作者简介 ：
马金龙,持有CIW Security Analyst证书和CISSP证书，就职于新浪公司，拥有超过 15 年的信息安全管理经验，擅长领域信息安全体系建设及实践。此外，他还是FREEBUF智库安全专家成员、ISC2 北京分会会员和 OWASP中国分会会员，运营微信公众号“安全管理杂谈”。
目录 ：
安全基础篇
第1章 安全理论
1　信息安全的基本概念
1.2　攻击与防御
1.2.1　黑客攻击
1.2.2　防御策略
1.3　本章小结
第2章 可信计算
2.1　可信计算机系统
2.2　可信计算技术
2.3　零信任理念
2.3.1　零信任架构
2.3.2　零信任技术
2.4　本章小结
第3章 信息安全体系
3.1　指导思想 
3.2　建设步骤
3.3　建设方法
3.4　本章小结
第二部分　安全管理篇
第4章 组织与策略
4.1　安全组织
4.1.1　信息安全指导委员会
4.1.2　专职的安全团队
4.2　策略要求
4.2.1　策略文件
4.2.2　策略执行
4.3　本章小结
第5章 需求与规划
5.1　安全需求
5.2　安全规划
5.3　本章小结
第6章 风险管理
第7章 合规与认证 
第8章 人员管理与安全意识培训 
第9章 访问控制与身份管理
第10章 物理环境安全 
第11章 安全域边界
第12章 安全计算环境
第13章 应用安全防护
第14章 数据安全保护
第15章 确认安全防护目标
第16章 保持防护状态
第17章 异常情况处置
第18章 业务持续运营
第19章 安全运营中心
附录 
结语