(eBook PDF) Management of Information Security

5th Edition instant download

https://ebooksecure.com/product/ebook-pdf-management-of-
information-security-5th-edition/

Download more ebook from https://ebooksecure.com

We believe these products will be a great fit for you. Click
the link to download now, or visit ebooksecure.com
to discover even more!

(eBook PDF) Management of Information Security 6th

Edition

http://ebooksecure.com/product/ebook-pdf-management-of-
information-security-6th-edition/

(eBook PDF) Principles of Information Security 5th

Edition

http://ebooksecure.com/product/ebook-pdf-principles-of-
information-security-5th-edition/

Management of Information Security 6th Edition Michael

E. Whitman - eBook PDF

https://ebooksecure.com/download/management-of-information-
security-ebook-pdf/

Principles of Information Security 6th Edition Whitman

- eBook PDF

https://ebooksecure.com/download/principles-of-information-
security-ebook-pdf/
Elementary Information Security, 3rd Edition (eBook
PDF)

http://ebooksecure.com/product/elementary-information-
security-3rd-edition-ebook-pdf/

(eBook PDF) Health Information: Management of a

Strategic Resource 5th Edition

http://ebooksecure.com/product/ebook-pdf-health-information-
management-of-a-strategic-resource-5th-edition/

Principles of Information Security 7th Edition Michael

E. Whitman - eBook PDF

https://ebooksecure.com/download/principles-of-information-
security-ebook-pdf-2/

Computer and Information Security Handbook - eBook PDF

https://ebooksecure.com/download/computer-and-information-
security-handbook-ebook-pdf/

(Original PDF) Principles of Information Security 6th

by Michael E. Whitman

http://ebooksecure.com/product/original-pdf-principles-of-
information-security-6th-by-michael-e-whitman/
Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203
vi Table of Contents

Organizational Liability and the Need for Counsel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

Key Law Enforcement Agencies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Chapter Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Review Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Closing Case . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Discussion Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Ethical Decision Making . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Endnotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

CHAPTER 3
Governance and Strategic Planning for Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
The Role of Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Precursors to Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Strategic Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Creating a Strategic Plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Planning Levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Planning and the CISO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Information Security Governance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
The ITGI Approach to Information Security Governance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
NCSP Industry Framework for Information Security Governance . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
CERT Governing for Enterprise Security Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
ISO/IEC 27014:2013 Governance of Information Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Security Convergence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Planning for Information Security Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Introduction to the Security Systems Development Life Cycle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Chapter Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Review Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Closing Case . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Discussion Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
Ethical Decision Making . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
Endnotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

CHAPTER 4
Information Security Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Why Policy?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Policy, Standards, and Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Enterprise Information Security Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Integrating an Organization’s Mission and Objectives into the EISP . . . . . . . . . . . . . . . . . . . . . . . . . 146
EISP Elements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Example EISP Elements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Issue-Specific Security Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Elements of the ISSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
Implementing the ISSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
System-Specific Security Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Managerial Guidance SysSPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Technical Specification SysSPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203
 Table of Contents vii

Guidelines for Effective Policy Development and Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

Developing Information Security Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Policy Distribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Policy Reading . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Policy Comprehension . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Policy Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Policy Enforcement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Policy Development and Implementation Using the SecSDLC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Automated Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Other Approaches to Information Security Policy Development . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
SP 800-18, Rev. 1: Guide for Developing Security Plans for Federal Information Systems . . . . . . . . . . . . 173
A Final Note on Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Chapter Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Review Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Closing Case . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Discussion Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Ethical Decision Making . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Endnotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

CHAPTER 5
Developing the Security Program. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Organizing for Security. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
Security in Large Organizations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
Security in Medium-Sized Organizations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Security in Small Organizations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
Placing Information Security Within an Organization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Components of the Security Program . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Information Security Roles and Titles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Chief Information Security Officer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Convergence and the Rise of the True CSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Security Managers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Security Administrators and Analysts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Security Technicians . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Security Staffers and Watchstanders . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Security Consultants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Security Officers and Investigators . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Help Desk Personnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Implementing Security Education, Training, and Awareness Programs . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Security Education . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Security Training. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
Training Techniques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
Security Awareness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
Project Management in Information Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Projects Versus Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
PMBOK Knowledge Areas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
Project Management Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
Chapter Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
Review Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203
viii Table of Contents

Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
Closing Case . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
Discussion Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
Ethical Decision Making . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
Endnotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247

CHAPTER 6
Risk Management: Identifying and Assessing Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Introduction to Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
Knowing Yourself . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Knowing the Enemy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Accountability for Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
Risk Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Identification and Prioritization of Information Assets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
Threat Assessment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
The TVA Worksheet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Risk Assessment and Risk Appetite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
Assessing Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
Likelihood . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
Assessing Potential Impact on Asset Value (Consequences) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
Percentage of Risk Mitigated by Current Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
Uncertainty . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
Risk Determination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
Likelihood and Consequences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
Documenting the Results of Risk Assessment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
Risk Appetite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
Chapter Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
Review Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Closing Case . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
Discussion Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
Ethical Decision Making . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
Endnotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285

CHAPTER 7
Risk Management: Controlling Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
Introduction to Risk Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
Risk Control Strategies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
Transference . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
Mitigation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
Acceptance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
Termination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
Managing Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
Feasibility and Cost–Benefit Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
Other Methods of Establishing Feasibility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Alternatives to Feasibility Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
Recommended Risk Control Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
Qualitative and Hybrid Measures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
Delphi Technique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
The OCTAVE Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203
 Table of Contents ix

Microsoft Risk Management Approach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310

FAIR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
ISO 27005 Standard for InfoSec Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
NIST Risk Management Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
Other Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Selecting the Best Risk Management Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Chapter Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
Review Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Closing Case . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
Discussion Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
Ethical Decision Making . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
Endnotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321

CHAPTER 8
Security Management Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
Introduction to Blueprints, Frameworks, and Security Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Access Control Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
Categories of Access Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
Other Forms of Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
Security Architecture Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
Trusted Computing Base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
Information Technology System Evaluation Criteria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
The Common Criteria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
Academic Access Control Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
Bell-LaPadula Confidentiality Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
Biba Integrity Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
Clark-Wilson Integrity Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
Graham-Denning Access Control Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
Harrison-Ruzzo-Ullman Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
Brewer-Nash Model (Chinese Wall) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
Other Security Management Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
The ISO 27000 Series. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
NIST Security Publications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Control Objectives for Information and Related Technology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
Committee of Sponsoring Organizations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
Information Technology Infrastructure Library . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
Information Security Governance Framework . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
Chapter Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Review Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Closing Case . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Discussion Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Ethical Decision Making . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Endnotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360

CHAPTER 9
Security Management Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Introduction to Security Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Benchmarking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203
x Table of Contents

Standards of Due Care/Due Diligence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365

Selecting Recommended Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
Limitations to Benchmarking and Recommended Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
Baselining . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
Support for Benchmarks and Baselines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
Performance Measurement in InfoSec Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
InfoSec Performance Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
Building the Performance Measurement Program . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
Specifying InfoSec Measurements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Collecting InfoSec Measurements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
Implementing InfoSec Performance Measurement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
Reporting InfoSec Performance Measurements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Trends in Certification and Accreditation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
NIST SP 800-37, Rev. 1: Guide for Applying the Risk Management Framework
to Federal Information Systems: A Security Life Cycle Approach . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
Chapter Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Review Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Closing Case . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Discussion Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Ethical Decision Making . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Endnotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394

CHAPTER 10
Planning for Contingencies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
Introduction to Contingency Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
Fundamentals of Contingency Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
Components of Contingency Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
Business Impact Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Contingency Planning Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
Incident Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
Getting Started . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
Incident Response Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
Incident Response Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
Detecting Incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
Reacting to Incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
Recovering from Incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
Disaster Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
The Disaster Recovery Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Disaster Recovery Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
Disaster Classification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
Planning to Recover . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
Responding to the Disaster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Simple Disaster Recovery Plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Business Continuity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Business Continuity Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
Continuity Strategies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Timing and Sequence of CP Elements. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Crisis Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
Business Resumption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450

Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203
 Table of Contents xi

Testing Contingency Plans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453

Final Thoughts on CP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
Managing Investigations in the Organization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
Digital Forensics Team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Affidavits and Search Warrants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Digital Forensics Methodology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
Evidentiary Policy and Procedures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459
Law Enforcement Involvement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
Chapter Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
Review Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
Closing Case . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
Discussion Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466
Ethical Decision Making . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466
Endnotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466

CHAPTER 11
Personnel and Security. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469
Introduction to Personnel and Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471
Staffing the Security Function . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471
Information Security Positions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
Information Security Professional Credentials . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
(ISC)2 Certifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
ISACA Certifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489
GIAC Certifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492
EC-Council Certifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
CompTIA Certifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
ISFCE Certifications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
Certification Costs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497
Entering the Information Security Profession . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498
Employment Policies and Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
Hiring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
Contracts and Employment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
Security as Part of Performance Evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504
Termination Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504
Personnel Security Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506
Security of Personnel and Personal Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507
Security Considerations for Temporary Employees, Consultants, and Other Workers . . . . . . . . . . . . . . 507
Chapter Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
Review Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
Closing Case . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
Discussion Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
Ethical Decision Making . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
Endnotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516

CHAPTER 12
Protection Mechanisms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521
Introduction to Protection Mechanisms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523
Access Controls and Biometrics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524
Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203
xii Table of Contents

Managing Network Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531

Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
Intrusion Detection and Prevention Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543
Remote Access Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Wireless Networking Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550
Scanning and Analysis Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553
Managing Server-Based Systems with Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557
Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562
Encryption Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564
Using Cryptographic Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571
Managing Cryptographic Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575
Chapter Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
Review Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 578
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579
Closing Case . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580
Discussion Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581
Ethical Decision Making . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581
Endnotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581

APPENDIX
NIST SP 800-26, Security Self-Assessment Guide for Information Technology Systems . . . . . . . . . . . . . . . 583
ISO 17799: 2005 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
The OCTAVE Method of Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
Microsoft Risk Management Approach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616

GLOSSARY . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625
INDEX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 637

Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203
Preface

As global use of the Internet continues to expand, the demand for and reliance on
Internet-based information creates an increasing expectation of access. Modern businesses
take advantage of this and have dramatically increased their Internet presence over the past
decade. This creates an increasing threat of attacks on information assets and a need for
greater numbers of professionals capable of protecting those assets.
To secure these information assets from ever-increasing threats, organizations demand
both breadth and depth of expertise from the next generation of information security prac-
titioners. These professionals are expected to have an optimal mix of skills and experiences
to secure diverse information environments. Students of technology must learn to recog-
nize the threats and vulnerabilities present in existing systems. They must also learn how
to manage the use of information assets securely and support the goals and objectives of
their organizations through effective information security governance, risk management,
and regulatory compliance.

