信息安全管理体系丛书 ISO、IEC 27001与等级保护的整合应用指南 [谢宗晓，刘斌主编] 2015年版

您当前的位置：首页 > 行业图书 > 电子信息

资料名称：	信息安全管理体系丛书 ISO、IEC 27001与等级保护的整合应用指南 [谢宗晓，刘斌主编] 2015年版
文件类型：	PDF文档
文件大小：	67.95 MB
资料归类：	电子信息
整理时间：	2024-02-02
软件简介：	信息安全管理体系丛书 ISO、IEC 27001与等级保护的整合应用指南作者：谢宗晓，刘斌主编出版时间： 2015年版丛编项：国家"十二五"重点规划图书·信息安全管理体系丛书内容简介《国家“十二五”重点规划图书·信息安全管理体系丛书：ISO/IEC 27001与等级保护的整合应用指南》从整合ISMS与信息系统安全等级保护实施角度出发，分8章进行对其描述。　　《国家“十二五”重点规划图书·信息安全管理体系丛书：ISO/IEC 27001与等级保护的整合应用指南》非常适宜于对ISMS与等级保护感兴趣、想了解ISMS或等级保护、想深入理解ISMS和等级保护基本要求、想进阶高级咨询师做复合型人才的读者，以及从事ISMS咨询或等级保护咨询、从事信息安全管理等的相关人员。目录第1章了解“二标”系列标准信息安全管理体系系列标准了解信息安全管理体系发展史了解信息安全管理体系系列标准需重点阅读、理解信息安全管理体系标准信息系统安全等级保护系列标准了解信息系统安全等级保护历程了解信息系统安全等级保护系列法规了解信息系统安全等级保护系列标准需重点阅读、理解的等级保护标准第2章分析“二标”异同点分析“二标”的相同点相同点一：“二标”为了保护信息安全相同点二：“二标”都采用过程方法相同点三：“二标”都采用PDCA的模型相同点四：“二标”都发布了基本要求相同点五：“二标”在安全要求上存在共同点分析“二标”的不同点不同点一：“二标”的立足点不同不同点二：“二标”确定安全需求的方法不同不同点三：“二标”实施流程不同不同点四：“二标”基本要求分类不同第3章风险评估与等保测评风险评估与等保测评活动内容比较比较一：建立风险评估和等保测评的方法和准则比较二：风险评估与等保测评的范围和边界比较三：风险评估或等保测评的对象比较四：风险识别与不符合项识别比较五：风险分析及评价比较六：测评结论比较七：风险处理与整改建议比较八：编写报告风险评估与等级测评实施建议第4章 “二标”整合分析 ISMS要求与等级保护基本要求整合分析从整合角度理解ISO/IEC2700l正文从整合角度理解ISO/IEC27001附录A 从整合角度理解GB/T22239-2008 整合“二标”的要求整合ISO/IEC27001的附录A与GB/T22239-2008 SMS实施指南与等级保护实施指南整合分析从整合角度理解ISO/IEC 从整合角度理解GB/T25058-2010 ISO/IEC27003与GB/T25058-2010整合第5章项目整体设计开始考虑实施“二标” 步骤5-1 为什么要实施“二标”？“二标”要实现什么目标？步骤5-2 实施“二标”是否满足组织的安全要求？步骤5-3 组织业务、组织规模、组织结构等是否合适？获得批准并启动项目步骤5-4 获得管理者支持步骤5-5 指定项目负责人及推进方式步骤5-6 确定“二标”的初步范围步骤5-7 确定初步推进计划并组织项目启动会建立信息安全方针步骤5-8 建立安全方针识别“二标”安全要求步骤5-9 分析等级保护安全要求步骤5-10 分析ISMs安全要求进行安全风险评估及处置步骤5-11 进行等保评估步骤5-12 安全管理差异分析步骤5-13 风险评估步骤5-14 整合等保测评和风险评估结果步骤5-15 风险处理计划及控制措施步骤5-16 获得实施及运行“二标”的授权步骤5-17 准备适用性声明（SOA）规划设计步骤5-18 规划管理类安全措施步骤5-19 设计技术和物理安全措施步骤5-20 设计管理体系要素确定正式的项目计划第6章文件体系设计及编写指南设计文件的架构步骤6-1 纵向设计：文件的层级（文件形式的规范化及标准化）步骤6-2 横向设计：文件的目录（文件内容的合规性与完整性）文件的过程控制文件编写注意要点要点6-1 语言风格要适应组织文化要点6-2 如何判断文档的质量要点6-3 应尽量选择通用的格式确定文件目录步骤6-3 精读标准，找出关键控制点步骤6-4 确定文件步骤6-5 确定文件大纲步骤6-6 合并文件，直至确定文件目录确定文件编写及发布计划编写文件步骤6-7 根据文件大纲确定关键控制措施步骤6-8 成文第7章体系运行管理（Do-Check-Act）进行监视与评审组织内部审核步骤7-1 启动审核步骤7-2 进行审核步骤7-3 编制审核报告组织管理评审步骤7-4 编制策划管理评审步骤7-5 进行管理评审申请外部审核（可选项）第8章 “二标”整合实施案例项目开始一年前事件（-2）开始考虑等级保护制度事件（-1）了解“二标整合”并申请项目项目开始第（1）周事件（0）“二标”整合实施准备事件（1）“二标”整合实施项目启动大会事件（2）确定项目推进组并初步制定推进计划事件（3）调研／分析现状项目开始第（2）周事件（4）调研／分析现状（续）事件（5）建立安全方针事件（6）设计文件层级与文件格式事件（7）调研阶段总结会项目开始第（3）周事件（8）创建信息系统清单事件（9）信息系统安全保护定级事件（10）确定等级保护安全要求事件（11）设计资产分类／分级标准事件（12）开始统计资产事件（13）设计等级保护测评方案事件（14）设计风险评估程序事件（15）设计风险处置程序项目开始第（4）周事件（16）统计资产（续）事件（17）进行等保测评项目开始第（5）周事件（18）实施风险评估事件（19）编写等保测评报告事件（20）编写风险评估报告项目开始第（6）周事件（21）准备风险处置计划和控制措施事件（22）风险管理总结会事件（23）获得实施“二标”的授权项目开始第（7）周事件（24）设计安全技术措施和物理安全事件（25）分析等级保护要求与ISO/IEC27001对应关系项目开始第（8）周事件（26）确定文件个数与目录事件（27）确定正式的文件编写计划事件（28）开始编写体系文件项目开始第（9～12）周事件（29）编写体系文件（续）事件（30）准备适用性声明事件（31）体系文件发布会项目开始第（13～20）周事件（32）体系试运行事件（33）信息安全意识培训事件（34）信息安全制度培训项目开始第（21）周事件（35）组织第一次内部审核项目开始第（22）周事件（36）组织第一次内部审核（续）项目开始第（23）周事件（37）组织第一次管理评审事件（38）部署纠正／预防措施项目开始第（24）周事件（39）部署纠正／预防措施（续）项目开始第（25、26）周事件（40）申请外事项目开始第（27、28）周事件（41）项目总结会附录 “二标”整合的建立和运作及与重要标准和规定的对应关系参考文献
下载地址：	[百度网盘下载 ]