孙强先生，中国IT治理理念的肇治者，IT治理、IT服务管理、信息系统审计等领域知名专家、演讲者和作者。目前就任赛迪顾问业务拓展总监，中国IT治理专业委员会副主任。他长期致力于探讨信息化建设中深层次的机制问题，倡导将国际前沿的IT治理机制及其方法论与中国的国情相结合中，最近，又创造性地在国际上开展了COBIT、ISO17799、ITIL、COSO、IT项目管理知识体系、信息化工程监理标准等多个国内外标准体系之间的整合研究工作。著有《信息系统审计：安全、风险管理与控制》、《IT服务管理：发展、理解与实施》、《信息安全管理：全球最佳实务与实施指南》、《信息系统工程监理》、《IT治理：引领中国信息化的可持续发展》，《IT服务管理手册与通用词汇表》、《IT服务管理实施方法、工具及案例集》，译有《IT领导力》等。
　　陈伟先生，管理信息系统硕士，国际注册信息系统审计师，BS7799主任审核员，国际信息系统审计与控制协会会员。BS7799、CISA、CIA资深培训讲师，某网络安全公司高级安全顾问。长期从事企业信息化建设，对国内大中型企业的计算机网络系统、应用系统及安全系统的规划、设计、实施有较丰富的经验。目前的专业领域集中于信息安全管理控制领域理论与方法研究，并为国家财政部、国家税务总局、中国工商银行总行、中国银行华北数据中心、中核集团等多个大型组织实施信息安全管理及信息系统审计咨询与培训项目。
　　王东红先生，国际信息系统审计，BS7799主任审核员，IT治理经典丛书的主要作者。目前主要研究领域为IT治理、信息安全管理与业务持续性计划，为河北网通、中国工商银行总行、中核集团等多个组织实施过IT治理、IT流程管控及信息安全管理培训与咨询项目。

　　本书是我国信息安全管理领域的重要专著，为我国各类组织管理信息安全风险提供了最佳实践。它从标准释疑、实施和案例分析三方面入手，全面阐述了信息安全管理体系的全生命周期。
　　文中全面介绍了ISOhEC 17799(BS7799)这一全球公认的信息安全管理标准的产生、发展历程及其主要内容；深入阐述了实施信息安全管理的方法、步骤及应用软件；并首次批露我国企业实施BS7799的经验和教训；同时，“BS7799实施案例”重点从客户、咨询公司、厂商三个方面介绍了四个典型案例。本书不仅适用于CEO、CIO、IT战略规划主管、CSO、政府和企业管理人员、IT咨询顾问，而且也是信息系统审计师和信息安全管理体系审核员的必备参考佳作，更可作为高等院校从事信息安全管理教学研究的师生的参考文献。

第1章 信息安全管理概论
第1节 什么是信息安全管理
第2节 信息安全管理标准BS7799概述
第3节 组织引入BS7799的目的与模式
第2章 信息安全管理理论与控制规范
第1节 基于风险评估的安全管理模型
第2节 PDCA模型
第3节 信息安全管理控制规范
第3章 信息安全管理体系的策划与准备
第1节 什么是信息安全管理体系
第2节 信息安全管理体系的准备
第3节 信息安全管理体系文件
第4章 信息安全管理体系的建立
第1节 建立信息安全管理体系
第2节 信息安全管理体系的运行
第3节 信息安全管理体系的审核
第4节 信息安全管理体系的管理评审
第5节 信息安全管理体系的检查与持续改进
第5章 信息安全管理体系的认证
第1节 什么是信息安全管理认证
第2节 认证的目的和作用
第3节 认证范围
第4节 认证条件与认证机构的选择
第5节 信息安全管理体系的认证过程
第6章 信息安全风险评估详述
第1节 信息安全风险评估的基本概念
第2节 风险评估过程
第3节 风险的管理过程
第4节 风险评估方法
第5节 风险因素的常用计算方法
第7章 信息安全管理控制详述
第1节 选择控制措施方法
第2节 选择控制措施的详细过程
第3节 控制目标与控制措施
第4节 影响选择控制的因素和条件
第8章 如何制定信息安全政策与程序
第9章 BS7799实施工具ISMOOL
第10章 BS7799实施案例
第11章 整合标准，构建善治的IT治理机制
附录A 信息安全网络资源
附录B 信息安全相关法律法规