Why This Text Was Written

The purpose of this textbook is to fulfill the need for a quality academic textbook in the dis-
cipline of information security management. While there are dozens of quality publications
on information security and assurance for the practitioner, there are fewer textbooks that

Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203
xiii
xiv Preface

provide the student with an in-depth study of information security management. Specifically,
those in disciplines such as information systems, information technology, computer science,
criminal justice, political science, and accounting information systems must understand the
foundations of the management of information security and the development of managerial
strategy for information security. The underlying tenet of this textbook is that information
security in the modern organization is a management problem and not one that technology
alone can answer; it is a problem that has important economic consequences and one for
which management is accountable.

Approach
This book provides a managerial approach to information security and a thorough treatment
of the secure administration of information assets. It can be used to support information
security coursework for a variety of technology students, as well as for technology curricula
aimed at business students.
Certified Information Systems Security Professional, Certified Information Security Manager,
and NIST Common Bodies of Knowledge—As the authors are Certified Information Systems
Security Professionals (CISSP) and Certified Information Security Managers (CISM), these
knowledge domains have had an influence on the design of this textbook. With the influence
of the extensive library of information available from the Special Publications collection at
the National Institute of Standards and Technology (NIST, at csrc.nist.gov), the authors
have also tapped into additional government and industry standards for information security
management. Although this textbook is by no means a certification study guide, much of the
Common Bodies of Knowledge for the dominant industry certifications, especially in the area
of management of information security, have been integrated into the text.

Overview
Chapter 1—Introduction to the Management
of Information Security
The opening chapter establishes the foundation for understanding the field of information
security by explaining the importance of information technology and identifying who is
responsible for protecting an organization’s information assets. Students learn the definition
and key characteristics of information security, as well as the differences between information
security management and general management.

Chapter 2—Compliance: Law and Ethics

In this chapter, students learn about the legal and regulatory environment and its relationship
to information security. This chapter describes the major national and international laws that
affect the practice of information security, as well as the role of culture in ethics as it applies
to information security professionals.

Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203
 Preface xv

Chapter 3—Governance and Strategic Planning for Security

This chapter explains the importance of planning and describes the principal components of
organizational planning and the role of information security governance and planning within
the organizational context.

Chapter 4—Information Security Policy

This chapter defines information security policy and describes its central role in a successful
information security program. Industry and government best practices promote three major
types of information security policy; this chapter explains what goes into each type, and
demonstrates how to develop, implement, and maintain various types of information security
policies.

Chapter 5—Developing the Security Program

Chapter 5 explores the various organizational approaches to information security and
explains the functional components of an information security program. Students learn the
complexities of planning and staffing for an organization’s information security department
based on the size of the organization and other factors, as well as how to evaluate the inter-
nal and external factors that influence the activities and organization of an information secu-
rity program. This chapter also identifies and describes the typical job titles and functions
performed in the information security program, and concludes with an exploration of the
creation and management of a security education, training, and awareness program. This
chapter also provides an overview of project management, a necessary skill in any technology
or business professional’s portfolio.

Chapter 6—Risk Management: Identifying and Assessing Risk

This chapter defines risk management and its role in the organization, and demonstrates
how to use risk management techniques to identify and prioritize risk factors for informa-
tion assets. The risk management model presented here assesses risk based on the likeli-
hood of adverse events and the effects on information assets when events occur. This
chapter concludes with a brief discussion of how to document the results of the risk iden-
tification process.

Chapter 7—Risk Management: Controlling Risk

This chapter presents essential risk mitigation strategy options and opens the discussion on
controlling risk. Students learn how to identify risk control classification categories, use exist-
ing conceptual frameworks to evaluate risk controls, and formulate a cost benefit analysis.
They also learn how to maintain and perpetuate risk controls.

Chapter 8—Security Management Models

This chapter describes the components of the dominant information security management
models, including U.S. government and internationally sanctioned models, and discusses
how to customize them for a specific organization’s needs. Students learn how to implement
the fundamental elements of key information security management practices. Models include
NIST, ISO, and a host of specialized information security research models that help students
understand confidentiality and integrity applications in modern systems.
Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203
xvi Preface

Chapter 9—Security Management Practices

This chapter describes the fundamentals and emerging trends in information security man-
agement practices and explains how these practices help organizations meet U.S. and
international compliance standards. The chapter contains an expanded section on security
performance measurement and covers concepts of certification and accreditation of IT
systems.

Chapter 10—Planning for Contingencies

This chapter describes and explores the major components of contingency planning and the
need for them in an organization. The chapter illustrates the planning and development of
contingency plans, beginning with the business impact analysis, and continues through the
implementation and testing of contingency plans.

Chapter 11—Personnel and Security

This chapter expands upon the discussion of the skills and requirements for information
security positions introduced in Chapter 5. It explores the various information security pro-
fessional certifications and identifies which skills are encompassed by each. The second half
of the chapter explores the integration of information security issues associated with person-
nel management to regulate employee behavior and prevent misuse of information, as part of
an organization’s human resources function.

Chapter 12—Protection Mechanisms

This chapter introduces students to the world of technical controls by exploring access con-
trol approaches, including authentication, authorization, and biometric access controls, as
well as firewalls and the common approaches to firewall implementation. It also covers the
technical control approaches for dial-up access, intrusion detection and prevention systems,
and cryptography.

Appendix
The appendix reproduces an essential security management self-assessment model from the
NIST library. It also includes a questionnaire from the ISO 27002 body that could be used
for organizational assessment. The appendix provides additional detail on various risk man-
agement models, including OCTAVE and the OCTAVE variants, the Microsoft Risk Manage-
ment Model, Factor Analysis of Information Risk (FAIR), ISO 27007, and NIST SP 800-30.

Features
Chapter Scenarios—Each chapter opens with a short vignette that follows the same fictional
company as it encounters various information security issues. The final part of each chapter
is a conclusion to the scenario that also offers questions to stimulate in-class discussion.
These questions give the student and the instructor an opportunity to explore the issues that
underlie the content.
View Points—An essay from an information security practitioner or academic is included in
each chapter. These sections provide a range of commentary that illustrate interesting topics
or share personal opinions, giving the student a wider, applied view on the topics in the text.
Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203
 Preface xvii

Offline Boxes—These highlight interesting topics and detailed technical issues, allowing the
student to delve more deeply into certain topics.
Hands-On Learning—At the end of each chapter, students will find a Chapter Summary and
Review Questions as well as Exercises and Closing Case exercises, which give them the
opportunity to examine the information security arena from an experiential perspective.
Using the Exercises, students can research, analyze, and write to reinforce learning objectives
and deepen their understanding of the text. The Closing Case exercises require that students
use professional judgment, powers of observation, and elementary research to create solu-
tions for simple information security scenarios.

New to This Edition

This fifth edition of Management of Information Security tightens its focus on the managerial
aspects of information security, continues to expand the coverage of governance and compli-
ance issues, and continues to reduce the coverage of foundational and technical components.
While retaining enough foundational material to allow reinforcement of key concepts, this
edition has fewer technical examples. This edition also contains updated in-depth discussions
and Offline features, and additional coverage in key managerial areas: risk management,
information security governance, access control models, and information security program
assessment and metrics. Chapter 1 consolidates all the introductory and general IT manage-
rial material.
Each chapter now has key terms clearly delineated and defined in the preface of each
major section. This approach provides clear, concise definitions for use in instruction and
assessment.
In general, the entire text has been updated and re-organized to reflect changes in the field,
including revisions to sections on national and international laws and standards, such as the
ISO 27000 series, among others. Throughout the text, the content has been updated, with
newer and more relevant examples and discussions. A complete coverage matrix of the topics
in this edition is available to instructors to enable mapping of the previous coverage to the
new structure. Please contact your sales representative for access to the matrix.

MindTap
MindTap for Management of Information Security is an online learning solution designed to
help students master the skills they need in today’s workforce. Research shows employers
need critical thinkers, troubleshooters, and creative problem-solvers to stay relevant in our
fast-paced, technology-driven world. MindTap helps users achieve this with assignments and
activities that provide hands-on practice, real-life relevance, and mastery of difficult concepts.
Students are guided through assignments that progress from basic knowledge and under-
standing to more challenging problems.
All MindTap activities and assignments are tied to learning objectives. The hands-on exer-
cises provide real-life application and practice. Readings and “Whiteboard Shorts” support
the lecture, while “In the News” assignments encourage students to stay current. Pre- and
post-course assessments allow you to measure how much students have learned using analyt-
ics and reporting that makes it easy to see where the class stands in terms of progress,
engagement, and completion rates. Use the content and learning path as-is, or pick and

Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203
xviii Preface

choose how the material will wrap around your own. You control what the students see and
when they see it. Learn more at www.cengage.com/mindtap/.

