内容简介
《信息安全管理体系丛书:信息安全管理体系实施案例(第2版)》按照时间顺序描述了大都商业银行的ISMS项目实施过程,给出了主要的体系文件,并对这些文件所涉及的GB/T22081—2008/ISO/IEC27002:2005正文内容进行了详细的解读。
内页插图
目录
大都商业银行
项目开始1年前
事件(一2):开始考虑ISMS
事件(一1):了解ISMS并申请项目
项目开始第1周
事件(0):ISMS项目启动大会
事件(1):确定项目推进组并初步制定推进计划
事件(2-1):调研/分析现状
项目开始第2周
事件(2-2):调研/分析现状(续)
事件(3):建立1SMS方针
事件(4):设计文件层级与文件格式
事件(5):调研阶段总结会
项目开始第3周
事件(6):设计资产分类/分级规范
事件(7-1):开始统计资产
事件(8):设计风险评估程序
事件(9):设计风险处置程序
项目开始第4周
事件(7-2):统计资产(续)
事件(10):评估威胁、脆弱性与控制
项目开始第5周
事件(11):分析并评价风险
事件(12):准备风险评估报告
项目开始第6周
事件(13):准备风险处置计划
事件(14):风险管理总结会
事件(15):获得实施ISMS的授权
事件(16-1):开始准备适用性声明
项目开始第7周
事件(17):确定文件个数与目录
事件(18):确定正式的文件编写计划
项目开始第8~12周
事件(19):编写体系文件
项目开始第13~20周-
事件(16-2):准备适用性声明(续)
事件(20):体系文件发布会
事件(21):开始体系试运行
事件(22):信息安全意识培训
事件(23):信息安全制度培训
项目开始第21~22周
事件(24):组织第一次内部审核
项目开始第23周
事件(25):组织第一次管理评审
项目开始第24周
事件(26):部署纠正及持续改进
项目开始第25~26周
事件(27):申请及实施外审
项目开始第27~28周
事件(28):外审后整改及项目总结会
附录
参考文献
后记
前言/序言
关于本书的写作目的及其与相关书籍之间的关系
广义的信息安全管理体系(Information Security Management System,ISMS)标准族从ISO/IEC27000-直到ISO/IEC27059,共60个标准,架构非常复杂,针对如何阅读和理解标准,我们编写了《信息安全管理体系实施指南》。但是,无论步骤描述得如何清晰,ISMS的概念及其部署都是抽象的、模糊的,这如同开车,无论我们对原理多么了解,步骤多么熟悉,这与真正上路还是两码事。
《信息安全管理体系实施案例》虽然不是真正的开车上路,但是提供了一个很好的模拟,至少可以让读者体会这些步骤在一个组织内部是如何落地的,接下来只需要了解路况了。当然,因为每个组织的情境各不相同,甚至大相径庭,最后的实战虽然我们爱莫能助,但每个组织的ISMS实施在本质上都是相同的,只要领悟了其精髓之处,自然能够以不变应万变。
在《信息安全管理体系实施案例》出版之前,我和刘琦博士在2010年已经在中国标准出版社出版了《信息安全管理体系案例及文件集》,为了节省篇幅,在《信息安全管理体系案例及文件集》中已经给出的文件,在本书中就不再赘述,有些需要改版的,在本书中重新进行了修订,当然,本书中最关注的还是在《信息安全管理体系案例及文件集》中未讨论或讨论不足的那些文件。
同时,在我和郭立生主编的2008年版《信息安全管理体系应用手册》中对GB/T22081-2008/ISO/IEC27002:2005进行了大致的解读,限于篇幅,就只针对标题,而没有针对正文,但是,既然是讨论ISMS的落地,便不免要采纳GB/T220812008/ISO/IEC27002:2005中的指导意见。因此,在本书中,对我认为重要的、编写文件要涉及的GB/T22081-2008/ISO/IEC27002:2005正文内容进行了解读,虽然没有《信息安全管理体系应用手册》中全面,但是较《信息安全管理体系应用手册》要深入。
信息安全管理体系丛书:信息安全管理体系实施案例(第2版) 下载 mobi epub pdf txt 电子书 格式