processes.
Information Security Investment Economics.
The Economic Cost of Security Failures.
Future Directions in Information Economics.
Information Management Accounting—Return on Investment.
Economic Models and Management Decision Making.
Information Protection or Information Stewardship?
Key Points.
8. Risk Analysis.
Compliance Versus Risk Approaches.
The “Classic” Risk Analysis Model.
Newer Risk Models.
Process-Oriented Risk Models.
Tree-Based Risk Models.
Organizational Risk Cultures.
Risk Averse, Risk Neutral, and Risk Taking Organizations.
Strategic Versus Tactical Risk Analysis.
When Compliance-based Models are Appropriate.
Risk Mitigation.
Key Points.
Notes and References.
Index.
商品描述(中文翻譯)
**描述**
彌合資訊安全與策略規劃之間的鴻溝
本出版物反映了作者作為資訊安全顧問的第一手經驗,為各種私營和公共部門的客戶提供服務。讀者將學會如何與其組織合作,通過改善管理實踐並將資訊安全建立為整體策略規劃的不可或缺部分,來制定和實施成功的資訊安全計劃。
本書首先概述了策略規劃、資訊科技策略和資訊安全策略的基本概念。接著提供了一個定義資訊安全策略的實用指南,涵蓋了有效保護資訊資源的長期資訊安全目標的「基本要素」。獨立的章節涵蓋技術策略和管理策略,清楚地展示了這兩者在保護資訊方面都是必不可少且互補的元素。
在這個實用的策略發展介紹之後,隨後的章節涵蓋了資訊安全策略的理論基礎,包括:
* 檢視與不同資訊使用和不同資訊安全策略相對應的關鍵企業規劃模型
* 回顧資訊經濟學,這是資訊安全策略與商業策略之間的重要聯繫
* 風險在建立資訊安全策略中的角色
發展了兩個獨立的案例研究,幫助讀者理解資訊安全策略的發展和實施如何在他們自己的組織中運作。
這是資訊安全經理、資訊科技高管和顧問的必讀書籍。通過將資訊安全與一般管理策略聯繫起來,本出版物也推薦給需要保護其組織資訊價值和安全的非技術高管。
**目錄**
**圖表清單。**
**前言。**
**1. 介紹。**
策略概述。
策略與資訊科技。
策略與資訊安全。
資訊安全策略規劃方法論。
商業環境。
資訊價值。
風險。
策略規劃過程。
技術計劃。
管理計劃。
理論與實踐。
**2. 發展資訊安全策略。**
概述。
資訊安全策略發展方法論。
策略前提。
研究來源。
初步發展。
正式專案介紹。
事實調查。
一般背景資訊。
文件審查。
訪談。
調查。
研究來源。
分析方法。
優勢、劣勢、機會與威脅。
商業系統規劃。
生命週期方法。
關鍵成功因素。
經濟分析。
風險分析。
基準與最佳實踐。
合規要求。
分析重點領域。
行業環境。
組織使命與目標。
執行治理。
管理系統與控制。
資訊科技管理。
資訊科技架構。
安全管理。
草案計劃呈現。
最終計劃呈現。
計劃發展選項。
計劃大綱。
推銷策略。
計劃維護。
安全評估與安全策略。
策略實施:
什麼是戰術計劃?
將策略目標轉換為戰術計劃。
將戰術規劃結果轉化為持續運營。
關鍵要點。
計劃大綱。
**3. 技術策略。**
思考技術。
規劃技術實施。
技術預測。
一些基本建議。
技術生命週期模型。
技術解決方案評估。
分析師的角色。
技術策略組成部分:
安全策略技術架構。
利用現有供應商。
舊有技術。
管理維度。
整體技術設計。
邏輯技術架構。
特定技術組件。
伺服器。
網路區域。
外部網路連接。
桌面系統。
應用程式與資料庫管理系統。
可攜式計算設備。
電話系統。
控制設備。
智能外圍設備。
設施安全系統。
安全管理系統。
關鍵要點。
**4. 管理策略。**
控制系統。
控制系統與資訊安全策略。
治理。
確保資訊科技治理。
資訊科技治理模型。
治理中的當前問題。
資訊與相關技術控制目標(CobiT)。
資訊科技平衡計分卡。
資訊安全中的治理。
最終用戶角色。
資訊安全的資訊科技管理模型。
政策、程序與標準。
分配資訊安全責任。
資訊安全應向誰報告?
執行角色。
組織介面。
資訊安全人員結構。
人員配置與資金水平。
管理供應商。
組織文化與合法性。
培訓與意識。
關鍵要點。
**5. 案例研究。**
案例研究1—單身機會服務。
背景。
發展策略計劃。
資訊價值分析。
風險分析。
技術策略。
管理策略。
實施。
案例研究2—Rancho Nachos 蚊蟲防治區。
背景。
發展策略計劃。
資訊價值分析。
風險分析。
技術策略。
管理策略。
實施。
關鍵要點。
**6. 商業與資訊科技策略:**
介紹。
策略與管理系統。
商業策略模型。
波士頓顧問集團商業矩陣。
邁克爾·波特—競爭優勢。
商業流程再造。
無策略的策略。
資訊科技策略。
諾蘭/吉布森成長階段。
資訊工程。
Rockart的關鍵成功因素。
IBM商業系統規劃(BSP)。
那麼資訊科技真的「具有策略性」嗎?
資訊科技策略與資訊安全策略。
關鍵要點。
**7. 資訊經濟學。**
資訊保護的概念。
資訊所有權。
從所有權到資產。
資訊經濟學與資訊安全。
基本經濟原則。
為什麼資訊經濟學困難?
資訊價值—減少不確定性。
資訊價值—改善商業流程。
資訊安全投資經濟學。
安全失敗的經濟成本。
資訊經濟學的未來方向。
資訊管理會計—投資回報。
經濟模型與管理決策。
資訊保護或資訊管理?
關鍵要點。
**8. 風險分析。**
合規與風險方法。
「經典」風險分析模型。
較新的風險模型。
以過程為導向的風險模型。
基於樹的風險模型。
組織風險文化。
風險厭惡、風險中立和風險承擔組織。
策略與戰術風險分析。
何時合規模型是合適的。
風險緩解。
關鍵要點。
**註釋與參考文獻。**
**索引。**