Instructor Resources
Free to all instructors who adopt Management of Information Security, 5e for their courses is
a complete package of instructor resources. These resources are available from the Cengage
Learning Web site, www.cengagebrain.com. Go to the product page for this book in the
online catalog and choose “Instructor Downloads.”
Resources include:
● Instructor’s Manual: This manual includes course objectives and additional informa-
tion to help your instruction.
● Cengage Learning Testing Powered by Cognero: A flexible, online system that allows
you to import, edit, and manipulate content from the text’s test bank or elsewhere,
including your own favorite test questions; create multiple test versions in an instant;
and deliver tests from your LMS, your classroom, or wherever you want.
● PowerPoint Presentations: A set of Microsoft PowerPoint slides is included for each
chapter. These slides are meant to be used as a teaching aid for classroom presentations,
to be made available to students for chapter review, or to be printed for classroom dis-
tribution. Instructors are also at liberty to add their own slides.
● Figure Files: Figure files allow instructors to create their own presentations using figures
taken from the text.
● Lab Manual: Cengage Learning has produced a lab manual (Hands-On Information
Security Lab Manual, Fourth Edition) written by the authors that can be used to
provide technical experiential exercises in conjunction with this book. Contact your
Cengage Learning sales representative for more information.
● Readings and Cases: Cengage Learning also produced two texts—Readings and Cases
in the Management of Information Security (ISBN-13: 9780619216276) and Readings
& Cases in Information Security: Law & Ethics (ISBN-13: 9781435441576)—by the
authors, which make excellent companion texts. Contact your Cengage Learning sales
representative for more information.
● Curriculum Model for Programs of Study in Information Security: In addition to the
texts authored by this team, a curriculum model for programs of study in Information
Security and Assurance is available from the Kennesaw State University Center for
Information Security Education (http://infosec.kennesaw.edu). This document provides
details on designing and implementing security coursework and curricula in academic
institutions, as well as guidance and lessons learned from the authors’ perspective.

Author Team
Michael Whitman and Herbert Mattord have jointly developed this textbook to merge knowl-
edge from the world of academic study with practical experience from the business world.
Michael Whitman, Ph.D., CISM, CISSP is a Professor of Information Security in the Informa-
tion Systems Department, Coles College of Business at Kennesaw State University, Kennesaw,
Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203
 Preface xix

Georgia, where he is also the Executive Director of the Center for Information Security Educa-
tion (infosec.kennesaw.edu), Coles College of Business. He and Herbert Mattord are the
authors of Principles of Information Security; Principles of Incident Response and Disaster
Recovery; Readings and Cases in the Management of Information Security; Readings &
Cases in Information Security: Law & Ethics; Guide to Firewall and VPNs; Guide to
Network Security; Roadmap to the Management of Information Security; and Hands-On
Information Security Lab Manual, all from Cengage Learning. Dr. Whitman is an active
researcher in Information Security, Fair and Responsible Use Policies, and Ethical Computing.
He currently teaches graduate and undergraduate courses in Information Security. He has
published articles in the top journals in his field, including Information Systems Research, the
Communications of the ACM, Information and Management, the Journal of International
Business Studies, and the Journal of Computer Information Systems. He is an active member
of the Information Systems Security Association, the Association for Computing Machinery,
ISACA, (ISC)2, and the Association for Information Systems. Through his efforts and those
of Dr. Mattord, his institution has been recognized by the Department of Homeland Security
and the National Security Agency as a National Center of Academic Excellence in Information
Assurance Education four times, most recently in 2015. Dr. Whitman is also the Editor-in-
Chief of the Information Security Education Journal, a DLINE publication, and he continually
solicits relevant and well-written articles on InfoSec pedagogical topics for publication. Prior
to his employment at Kennesaw State, he taught at the University of Nevada Las Vegas, and
served over 13 years as an officer in the U.S. Army.
Herbert Mattord, Ph.D., CISM, CISSP completed 24 years of IT industry experience as an
application developer, database administrator, project manager, and information security
practitioner in 2002. He is currently an Associate Professor of Information Security in the
Coles College of Business at Kennesaw State University. He and Michael Whitman are the
authors of Principles of Information Security; Principles of Incident Response and Disaster
Recovery; Readings and Cases in the Management of Information Security; Guide to
Network Security; and Hands-On Information Security Lab Manual, all from Cengage
Learning. During his career as an IT practitioner, Mattord has been an adjunct professor
at Kennesaw State University; Southern Polytechnic State University in Marietta, Georgia;
Austin Community College in Austin, Texas; and Texas State University: San Marcos. He
currently teaches undergraduate courses in Information Security. He is the Assistant Chair
of the Department of Information Systems and is also an active member of the Information
Systems Security Association and Information Systems Audit and Control Association. He
was formerly the Manager of Corporate Information Technology Security at Georgia-
Pacific Corporation, where much of the practical knowledge found in this and his earlier
textbooks was acquired.

Acknowledgments
The authors would like to thank their families for their support and understanding for the
many hours dedicated to this project—hours taken, in many cases, from family activities.
Special thanks to Carola Mattord, Ph.D., Professor of English at Kennesaw State University.
Her reviews of early drafts and suggestions for keeping the writing focused on the students
resulted in a more readable manuscript.

Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203
xx Preface

Reviewers
We are indebted to the following individuals for their contributions of perceptive feedback on
the initial proposal, the project outline, and the chapter-by-chapter reviews of the text:
● Wasim A. AlHamdani, Ph.D., IACR, IEEE, ACM, CSAB (ABET Eva.), Professor of
Cryptography and InfoSec, College of Business and Computer Sciences, Kentucky State
University, Frankfort, KY
● James W. Rust, MSIS, MCSE: Security, MCSA: Security, MCDBA, MCP, CompTIA,
CTT+, Project+, Security+, Network+, A+, Implementation Engineer, Buford, GA
● Paul D. Witman, Ph.D., Associate Professor, Information Technology Management,
California Lutheran University, School of Management, Thousand Oaks, CA

Special Thanks
The authors wish to thank the Editorial and Production teams at Cengage Learning. Their
diligent and professional efforts greatly enhanced the final product:
Natalie Pashoukos, Senior Content Developer
Dan Seiter, Developmental Editor
Kristin McNary, Product Team Manager
Amy Savino, Associate Product Manager
Brooke Baker, Senior Content Project Manager
In addition, several professional and commercial organizations and individuals have aided
the development of this textbook by providing information and inspiration, and the authors
wish to acknowledge their contributions:
Charles Cresson Wood
NetIQ Corporation
The View Point authors:
● Henry Bonin
● Lee Imrey
● Robert Hayes and Kathleen Kotwicka
● David Lineman
● Paul D. Witman & Scott Mackelprang
● George V. Hulme
● Tim Callahan
● Mark Reardon
● Martin Lee
● Karen Scarfone
● Alison Gunnels
● Todd E. Tucker
Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203
 Preface xxi

Our Commitment
The authors are committed to serving the needs of the adopters and readers. We would be
pleased and honored to receive feedback on the textbook and its supporting materials. You
can contact us through Cengage Learning at [email protected].

Foreword
By David Rowan, Senior Vice President and Director
Technology Risk and Compliance, SunTrust Banks, Inc.
If you are reading this, I want to thank you. Your perusal of this text means you are inter-
ested in a career in Information Security or have actually embarked on one. I am thanking
you because we—and by we I mean all of us—need your help.
You and I live in a world completely enabled, supported by, and allowed by technology.
In almost all practical respects, the things you and I take for granted are created by our
technology. There is technology we see and directly interact with, and technology we
don’t see or are only peripherally aware of. For example, the temperature of my home is
monitored and maintained based on a smart thermostat’s perception of my daily habits
and preferences. I could check it via the app or wait for an alert via text message, but I
don’t—I just assume all is well, confident that I will be informed if something goes amiss.
Besides, I am more interested in reading my personal news feed….
With respect to technology, we occupy two worlds, one of intent and realized actions and
another of services that simply seem to occur on their own. Both these worlds are necessary,
desirable, growing, and evolving. Also, both these worlds are profoundly underpinned by one
thing: our trust in them to work.
We trust that our phones will work, we trust that we will have electricity, we trust that our
purchases are recorded accurately, we trust that our streaming services will have enough
bandwidth, we trust that our stock trades and bank transactions are secure, we trust that
our cars will run safely, and I trust that my home will be at the right temperature when I
walk in the door.
The benefits of our trust in technology are immeasurable and hard won. The fact that we
can delegate tasks, share infrastructure, exchange ideas and information, and buy goods
and services almost seamlessly benefits us all. It is good ground worth defending. How-
ever, the inevitable and unfortunate fact is that some among us prey upon our trust; they
will work tirelessly to disrupt, divert, or destroy our intents, actions, comfort, well-being,
information, and whatever else our technology and the free flow of information offers.
The motives of these actors matter, but regardless of why they threaten what technology
gives us, the actions we take to safeguard it is up to us. That’s why I am glad you are
reading this. We need guardians of the trust we place in technology and the information
flow it enables.

Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203
xxii Preface

I have been in the financial industry for 35 years, and have spent the latter half of it focused
on information security and the related fields of fraud management, business continuity,
physical security, and legal and regulatory compliance. I have seen the evolution of technol-
ogy risk management from a necessary back-office function to a board-level imperative with
global implications. The bound interrelationships among commerce, infrastructure, basic util-
ities, safety, and even culture exist to the extent that providing security is now dominantly a
matter of strategy and management, and less a matter of the tools or technology de jure.
There’s an old saying that it’s not the tools that make a good cabinet, but the skill of the car-
penter. Our tools will change and evolve; it’s how we use them that really matter.
This fifth edition of Management of Information Security is a foundational source that embo-
dies the current best thinking on how to plan, govern, implement, and manage an informa-
tion security program. It is holistic and comprehensive, and provides a path to consider all
aspects of information security and to integrate security into the fabric of the things we
depend on and use. It provides specific guidance on strategy, policy development, risk identi-
fication, personal management, organization, and legal matters, and places them in the con-
text of a broader ecosystem. Strategy and management are not merely aspects of information
security; they are its essence—and this text informs the what, why, and how of it.
Management of Information Security is a vital resource in the guardianship of our world of
modern conveniences. I hope you will become a part of this community.
—Atlanta, Georgia, February 2016

Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203
 chapter 1

Introduction to the Management

of Information Security

Management is, above all, a practice where art, science, and craft meet.
—HENRY MINTZBERG
One month into her new position at Random Widget Works, Inc. (RWW), Iris Majwubu
left her office early one afternoon to attend a meeting of the local chapter of the Information
Systems Security Association (ISSA). She had recently been promoted from her previous
assignment at RWW as an information security risk manager to become the first chief infor-
mation security officer (CISO) to be named at RWW.
This occasion marked Iris’s first ISSA meeting. With a mountain of pressing matters on her clut-
tered desk, Iris wasn’t exactly certain why she was making it a priority to attend this meeting. She
sighed. Since her early morning wake-up, she had spent many hours in business meetings, fol-
lowed by long hours at her desk working toward defining her new position at the company.
At the ISSA meeting, Iris saw Charlie Moody, her supervisor from the company she used to
work for, Sequential Label and Supply (SLS). Charlie had been promoted to chief information
officer (CIO) of SLS almost a year ago.
“Hi, Charlie,” she said.
“Hello, Iris,” Charlie said, shaking her hand. “Congratulations on your promotion. How are
things going in your new position?”
“So far,” she replied, “things are going well—I think.”

Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203 1
 Another Random Document on
Scribd Without Any Related Topics
additum[16], quoniam qui primi Rhenum transgressi Gallos expulerint
ac nunc Tungri[17], tunc Germani vocati sint: ita, nationis nomen,
non gentis[18], evaluisse paulatim, ut omnes primum a victore ob
metum, mox[19] etiam a se ipsis invento nomine Germani
vocarentur[20].
[1] Ipsos marque ici la transition. Tacite passe du pays
aux habitants eux-mêmes. Cf. Agricola, 13, une transition
analogue.
[2] Crediderim. Le subjonctif affaiblit encore
l’affirmation déjà adoucie par l’emploi de ce verbe. (Gr.
lat., 423.)
[3] Adventibus peut s’appliquer à des immigrations
(adventus gallicus dans Cicéron signifie l’invasion des
Gaulois), hospitiis, seulement à des relations pacifiques.
Cette opinion de Tacite et, par conséquent, les raisons
sur lesquelles il l’appuie sont inexactes. De grandes
migrations venues d’Asie ont peuplé l’Europe, et elles se
sont effectuées par terre; mais Tacite songe à combattre
l’opinion d’après laquelle des immigrations auraient eu
lieu des bords de la Méditerranée, et en ce sens il a
raison.
[4] Quærebant. Ce verbe ne se construit pas
d’ordinaire avec l’infinitif, sauf chez les poètes, et
postérieurement à l’époque classique.
[5] (Oceanus) ultra. L’océan qui s’étend vers le nord
de l’autre côté de la Germanie. Ultra joue ici le rôle
d’adjectif. Cette façon de parler, que l’existence d’un
article en grec rend très fréquente dans cette langue, est
rare en latin, du moins chez Cicéron et César, mais Tite-
Live et Tacite en usent assez souvent. Cf. Riemann, Synt.
lat., § 5.
[6] Adversus. Ce mot signifie ici opposé (au monde
romain dont la Méditerranée occupait le centre). On le
traduit quelquefois par hostile (cf. 34, note 6) et, comme
on dit souvent adverso flumine navigare, on a pensé
aussi que Tacite voulait marquer par ce mot qu’en allant
vers le Nord on est en quelque façon obligé de remonter
l’Océan, que les anciens se représentaient comme un
fleuve entourant la terre.
[7] Porro introduit une confirmation du raisonnement
commencé. Præter = ut prætermittam, sans parler de.
[8] Quis... peteret? Qui aurait gagné la Germanie? Sur
la signification de cet imparfait du subjonctif (potentiel
du passé), cf. Ragon, Gr. lat., 423, rem. 3.
[9] Tristem cultu aspectuque. D’après Tacite, le sol
de la Germanie n’est pas favorable à la culture et ne
rachète même pas ce défaut par le pittoresque de son
aspect. Il manque à la fois de fertilité et de beauté. —
Nisi si est un pléonasme de la langue familière.
[10] Quod s’accorde avec l’attribut au lieu de s’accorder
avec son antécédent. (Gr. lat., 360.) — Memoriæ et
annalium genus: pléonasme, cf. 1, note 9. Memoria,
terme plus général, désigne tout moyen de conserver le
souvenir des événements, annales désigne plus
spécialement l’histoire écrite.
[11] Tuistonem, Mannum. On croit reconnaître dans
ces deux mots l’allemand deutsch (Allemand) et Mann
(homme).
[12] Originem gentis conditoresque: pléonasme. Cf.
note 10. Ce sens du mot conditor est fréquent chez
Virgile.
[13] Vocentur: subjonctif du discours indirect.
Assignant équivaut en effet à fuisse dicunt. (Gr. lat., 452
et rem.)
[14] Quidam: il s’agit, non des Germains, mais des
Romains qui se sont occupés des antiquités
germaniques.
[15] Ut s’emploie souvent pour introduire une explication
fondée sur l’expérience, sur un fait habituel. Il équivaut
alors à ut fieri solet. — Licentia vetustatis. Les temps
 reculés fournissent plus ample matière à la légende et
plus de liberté aux discussions historiques.
[16] Recens et nuper additum: pléonasme. Cf. 1, note
9. Virgile, Énéide, I, 267: Cui nunc cognomen Julo
Additur. — Cette phrase continue le discours indirect
introduit par affirmant; de là l’emploi des subjonctifs
expulerint, vocati sint.
[17] Après Tungri, suppléez vocentur au lieu de vocati
sint; c’est la figure appelée zeugma.
[18] Gentis, la race entière. Natio, une peuplade.
[19] Mox: cf. 10, note 4.
[20] Vocarentur. À propos de cette phrase un savant
commentateur dit: Interpretes hic fluctuant et
fluctuabunt æternum. On peut l’expliquer ainsi: tous ces
barbares d’abord appelés du nom de Germains par les
vainqueurs des Gaulois (c.-à-d. les Tungres) dans le
dessein d’effrayer leurs adversaires, se désignèrent
ensuite eux-mêmes de ce nom une fois inventé. Ces
explications de Tacite sont naturellement fort sujettes à
caution. Cf. lexique des noms propres, Germani.

3. Fuisse apud eos et Herculem memorant[1], primumque omnium

virorum fortium ituri in prœlia canunt. Sunt illis hæc[2] quoque
carmina, quorum relatu[3], quem barditum[4] vocant, accendunt
animos futuræque pugnæ fortunam ipso cantu augurantur: terrent
enim trepidantve, prout sonuit[5] acies, nec tam vocis ille quam
virtutis concentus videtur. Affectatur præcipue asperitas soni et
fractum murmur[6], objectis ad os scutis, quo[7] plenior et gravior
vox repercussu intumescat. Ceterum[8] et Ulixen[9] quidam
opinantur longo illo[10] et fabuloso errore in hunc Oceanum delatum
adisse Germaniæ terras, Asciburgiumque, quod in ripa Rheni situm
hodieque[11] incolitur, ab illo constitutum nominatumque[12]; aram
quin etiam[13] Ulixi[14] consecratam, adjecto Laertæ patris nomine,
eodem loco olim repertam, monumentaque et tumulos[15] quosdam
Græcis litteris inscriptos in confinio Germaniæ Rætiæque adhuc
exstare. Quæ neque confirmare argumentis neque refellere in animo
est[16]: ex ingenio suo quisque demat vel addat fidem[17].
[1] Memorant (quidam). Cf. 2, note 14. — Herculem,
«un Hercule», et non pas l’Hercule grec. — Primum,
«comme le premier».
[2] Hæc: certains commentateurs trouvent ce mot
embarrassant, et proposent de le changer en alia. Il
indique que l’existence de ces chants était bien connue
des Romains.
[3] Relatu: Tacite paraît être le premier, et peut-être le
seul qui ait employé ce mot dans le sens de «exécution
d’un chant».
[4] Barditum ou baritum: l’un, dit-on, viendrait de
Bardhi (bouclier), l’autre de Baren (crier).
[5] Sonuit, s.-e. cantu.
[6] Fractum murmur, sons saccadés. Virg., Georg., 4,
72: Vox..... fractos sonitus imitata tubarum.
[7] Quo: cf. Gr. lat., 472.
[8] Ceterum indique que le développement reprend son
cours normal après les détails donnés sur le chant des
barbares.
[9] Ulixen. Le manque d’un sens critique assez
développé a souvent conduit les anciens à identifier des
légendes sur de simples ressemblances de noms. Les
auteurs latins et grecs paraissent avoir été trompés par
le nom celtique Ulohoxis.
[10] Ille est souvent emphatique: «ce voyage si
fameux». Mais dans hunc oceanum, le pronom hic (ille
chez les classiques) rappelle seulement qu’on a déjà
parlé de cette mer.
[11] Hodieque a le sens non classique de hodie
quoque, etiam hodie. Cf. Riemann, Synt. lat., p. 504,
 note. On sous-entend quelquefois est après situm, que
conservant son sens ordinaire.
[12] Nominatumque. On suppose une lacune après ces
mots. Tacite aurait écrit sans doute le nom grec qu’on
supposait remonter à Ulysse, peut-être ἀστυπύργιον
ἀσκιπύργιον. Très probablement les anciens ont été
trompés ici encore par une fausse analogie. Il y a
aujourd’hui près du Rhin une localité nommée Asburg.
[13] Quin etiam. Tacite aime à placer cette locution
après un mot. Cf. 8, Inesse quin etiam...; 34, Ipsum quin
etiam.
[14] Ulixi (= ab Ulixe): datif avec le passif. Certains
commentateurs s’opposent à ce que ce datif soit regardé
comme désignant l’agent, à cause de adjecto patris
nomine, et traduisent: «autel consacré à Ulysse».
[15] Monumenta et tumulos. Comme au ch. 2:
memoriæ et annalium genus, le mot général précède le
mot spécial. Cf. 1, note 9.
[16] In animo est: cette expression paraît avoir
appartenu surtout au langage familier. Cf. Riemann, Synt.
lat., § 183, 2o.
[17] Ex ingenio, d’après sa tournure d’esprit. Cf. 7, note
1. — Demere et addere fidem sont des expressions
poétiques; elles ne signifient pas seulement «croire» ou
«ne pas croire», mais «accréditer» ou «discréditer». Cf.
Annales, IV, 9: Ad vana revolutus vero quoque fidem
dempsit. Histoires, III, 39: Addidit facinori fidem. Mais,
dans Ovide, Remed. am., 290, Deme veneficiis
carminibusque fidem signifie simplement «ôte ta
confiance, cesse de croire à...».

