內容簡介
《國傢“十二五”重點規劃圖書·信息安全管理體係叢書:ISO/IEC 27001與等級保護的整閤應用指南》從整閤ISMS與信息係統安全等級保護實施角度齣發,分8章進行對其描述。
《國傢“十二五”重點規劃圖書·信息安全管理體係叢書:ISO/IEC 27001與等級保護的整閤應用指南》非常適宜於對ISMS與等級保護感興趣、想瞭解ISMS或等級保護、想深入理解ISMS和等級保護基本要求、想進階高級谘詢師做復閤型人纔的讀者,以及從事ISMS谘詢或等級保護谘詢、從事信息安全管理等的相關人員。
內頁插圖
目錄
第1章 瞭解“二標”係列標準
信息安全管理體係係列標準
瞭解信息安全管理體係發展史
瞭解信息安全管理體係係列標準
需重點閱讀、理解信息安全管理體係標準
信息係統安全等級保護係列標準
瞭解信息係統安全等級保護曆程
瞭解信息係統安全等級保護係列法規
瞭解信息係統安全等級保護係列標準
需重點閱讀、理解的等級保護標準
第2章 分析“二標”異同點
分析“二標”的相同點
相同點一:“二標”為瞭保護信息安全
相同點二:“二標”都采用過程方法
相同點三:“二標”都采用PDCA的模型
相同點四:“二標”都發布瞭基本要求
相同點五:“二標”在安全要求上存在共同點
分析“二標”的不同點
不同點一:“二標”的立足點不同
不同點二:“二標”確定安全需求的方法不同
不同點三:“二標”實施流程不同
不同點四:“二標”基本要求分類不同
第3章 風險評估與等保測評
風險評估與等保測評活動內容比較
比較一:建立風險評估和等保測評的方法和準則
比較二:風險評估與等保測評的範圍和邊界
比較三:風險評估或等保測評的對象
比較四:風險識彆與不符閤項識彆
比較五:風險分析及評價
比較六:測評結論
比較七:風險處理與整改建議
比較八:編寫報告
風險評估與等級測評實施建議
第4章 “二標”整閤分析
ISMS要求與等級保護基本要求整閤分析
從整閤角度理解ISO/IEC2700l正文
從整閤角度理解ISO/IEC27001附錄A
從整閤角度理解GB/T22239-2008
整閤“二標”的要求
整閤ISO/IEC27001的附錄A與GB/T22239-2008
SMS實施指南與等級保護實施指南整閤分析
從整閤角度理解ISO/IEC
從整閤角度理解GB/T25058-2010
ISO/IEC27003與GB/T25058-2010整閤
第5章 項目整體設計
開始考慮實施“二標”
步驟5-1 為什麼要實施“二標”?“二標”要實現什麼目標?
步驟5-2 實施“二標”是否滿足組織的安全要求?
步驟5-3 組織業務、組織規模、組織結構等是否閤適?
