《政府部门信息安全管理基本要求》理解与实施

作者：  谢宗晓　编著

出版社：中国标准出版社 2014-12-1

简介：　　谢宗晓编著的《政府部门信息安全管理基本要求理解与实施》主要关注政府组织信息安全管理的基本要求和实施指南。　　基本要求主要依据GB／T29245～2012，但是GB／T29245并不是标准族，其中只有要求，并没有关于部署的相关指导。　　考虑国内实际情况，我们提供了三条思路：一、参考GB／T25058—2010中描述的信息系统安全等级保护的实施指南，由于政府组织必须部署信息系统安全等级保护，因此这是本书讲解的重点，我们在讲解中还给出了GB／T22239—2008中信息系统安全等级保护的基本要求。　　二、参考ISO／IEC27003：2010中信息安全管理体系（ISMS）的实施指南，这种思路的优点是由于存在ISO／IEC27000标准族以及完整的认证产业链，因此部署过程非常体系化，可以参考的资料较多。　　三、参考NISTSP800—37Revl，即参考美国联邦政府的信息安全管理部署思路，优点是NIST的标准体系比较健全，而且全免费，辅助资料也多，缺点是都是英文文献，中文资料匮乏。

Information security risk assessment:concepts, methods and practice

作者：  赵战生，谢宗晓编著

出版社：中国标准出版社,2007

简介： 本书对风险及风险评估、风险管理、风险分析、风险评价和风险处理等相关概念进行了全面、深入的剖析，在此基础上对国际上流行的、主流的风险评估方法作了详细的介绍，最后结合具体的风险评估实例，全面地阐述了风险评估的完整过程，并给出了近百个可以直接引用的问卷和调查表，以及可供裁减使用并具有重要参考价值的5个附录。 如果你的组织准备实施信息安全风险评估，或者你想了解和掌握有关风险评估的概念、方法和具体实践，或者你作为计算机工程师需要更好地理解体系方法，本书将带给你最好的参考和帮助。