4. Ipse eorum opinionibus[1] accedo, qui Germaniæ populos

nullis[2] aliarum nationum conubiis infectos[3] propriam et sinceram
et tantum sui similem gentem exstitisse arbitrantur. Unde habitus[4]
quoque corporum, quanquam in tanto hominum numero, idem
omnibus: truces et cærulei oculi, rutilæ comæ, magna corpora et
tantum ad impetum[5] valida; laboris atque operum[6] non eadem[7]
patientia, minimeque sitim æstumque tolerare, frigora atque inediam
cælo solove[8] assueverunt.
[1] Opinionibus. Tacite met le pluriel, bien qu’il ne
s’agisse que d’une seule opinion, parce qu’il pense à
chaque érudit en particulier. On écrit d’ailleurs aussi
opinioni.
[2] Aliis est employé à la façon des Grecs, pour
renforcer aliarum. Cf. Dial. des orateurs, 10: Ceteris
aliarum artium studiis. On prend aussi quelquefois aliis
dans le sens fort d’«étrangers». D’autres le suppriment
simplement.
[3] Parfois inficere signifie seulement «imprégner,
mélanger». Sénèque: Sapientia nisi infecit animum...
mais l’idée d’altération, de corruption s’y ajoute souvent.
Cf. 46: Conubiis mixtis nonnihil in Sarmatarum habitum
fœdantur.
[4] Habitus. Il ne s’agit pas de la constitution intérieure,
mais de la conformation, de l’aspect extérieur. Cf. 17,
note 9.
[5] Impetum, l’élan, c.-à-d. les actions qui demandent
une certaine impétuosité.
[6] Laboris (travail en général) et operum (travaux
militaires): cf. 1, note 9.
[7] Non eadem indique une comparaison et suppose
deux termes; mais si le second ressort du contexte,
Tacite l’omet souvent. Cf. 23 et 35.
[8] Cælo solove: ablatifs de cause; l’inclémence du ciel
les habitue au froid, la stérilité du sol, à la faim.
Remarquez la construction de la phrase: d’un côté sitim
æstumque, de l’autre frigora et inediam, opposés par
asyndète, avec entre-croisement. Mais il est inutile de
supposer que Tacite, pour plus de variété encore, fait
 dépendre le premier membre de tolerare, le second
directement de assueverunt: tolerare gouverne les deux
membres.

5. Terra etsi aliquanto[1] specie differt, in universum[2] tamen aut

silvis horrida aut paludibus fœda, humidior, qua Gallias, ventosior
qua Noricum ac Pannoniam aspicit; satis[3] ferax, frugiferarum
arborum impatiens, pecorum[4] fecunda, sed plerumque
improcera[5]. Ne armentis quidem suus[6] honor aut gloria frontis:
numero gaudent, eæque solæ et gratissimæ opes sunt. Argentum et
aurum propitiine an irati dii negaverint dubito[7]; nec tamen
affirmaverim[8] nullam Germaniæ venam argentum aurumve
gignere: quis enim scrutatus est[9]? Possessione et usu haud
perinde[10] afficiuntur. Est videre[11] apud illos argentea vasa, legatis
et principibus eorum muneri data, non in alia[12] vilitate quam quæ
humo finguntur; quanquam[13] proximi ob usum commerciorum
aurum et argentum in pretio habent[14] formasque quasdam nostræ
pecuniæ[15] agnoscunt atque eligunt; interiores simplicius et
antiquius permutatione mercium utuntur. Pecuniam probant veterem
et diu notam[16], serratos bigatosque; argentum quoque magis
quam aurum sequuntur, nulla affectione animi[17], sed quia numerus
argenteorum facilior usui est promiscua ac vilia mercantibus.
[1] Aliquanto, jusqu’à un certain point. Trad.: «Bien
que le pays offre des aspects assez divers».
[2] In universum, en général, en faisant abstraction
des différences partielles. Cf. 6: In universum æstimanti,
et la note. Les expressions de ce genre sont fréquentes
chez Tacite. Cf. 27 et 38, in commune; 21, in publicum.
— Horrida, s.-e. est.
[3] Satis (ablatif pluriel) désigne tout ce qui se sème,
spécialement les céréales, mais aussi d’autres graines. Il
s’oppose à frugiferarum arborum, qui signifie les arbres
fruitiers proprement dits, c.-à-d. cultivés, comme en
Italie; autrement il y aurait contradiction avec le chap.
23, où Tacite dit que les Germains vivaient de fruits
sauvages.
[4] Pecus désigne le bétail en général, comme chevaux,
bœufs, brebis, et sans doute aussi, en cet endroit, porcs.
Il signifie spécialement le menu bétail quand il est
opposé à armenta, qui désigne les gros animaux
employés au labour.
[5] Improcera (hæc pecora sunt). La substitution subite
d’un nouveau sujet, d’ailleurs sous-entendu, rend cette
construction fort dure.
[6] Suus, qui leur convient. Tacite en juge d’après les
bœufs d’Italie qui avaient et ont encore de fort longues
cornes. Pour cet emploi de suus avec un nominatif, cf.
Ragon, Gr. lat., 346, 1o, et Riemann, Synt. lat., § 9, rem.
IV. — Honor et gloria sont pris métaphoriquement pour
ce qui les produit. Aut distingue nettement les deux
qualités: honor, c’est la grandeur de la taille (proceritas);
gloria frontis, c’est la longueur des cornes.
[7] Dubito. Une de ces pointes fréquentes chez Tacite et
fort recherchées des écrivains de son temps.
[8] Affirmaverim: cf. 2, note 2.
[9] Scrutatus est. Tacite raconte dans les Annales (XI,
20) qu’un certains Rufus exploitait une mine d’argent en
Germanie. Mais il ignorait encore ce fait quand il
composa ce livre, ou peut-être n’a-t-il pas cru devoir en
tenir compte, car cette entreprise rapporta peu de chose
et ne dura pas: Unde tenuis fructus nec in longum fuit.
[10] Haud perinde. Les uns expliquent: «ils sont
inégalement touchés, les uns plus, les autres moins».
D’autres, suppléant le second terme de la comparaison,
traduisent: «Ils ne sont pas touchés de la même manière
que nous», ou entendent: Possessione haud perinde
 quam (atque) usu afficiuntur. Il est plus simple de
traduire haud perinde par «non pas tellement, pas
beaucoup, pas comme on pourrait le croire», en grec,
οὐχ ὁμοίως. On en a des exemples dans Suétone (Tiber.,
52): Tiberius ne mortuo quidem Druso perinde affectus
est; et dans Tacite même: Arminius Romanis haud
perinde celebris.
[11] Est videre, en grec ἔστιν (= ἔξεστιν) ἰδεῖν; cette
construction est peut-être d’origine vulgaire. Cf.
Riemann, page 299, note, où ce passage est cité.
[12] Non in alia = in eadem, in pari vilitate.
[13] Quanquam, cependant (Gr. lat., 499, rem.). —
Proximi (s.-e. nobis) est opposé à interiores, trois lignes
plus loin. — Usus commerciorum dit plus que
commercium seul; c’est la pratique habituelle des
relations commerciales.
[14] In pretio habere, «attacher du prix à». Ovide: In
pretio pretium nunc est, on attache aujourd’hui du prix à
l’argent seul.
[15] Pecunia, ici «argent monnayé, monnaie».
[16] Veterem et diu notam. Ce n’était pas sans raison,
car les anciennes pièces contenaient plus de métal
précieux. Serratos bigatosque (denarios). Les serrati
(serra, scie) avaient le bord dentelé; les bigati portaient
l’effigie d’une Victoire conduisant un char à deux chevaux
(bigæ).
[17] Nulla affectione animi: ce n’est pas chez eux une
affaire de sentiment, de goût, mais une préférence
fondée sur la commodité. — Promiscua, à la portée de
tous, vulgaire, commun.