獲得批準並啓動項目
步驟5-4 獲得管理者支持
步驟5-5 指定項目負責人及推進方式
步驟5-6 確定“二標”的初步範圍
步驟5-7 確定初步推進計劃並組織項目啓動會
建立信息安全方針
步驟5-8 建立安全方針
識彆“二標”安全要求
步驟5-9 分析等級保護安全要求
步驟5-10 分析ISMs安全要求
進行安全風險評估及處置
步驟5-11 進行等保評估
步驟5-12 安全管理差異分析
步驟5-13 風險評估
步驟5-14 整閤等保測評和風險評估結果
步驟5-15 風險處理計劃及控製措施
步驟5-16 獲得實施及運行“二標”的授權
步驟5-17 準備適用性聲明(SOA)
規劃設計
步驟5-18 規劃管理類安全措施
步驟5-19 設計技術和物理安全措施
步驟5-20 設計管理體係要素
確定正式的項目計劃
第6章 文件體係設計及編寫指南
設計文件的架構
步驟6-1 縱嚮設計:文件的層級(文件形式的規範化及標準化)
步驟6-2 橫嚮設計:文件的目錄(文件內容的閤規性與完整性)
文件的過程控製
文件編寫注意要點
要點6-1 語言風格要適應組織文化
要點6-2 如何判斷文檔的質量
要點6-3 應盡量選擇通用的格式
確定文件目錄
步驟6-3 精讀標準,找齣關鍵控製點
步驟6-4 確定文件
步驟6-5 確定文件大綱
步驟6-6 閤並文件,直至確定文件目錄
確定文件編寫及發布計劃
編寫文件
步驟6-7 根據文件大綱確定關鍵控製措施
步驟6-8 成文
第7章 體係運行管理(Do-Check-Act)
進行監視與評審
組織內部審核
步驟7-1 啓動審核
步驟7-2 進行審核
步驟7-3 編製審核報告
組織管理評審
步驟7-4 編製策劃管理評審
步驟7-5 進行管理評審
申請外部審核(可選項)
第8章 “二標”整閤實施案例
項目開始一年前
事件(-2)開始考慮等級保護製度
事件(-1)瞭解“二標整閤”並申請項目
項目開始第(1)周
事件(0)“二標”整閤實施準備
事件(1)“二標”整閤實施項目啓動大會
事件(2)確定項目推進組並初步製定推進計劃
事件(3)調研/分析現狀
項目開始第(2)周
事件(4)調研/分析現狀(續)
事件(5)建立安全方針
事件(6)設計文件層級與文件格式
事件(7)調研階段總結會
項目開始第(3)周
事件(8)創建信息係統清單
事件(9)信息係統安全保護定級
事件(10)確定等級保護安全要求
事件(11)設計資産分類/分級標準
事件(12)開始統計資産
事件(13)設計等級保護測評方案
事件(14)設計風險評估程序
事件(15)設計風險處置程序
項目開始第(4)周
事件(16)統計資産(續)
事件(17)進行等保測評
項目開始第(5)周
事件(18)實施風險評估
事件(19)編寫等保測評報告
事件(20)編寫風險評估報告
項目開始第(6)周
事件(21)準備風險處置計劃和控製措施
事件(22)風險管理總結會
事件(23)獲得實施“二標”的授權
項目開始第(7)周
事件(24)設計安全技術措施和物理安全
事件(25)分析等級保護要求與ISO/IEC27001對應關係
項目開始第(8)周
事件(26)確定文件個數與目錄
事件(27)確定正式的文件編寫計劃
事件(28)開始編寫體係文件
項目開始第(9~12)周
事件(29)編寫體係文件(續)
事件(30)準備適用性聲明
事件(31)體係文件發布會
項目開始第(13~20)周
事件(32)體係試運行
事件(33)信息安全意識培訓
事件(34)信息安全製度培訓
項目開始第(21)周
事件(35)組織第一次內部審核
項目開始第(22)周
事件(36)組織第一次內部審核(續)
項目開始第(23)周
事件(37)組織第一次管理評審
事件(38)部署糾正/預防措施
項目開始第(24)周
事件(39)部署糾正/預防措施(續)
項目開始第(25、26)周
事件(40)申請外事
項目開始第(27、28)周
事件(41)項目總結會
附錄 “二標”整閤的建立和運作及與重要標準和規定的對應關係
參考文獻
前言/序言
國傢“十二五”重點規劃圖書·信息安全管理體係叢書:ISO/IEC 27001與等級保護的整閤應用指南 下載 mobi epub pdf txt 電子書 格式
國傢“十二五”重點規劃圖書·信息安全管理體係叢書:ISO/IEC 27001與等級保護的整閤應用指南 下載 mobi pdf epub txt 電子書 格式 2024
國傢“十二五”重點規劃圖書·信息安全管理體係叢書:ISO/IEC 27001與等級保護的整閤應用指南 mobi epub pdf txt 電子書 格式下載 2024