6. Ne ferrum quidem superest[1], sicut ex genere telorum

colligitur. Rari[2] gladiis aut majoribus lanceis utuntur: hastas vel
ipsorum vocabulo frameas gerunt, angusto et brevi ferro[3], sed ita
acri et ad usum habili, ut eodem telo, prout ratio poscit, vel cominus
vel eminus pugnent. Et eques quidem scuto frameaque contentus
est; pedites et missilia[4] spargunt, plura singuli, atque in
immensum[5] vibrant, nudi aut sagulo leves[6]. Nulla cultus[7]
jactatio; scuta tantum lætissimis coloribus[8] distinguunt. Paucis
loricæ, vix uni alterive cassis aut galea[9]. Equi non forma, non
velocitate conspicui; sed nec variare gyros[10] in morem nostrum
docentur: in rectum aut uno flexu dextros agunt, ita conjuncto
orbe[11] ut nemo posterior sit. In universum æstimanti[12] plus
penes peditem roboris; eoque[13] mixti prœliantur, apta et
congruente ad equestrem pugnam velocitate[14] peditum, quos ex
omni juventute delectos ante aciem locant. Definitur et numerus:
centeni ex singulis pagis sunt, idque ipsum inter suos vocantur[15],
et quod primo numerus fuit, jam nomen et honor est. Acies per
cuneos[16] componitur. Cedere loco, dummodo rursus instes, consilii
quam[17] formidinis arbitrantur. Corpora suorum etiam in dubiis
prœliis referunt. Scutum reliquisse præcipuum[18] flagitium, nec aut
sacris adesse aut concilium inire ignominioso fas; multique
superstites bellorum infamiam laqueo finierunt[19].
[1] Superest, litt., est surabondant. Térence: Cui tanta
erat res et supererat. Traduisez: le fer lui-même n’est pas
fort abondant.
[2] Rari, c’est le petit nombre qui se sert de.
[3] Angusto et brevi ferro. Cependant Tacite désigne
ainsi les armes des Germains, Annales, I, 64: Hastæ
ingentes; II, 14: enormes hastas; II, 21: prælongas
hastas. On n’est pas d’accord sur la forme de la framée.
Les uns en font une épée, les autres une hache. Si
certaines armes, découvertes dans les tombeaux
mérovingiens, sont bien les antiques framées, elles
avaient la forme d’une pique. C’est aussi ce que ferait
croire la ressemblance du mot framea avec l’allemand
Pfriem, qui désigne un corps long et pointu, comme une
broche; Mullenhof le rapproche de l’ancien allemand
fram, en avant.
[4] Missilia (de missus), tout ce qui peut être lancé,
projectiles de toute espèce, spécialement javelots et
pierres.
[5] In immensum. Cf. 1, note 5.
[6] Leves, «vêtus légèrement», c.-à-d. portant le léger
vêtement appelé sagulum, plus court que le sagum. Cf.
17, note 1.
[7] Cultus, l’habillement, l’équipement considéré au
point de vue de l’ornementation. Trad., «ils n’ont pas la
vanité du costume».
[8] Lætissimis coloribus, couleurs très voyantes,
opposées aux couleurs sombres des boucliers des
Hariens au ch. 43. On écrit aussi lectissimis qui paraît
moins satisfaisant. Stace, Ach., I, 323: lætum rubere.
[9] Vix uni alterive, à peine un ou deux. — Cassis,
casque en métal; galea, casque en cuir.
[10] Variare gyros = in varios gyros ire.
[11] Orbe. Certains commentateurs pensent que les
Germains font manœuvrer leurs chevaux droit devant
eux (in rectum) ou en cercle fermé (conjuncto orbe)
dans lequel personne ne se trouve le dernier. Mais ce
mouvement paraît bien élémentaire, et d’ailleurs dextros
et posterior s’expliquent mal. Il s’agit plutôt d’un
mouvement de conversion à droite, exécuté autour d’un
centre fixe. Les cavaliers décrivent le cercle, alignés les
uns près des autres (conjuncto orbe) de telle façon
qu’aucun d’eux ne reste trop en arrière.
[12] Æstimanti. Ce datif de relation désigne la
personne par rapport à laquelle l’affirmation est vraie:
«Pour quelqu’un qui...» Cet emploi du datif, inconnu à
Cicéron et à Salluste, paraît imité du grec. On trouve
déjà dans César, B. G. III, 80, 1: Venientibus ab Epiro.
(Gr. lat., 280, rem. 2.)
[13] Eo = ideo.
 [14] Velocitate. César, B. G., I, 48, décrit avec
beaucoup de précision, en général qui l’a vu exécuter,
cette manœuvre qui n’est qu’indiquée ici.
[15] Id ipsum vocantur. Ils sont désignés sous ce nom
même: les cent.
[16] Per cuneos: leur front de bataille est formé par
des groupes ayant la forme de coins et rangés en ligne.
[17] Quam, s.-e. potius esse. Cette sorte d’ellipse dans
les comparaisons est fréquente chez Tacite. Il emploie
même ainsi deux adjectifs au positif, Ann., IV, 61:
Agrippa claris majoribus quam vetustis.
[18] Præcipuum, le principal, le plus grand opprobre.
Cet adjectif est fréquemment employé par les auteurs de
la décadence pour marquer une idée superlative en
général. Il en est de même de egregius, eximius. —
Reliquisse: cet infinitif parfait marque que l’on considère
l’action dans son achèvement et dans ses conséquences.
[19] Finierunt. D’après Gantrelle, Gram. de Tacite, § 7,
Tacite emploie, au parfait, la 3e personne du pluriel en
ēre dans le sens de notre passé défini, et en ērunt dans
le sens du passé indéfini. Ici: ont mis fin à leur honte.

7. Reges ex[1] nobilitate, duces ex virtute sumunt. Nec regibus

infinita aut libera[2] potestas, et duces exemplo potius quam imperio,
si prompti, si conspicui, si ante aciem agant, admiratione præsunt[3].
Ceterum neque animadvertere[4] neque vincire, ne verberare quidem
nisi sacerdotibus permissum, non quasi[5] in pœnam nec ducis jussu,
sed velut deo imperante, quem adesse bellantibus credunt.
Effigiesque et signa[6] quædam detracta lucis in prœlium ferunt.
Quodque[7] præcipuum fortitudinis incitamentum est, non casus nec
fortuita conglobatio[8] turmam aut cuneum[9] facit, sed familiæ et
propinquitates; et in proximo pignora[10], unde feminarum ululatus
audiri[11], unde vagitus infantium. Hi cuique sanctissimi testes, hi
maximi laudatores: ad matres, ad conjuges vulnera ferunt[12]; nec
illæ numerare aut exigere plagas pavent, cibosque et hortamina[13]
pugnantibus gestant.
[1] Ex, suivant, d’après: cf. 3, ex ingenio suo.
[2] Infinita aut libera. Bien que cette expression ait
l’air d’un pléonasme, on peut trouver entre ces deux
adjectifs une différence de sens accentuée par l’emploi
de aut au lieu de et. Trad.: «Le pouvoir des rois n’est pas
illimité ou même simplement sans contrôle.» — Tandis
que les Romains de la république méprisaient les
barbares en les regardant comme les esclaves de leurs
rois, les Romains de l’empire, opprimés par les tyrans, en
étaient venus à envier la liberté de ces mêmes barbares;
Lucain (Phars., VII) appelle la liberté Germanum
Scythicumque bonum.
[3] Cette phrase est remarquable par l’emploi répété
(anaphore) de si, qui, entraînant la suppression de la
liaison, ajoute beaucoup de vivacité. De plus l’asyndète
entre exemplo potiusquam imperio et admiratione
indique une forte gradation. Pour le subjonctif après si,
cf. 14, note 4.
[4] Animadvertere, non pas simplement punir, mais
punir de mort. La gradation dans animadvertere, vincire,
verberare, est descendante. Pour les Romains vincire est
plus fort que verberare. Cependant Cicéron (in Verr., II,
5, 170), à propos du supplice de Gavius, observe un
ordre différent: Facinus est vinciri civem romanum,
scelus verberari, prope parricidium necari.
[5] Quasi tombe également sur ducis jussu. On peut
reconnaître ici une sorte d’hendiadyn: in pœnam nec
ducis jussu équivaut à: in poenam ducis jussu ab aliquo
petendam. Cf. 25, note 7. — Deo, la divinité en général
parce qu’elle changeait de nom suivant les peuplades. —
Ici, comme en beaucoup d’autres endroits, Tacite prête
aux coutumes des Germains des raisons d’être que ceux-
ci ne soupçonnaient pas. Il use habilement de ce
procédé pour faire la leçon à ses compatriotes.
[6] Effigies et signa, des images et des symboles. Ces
images n’étaient pas des statues de forme humaine,
mais représentaient des animaux tels que loups, ours. Cf.
Hist., IV, 22. Ces symboles étaient des étendards ou des
armes: ainsi la lance était l’attribut de Wôdan, le
marteau celui de Thunar.
[7] Quod. Cette proposition relative forme une
apposition à toute la proposition qui suit. — Præcipuum:
cf. 6, note 18.
[8] Non casus nec fortuita conglobatio, comme s’il y
avait: non casus fortuitæ conglobationis; expression qui
tient à la fois de l’hendiadyn et du pléonasme.
[9] Turma se dit des cavaliers, cuneus, des fantassins.
Cf. 6.
[10] Pignora, litt., «gages, objets d’affection». Suivi ou
non de conjugum liberorumque, ce mot se dit souvent
des membres de la famille.
[11] Audiri. Cet emploi de l’infinitif est remarquable. On
attendrait audire est, ou audiri possunt ou audias. C’est
peut-être une imitation de cet infinitif descriptif chez
Virgile, Énéide, VII, 15: Hinc exaudiri gemitus.
[12] Il y a dans cette phrase un emploi répété de
l’anaphore: unde, unde; hi, hi; ad, ad; la couleur
poétique est très marquée dans ce passage.
[13] Cibos et hortamina. Tacite réunit ici encore
l’abstrait et le concret comme au ch. 1: Metu aut
montibus. Cf. Hugo (Burgraves, I, VII): «Debout sur sa
montagne et dans sa volonté.» — Hortamen, au lieu de
Hortamentum, est poétique; on trouve chez Ovide une
foule de mots de ce genre, qui ont l’avantage d’entrer
facilement dans la mesure du vers.
 8. Memoriæ proditur quasdam acies inclinatas jam et labantes[1] a
feminis restitutas constantia precum et objectu pectorum[2] et
monstrata cominus[3] captivitate, quam longe impatientius
feminarum suarum nomine[4] timent, adeo ut[5] efficacius obligentur
animi civitatum quibus inter obsides puellæ quoque nobiles
imperantur[6]. Inesse quin etiam sanctum aliquid et providum[7]
putant, nec aut consilia earum aspernantur aut responsa negligunt.
Vidimus[8] sub divo Vespasiano Veledam diu apud plerosque[9]
numinis loco habitam; sed et olim Albrunam et complures alias
venerati sunt, non adulatione nec tanquam[10] facerent deas.

[1] Inclinatas et labantes, qui commençaient à plier

et à lâcher pied. — Restituere, de même que nous disons
en français «rétablir» la bataille en ramenant les soldats
au combat.
[2] Objectu pectorum, au lieu de objectis pectoribus.
L’ablatif du nom abstrait, chez les auteurs de l’époque
impériale, remplace souvent le participe passif. Tacite
cherche ici la variété, puisque monstrata captivitate suit
immédiatement. — Les Romains avaient observé cet
usage des femmes germaines lors de l’invasion des
Cimbres. D’après Plutarque (Marius, 19), les femmes des
barbares tuaient les fuyards, écrasaient leurs enfants
sous les chars, puis s’égorgeaient elles-mêmes.
[3] Cominus a ici la valeur d’un adjectif, comme s’il y
avait: dum captivitatem proximam (in proximo) esse
monstrant. Cf. Ann., II, 20: Imparem cominus pugnam.
[4] Nomine, «pour le compte de» ou simplement
«pour». Cicéron: meo nomine, par égard pour moi, à ma
considération.
[5] Adeo ut marque une gradation, sur laquelle quin
etiam, deux lignes plus loin, renchérira encore.
[6] Cet usage n’était pas inconnu en Italie, puisque les
Romains eux-mêmes avaient donné comme otages à
 Porséna des jeunes filles, et parmi elles Clélie.
[7] Providum. Il ne s’agit pas seulement de prudence
ou de prévoyance, mais de caractère prophétique.
[8] Bien que Vidimus ne signifie pas nécessairement que
Tacite ait vu lui-même Véléda, on peut cependant le
supposer, car elle fut amenée à Rome. Stace, Sylv., I, 4,
90: Captivæque preces Veledæ.
[9] Plerique se prend souvent chez Tacite dans le sens
de multi.
[10] Tanquam: cf. 20, note 11. Ici encore Tacite
interprète les actes des Germains pour faire la leçon aux
Romains. Selon lui, les barbares agissaient ainsi par une
superstition de bonne foi moins honteuse que la servilité
qui poussait les Romains à déclarer déesses et à adorer,
sans conviction, les sœurs et les épouses de leurs tyrans.

9. Deorum maxime Mercurium[1] colunt, cui certis diebus humanis

quoque hostiis[2] litare fas habent. Herculem ac Martem[3] concessis
animalibus[4] placant. Pars Sueborum et Isidi[5] sacrificat: unde
causa et origo peregrino sacro[6], parum comperi, nisi quod signum
ipsum in modum liburnæ figuratum docet advectam religionem[7].
Ceterum nec cohibere parietibus deos neque in ullam humani oris
speciem assimulare ex[8] magnitudine cælestium arbitrantur: lucos
ac nemora[9] consecrant deorumque nominibus appellant secretum
illud[10], quod sola reverentia vident.
[1] Mercurium. Cet exposé de la religion des Germains,
plein de détails intéressants, est malheureusement gâté
par l’habitude d’interpréter à la romaine les croyances
étrangères. L’assimilation de Wôdan à Mercure repose
sur une ressemblance d’attributs. Cf. Mercurii dies,
mercredi, et Wednesday en anglais.
[2] Hostiis. C’étaient généralement des prisonniers de
guerre. C’est ainsi que furent sacrifiés les officiers des
légions de Varus. Selon Strabon, les prêtresses
égorgeaient ces victimes et tiraient des présages de leur
sang.
[3] Herculem et Martem: Thunar et Tiu. Comparez
l’anglais Tuesday et le français mardi.
[4] Concessis animalibus, les animaux qu’il est permis
de sacrifier, soit parce que les Germains distinguaient
entre les animaux ceux qui étaient propres aux sacrifices,
soit plus probablement par opposition aux sacrifices
humains que la conscience réprouve.
[5] Cette prétendue Isis est probablement l’épouse de
Wôdan. Isis, épouse d’Osiris, était une divinité
égyptienne acceptée par les Romains.
[6] Peregrino sacro: datif de possession ou de
destination. Cet emploi est fréquent chez Tacite. Cf. Ann.,
II, 64: Causas bello. — Nisi quod: cf. 29, note 11.
[7] Religionem signifie ici non pas doctrine religieuse,
mais culte extérieur. Les savants modernes ne sont pas
plus renseignés sur ce point que Tacite. On ne sait trop
ce que lui-même veut prouver dans ces quelques mots:
comme Isis chez les Romains avait pour attribut un
navire, a-t-il voulu dire que ce navire est une preuve que
cette déesse est bien l’Isis des Romains et des
Égyptiens? Le texte paraît signifier que le navire
symbolise l’importation de ce culte. — Liburna, navire
léger, d’abord propre aux Liburnes d’Illyrie.
[8] Ex, en rapport avec. Cf. 7, note 5. Encore une
interprétation des usages des Germains. Il est fort
possible que ce peuple n’eût ni temples ni statues, tout
simplement parce qu’il ignorait l’architecture et la
sculpture. Les Germains représentèrent d’abord leurs
dieux par des symboles ou des attributs, mais plus tard
par de vraies statues.
[9] Lucos ac nemora. Pléonasme. Lucus signifie plus
spécialement bois sacré, mais aussi forêt en général;
Nemus, habituellement bois en général, surtout entouré
 de pâturages, s’emploie aussi pour bois sacré. Ces deux
mots sont souvent réunis en poésie. Virgile, Buc., VIII,
86: Per nemora atque altos quærendo bucula lucos.
[10] Secretum illud, ils se servent du nom des dieux
pour désigner cette présence mystérieuse que la
vénération seule leur rend sensible et pour ainsi dire
visible. Au contraire les Romains désignaient du nom des
dieux, non pas une présence spirituelle, mais la statue
elle-même qui habitait le bois sacré et qu’ils voyaient de
leurs yeux.

10. Auspicia sortesque[1] ut qui maxime[2] observant. Sortium

consuetudo simplex: virgam frugiferæ[3] arbori decisam in surculos
amputant eosque notis quibusdam discretos super candidam vestem
temere ac fortuito spargunt. Mox[4], si publice consultetur, sacerdos
civitatis, sin privatim, ipse pater familiæ, precatus deos cælumque
suspiciens ter singulos[5] tollit, sublatos secundum impressam ante
notam interpretatur. Si prohibuerunt[6], nulla de eadem re in
eumdem diem[7] consultatio; sin permissum, auspiciorum adhuc[8]
fides exigitur. Et illud quidem etiam hic notum, avium voces
volatusque interrogare: proprium gentis[9] equorum quoque
præsagia ac monitus experiri. Publice aluntur iisdem nemoribus[10]
ac lucis, candidi et nullo[11] mortali opere contacti; quos pressos
sacro curru[12] sacerdos ac rex vel princeps[13] civitatis comitantur
hinnitusque ac fremitus observant. Nec ulli auspicio major fides, non
solum apud plebem, sed apud proceres; sacerdotes enim ministros
deorum, illos[14] conscios putant. Est et[15] alia observatio
auspiciorum, qua gravium bellorum eventus explorant. Ejus gentis,
cum qua bellum est, captivum quoquo modo[16] interceptum cum
electo popularium suorum, patriis quemque armis, committunt:
victoria hujus vel illius pro præjudicio[17] accipitur.
[1] Auspicia et sortes. Comme on le voit par le reste
du chapitre, ces mots ne sont nullement synonymes.
Sortes, divination par le sort. Cette coutume fut
sévèrement réprimée par les lois après la conversion des
Germains au Christianisme, mais elle survécut au
paganisme sous la forme des jugements de Dieu.
[2] Ut qui maxime, autant que personne. (Gr. lat.,
371.)
[3] Frugiferæ est pris ici dans un sens plus général
qu’au ch. 5. Il désigne tout arbre qui porte des fruits,
comme le poirier, le hêtre, etc. — Notis. C’étaient, soit les
caractères spéciaux appelés runes, en usage chez les
anciens Germains, soit des signes quelconques auxquels
on attribuait d’avance une signification conventionnelle.
— Vestis, étoffe en général. Cf. 40, note 10.
[4] Mox signifie «ensuite» chez Tacite. Il est souvent
employé pour marquer le progrès de la narration. Cf. 2,
où il est précédé de primum. — Publice. Cf. 15, note 7.
[5] Ter singulos. On emploie les adjectifs distributifs
lorsque le nombre doit être répété plusieurs fois. C’est
ainsi que l’on dit bis bini, deux fois deux; donc ici: il lève
trois fois un morceau, c.-à-d. trois morceaux l’un après
l’autre; et non pas: il lève trois fois chaque morceau.
[6] Si prohibuerunt (surculi), si les pronostics qu’on en
a tirés sont défavorables.
[7] In eumdem diem, pour le même jour, c.-à-d. dans
la même journée. Tite-Live, 29, 23: Ex Hispania forte in
idem tempus Scipio atque Asdrubal convenerunt.
[8] Adhuc, en outre. — Et etiam au lieu de etiam seul.
Cf. Agricola, 10: et jugis etiam. Tacite emploie aussi et
quoque.
[9] Proprium gentis. Tacite compare toujours les
coutumes des Germains à celles des Romains. En Italie
on ne tirait pas de présages des chevaux, mais les Perses
le faisaient, au dire d’Hérodote. Cet usage, à en juger
 par l’épisode du cheval d’Achille dans Homère, n’était
peut-être pas inconnu aux Grecs. — Præsagia et
monitus: ces deux mots ne sont pas entièrement
synonymes, car le premier désigne le pronostic en lui-
même, le second, par rapport aux conséquences qu’on
en tire. Néanmoins l’expression est pléonastique.
[10] Iisdem nemoribus. Ce sont les bois sacrés dont il
a été question au ch. précédent. L’ablatif sans
préposition pour marquer le lieu (question ubi) s’emploie
chez Tacite avec toutes sortes de noms lorsqu’ils sont
accompagnés d’un déterminatif. On trouve même (Hist.,
II, 16) l’ablatif du substantif seul: balineis interficitur.
[11] Et nullo au lieu de neque ullo. Cf. 28, note 5. —
Contacti, touchés, c.-à-d. souillés par aucun travail
profane. Cf. 4, note 3, sur infectus. Le contraire, très
employé, est intactus; Virgile dit du bétail qui n’a pas
porté le joug: grex intactus.
[12] Pressos sacro curru: expression poétique
qu’Ovide emploie plusieurs fois.
[13] Sacerdos ac rex vel princeps, le prêtre, auquel
se joint le roi ou, s’il n’y a pas de roi, le chef de la cité.
[14] Illos, les chevaux; conscios (s.-e. deorum), ils
s’imaginent que ces animaux connaissent les secrets des
dieux. Tibulle, 1, 9: conscia fibra deorum.
[15] Et, aussi. Cf. 34, note 5.
[16] Quoquo modo: ellipse très correcte (Gr. lat., 370,
rem.). Cf. Riemann, Synt. lat., 14, rem. 1. —
Committunt: terme technique des écrivains de l’empire
en parlant des combats de l’arène.
[17] Pro præjudicio, comme une décision marquant
d’avance quelle sera l’issue de la guerre.

11. De minoribus[1] rebus principes consultant, de majoribus

omnes, ita tamen, ut ea quoque, quorum penes plebem arbitrium
est, apud principes pertractentur[2]. Coeunt, nisi quid fortuitum et
subitum incidit, certis diebus[3], cum aut inchoatur luna aut
impletur[4]; nam agendis rebus hoc auspicatissimum initium credunt.
Nec dierum numerum, ut nos, sed noctium[5] computant. Sic
constituunt, sic condicunt[6]; nox ducere[7] diem videtur. Illud[8] ex
libertate vitium, quod non simul nec ut jussi conveniunt, sed et
alter[9] et tertius dies cunctatione coeuntium absumitur. Ut turbæ
placuit[10], considunt armati. Silentium per sacerdotes, quibus tum
et coercendi jus est, imperatur. Mox rex vel princeps, prout[11] ætas
cuique, prout nobilitas, prout decus bellorum, prout facundia est,
audiuntur, auctoritate suadendi magis quam jubendi potestate. Si
displicuit sententia, fremitu[12] aspernantur; sin placuit, frameas
concutiunt: honoratissimum assensus genus est armis laudare.
[1] Minoribus, les choses de moindre importance,
comme les difficultés entre particuliers; majoribus,
surtout les questions de paix et de guerre, les traités.
[2] Pertractentur. Les questions importantes sont
d’abord examinées à fond par les chefs, ensuite
présentées au peuple qui décide souverainement.
[3] Certis diebus: à des jours déterminés et
périodiquement. Ces assemblées, d’après ce passage de
Tacite, paraissent avoir été tenues assez fréquemment,
peut-être tous les quinze jours. Mais chez les peuples qui
couvraient une grande étendue de pays, ces assemblées
étaient plus rares. Les Francs ne se réunissaient
régulièrement qu’une fois l’an.
[4] Aut impletur: c’est le temps de la nouvelle ou de la
pleine lune.
[5] Noctium. César rapporte la même chose des
Gaulois. On trouve des traces de cet usage dans
certaines expressions allemandes et anglaises, par
exemple: fortnight.
[6] Sic constituunt, sic condicunt: termes du droit
romain, qu’il faut prendre dans un sens plus large. C’est
 en comptant ainsi qu’ils fixent un terme, qu’ils datent
leurs conventions.
[7] Ducere. La nuit semble marcher la première et
ramener le jour. Tacite veut dire que la nuit, d’après les
idées des Germains et à cause du climat, semble
commander le jour. C’est ainsi que l’hiver semble
commencer l’année et qu’on ne compte que trois
saisons: hiems et ver et æstas (ch. 29).
[8] Illud annonce la proposition qui commence par
quod, comme au chapitre précédent illud annonçait un
infinitif: illud etiam notum ..... interrogare. — Ut jussi,
comme pour obéir à un ordre.
[9] Alter, un second jour. Cf. 6, note 9.
[10] Ut turbæ placuit, dès que l’assemblée le juge à
propos. Cette indépendance est en outre marquée par ce
fait que les prêtres seuls ont alors le droit de punir
(coercendi). — Mox: cf. 10, n. 4.
[11] Prout. Le roi ou le chef est alors écouté en raison
de son âge, de son renom, de son éloquence, et non pas
en vertu de son titre même, comme l’explique ce qui
suit. — Auctoritate suadendi: l’ablatif de manière est
employé chez Tacite plus librement que chez les auteurs
classiques. Trad.: «Ils se font écouter plutôt par le
pouvoir de la persuasion que par celui du
commandement.»
[12] Fremitus, murmures défavorables. Ce mot se
prend aussi en bonne part. Virg., Én., V, 148: Tum plausu
fremituque virum... Consonat omne nemus, VIII, 717. —
Sin: Gr. lat., § 491, rem. — Concutiunt, heurtent de
manière à faire du bruit. César raconte la même chose
des Gaulois.

12. Licet apud concilium[1] accusare quoque et discrimen capitis

intendere. Distinctio pœnarum ex[2] delicto: proditores et
transfugas[3] arboribus suspendunt, ignavos et imbelles et corpore
infames[4] cæno ac palude, injecta insuper crate, mergunt.
Diversitas supplicii illuc respicit[5], tanquam scelera ostendi
opporteat, dum puniuntur, flagitia abscondi. Sed et levioribus delictis
pro modo[6] pœna: equorum pecorumque numero convicti
multantur. Pars multæ regi vel civitati[7], pars ipsi, qui vindicatur, vel
propinquis ejus exsolvitur.
Eliguntur in iisdem conciliis et principes, qui jura per pagos
vicosque[8] reddunt. Centeni singulis ex plebe comites[9] consilium
simul et auctoritas adsunt.
[1] Concilium, l’assemblée dont Tacite vient de décrire
la formation et dont il va indiquer les attributions. —
Discrimen capitis intendere, intenter un procès pour
crime capital. Cicéron, de Orat.; 1, 10: Singulæ familiæ
litem tibi intenderent.
[2] Ex: cf. 7, note 1.
[3] Proditores et transfugas, ceux qui trahissent leur
patrie et marchent avec l’ennemi. — Ignavos et imbelles,
non pas simplement les poltrons, mais ceux qui ont
commis à la guerre quelque lâcheté insigne.
[4] Corpore infames, ceux qui se sont déshonorés.
Cæno ac palude: hendiadyn pour cæno paludis.
[5] Illuc respicit tanquam, a pour raison d’être cette
idée que... Tanquam a souvent chez Tacite le sens de ὡς
en grec: dans la pensée que. Tite-Live l’emploie aussi
dans ce sens avec un participe au lieu de ut. Riemann,
Synt. lat., § 262, rem. 1. Cf. 20, note 11.
[6] Pro modo, s.-e. delicti.
[7] Regi vel civitati: datifs d’intérêt. L’amende est
payée en partie au profit du roi, et là où il n’y a pas de
roi, au profit de la cité. — Vel propinquis, aux parents
lorsqu’il y a eu mort. Cf. 21: luitur etiam homicidium, etc.
Cette coutume des compensations exista longtemps chez
Welcome to Our Bookstore - The Ultimate Destination for Book Lovers
Are you passionate about testbank and eager to explore new worlds of
knowledge? At our website, we offer a vast collection of books that
cater to every interest and age group. From classic literature to
specialized publications, self-help books, and children’s stories, we
have it all! Each book is a gateway to new adventures, helping you
expand your knowledge and nourish your soul
Experience Convenient and Enjoyable Book Shopping Our website is more
than just an online bookstore—it’s a bridge connecting readers to the
timeless values of culture and wisdom. With a sleek and user-friendly
interface and a smart search system, you can find your favorite books
quickly and easily. Enjoy special promotions, fast home delivery, and
a seamless shopping experience that saves you time and enhances your
love for reading.
Let us accompany you on the journey of exploring knowledge and
personal growth!

ebooksecure.com