信息安全管理體系應(yīng)用手冊

內(nèi)容概要

本書從論述信息安全管理體系基礎(chǔ)入手，分析了ISO/IEC 27001：2005、ISO/IEC27002：2005等ISMS相關(guān)重要標(biāo)準(zhǔn)，結(jié)合PDCA循環(huán)模型，對如何設(shè)立和建立ISMS、實施和運行ISMS、保持和改進(jìn)ISMS進(jìn)行了詳細(xì)的論述并輔以大量的應(yīng)用模板，是一個實用的信息安全管理體系應(yīng)用手冊。    本書適用于從事信息安全管理工作的技術(shù)人員、管理者以及進(jìn)行相關(guān)培訓(xùn)、認(rèn)證的人員。

書籍目錄

第1章　信息安全管理體系基礎(chǔ)　1.1　什么是信息安全    1.1.1　信息及信息系統(tǒng)    1.1.2　信息安全及其定義    1.1.3　信息資產(chǎn)的安全屬性  1.2　發(fā)展信息安全的緣由    1.2.1　信息時代的到來    1.2.2　信息的價值及信息資產(chǎn)    1.2.3　信息資產(chǎn)的安全問題  1.3　信息安全模型    1.3.1　信息安全模型概述    1.3.2　常見模型介紹與分析  1.4　信息安全實踐    1.4.1　信息安全的成本效益分析    1.4.2　信息安全實踐的發(fā)展過程    1.4.3  目前實踐中存在的問題  1.5　信息安全管理體系    1.5.1  管理體系及其產(chǎn)業(yè)鏈    1.5.2　ISMS標(biāo)準(zhǔn)    1.5.3　其他相關(guān)標(biāo)準(zhǔn)第2章　ISMS重要標(biāo)準(zhǔn)解析  2.1  ISO/IEC 27001解析    2.1.1　概述    2.1.2　正文解析  2.2　ISO/IEC 27002解析    2.2.1　概述    2.2.2  正文解析第3章　設(shè)計和建立ISMS  3.1　案例描述    3.1.1　概況    3.1.2　組織結(jié)構(gòu)    3.1.3　物理位置    3.1.4　網(wǎng)絡(luò)拓?fù)? 3.2　運行分析    3.2.1　概述    3.2.2　實施指南  3.3　現(xiàn)狀調(diào)研    3.3.1　概述    3.3.2　實施指南    3.3.3　編寫報告指導(dǎo)  3.4　風(fēng)險評估    3.4.1　概述    3.4.2　風(fēng)險評估相關(guān)標(biāo)準(zhǔn)    3.4.3　風(fēng)險評估方法    3.4.4　風(fēng)險評估過程    3.4.5　程序文件編寫  3.5　建立方針文件    3.5.1　概述    3.5.2　實施指南  3.6　準(zhǔn)備適用性聲明    3.6.1　概述    3.6.2　實施指南第4章  實施和運行ISMS  4.1  概述  4.2　典型信息安全管理活動    4.2.1　文件的類型    4.2.2　強制性文件    4.2.3  自主決定的文件　……第5章　監(jiān)視和評審ISMS第6章　保持和改進(jìn)ISMS附錄A　操作系統(tǒng)的安全配置檢查表附錄B　信息安全事件管理相關(guān)表格參考文獻(xiàn)

章節(jié)摘錄

第1章信息安全管理體系基礎(chǔ)1.1什么是信息安全1.1.1信息及信息系統(tǒng)1.信息的定義信息（information）的定義多種多樣。人們從哲學(xué)、信息論、控制論和社會學(xué)等各個角度對信息進(jìn)行了定義。從哲學(xué)的角度來看，信息是物質(zhì)的一種普遍屬性，本質(zhì)屬性。事物在運動中發(fā)出一定的信號，這些能夠被其他事物所感知的表征該事物特征的信號的內(nèi)容即為該事物向其他事物所傳遞的信息。更為明確的定義，例如GB/T4894-1985《情報與文獻(xiàn)工作詞匯基本術(shù)語》將信息定義為：物質(zhì)存在的一種方式、形態(tài)或運動狀態(tài)，也是事物的一種普遍屬性，一般指數(shù)據(jù)、消息中包含的含義，可以使消息中描述的不確定性減少。事實上，Merriam-WebsterCollegiateDictionary（韋氏大辭典）對于信息的解釋更為全面。下面一段是其對于information（信息）詞條的解釋，其中釋義2中對于常見的信息已經(jīng)做了大致的分類。從上面的定義中可以看出，信息、消息（message）和信號（signal）之間有密切聯(lián)系，信息常以消息形式表現(xiàn)出來，并通過信號來傳遞，但是三者之間是有區(qū)別的。消息可能包含豐富的內(nèi)容，也可能根本就不包含任何信息。消息是外殼，而信息則是消息的內(nèi)核。信號是信息的載體，同一種信息可以用不同的信號表示，而一種信號也可能傳遞了不同的信息。同理，信息和數(shù)據(jù)（data）也是不同的，在GB/T4894-1985的定義中將數(shù)據(jù)和信息劃為相同的范疇。一般認(rèn)為，數(shù)據(jù)是對某種情況的記錄，包括數(shù)值數(shù)據(jù)（例如各種統(tǒng)計資料數(shù)據(jù)）以及非數(shù)值數(shù)據(jù)（例如各種圖像、表格、文字和特殊符號等）兩種；而信息則一般理解為經(jīng)過加工處理后具有參考價值的數(shù)據(jù)。因此，數(shù)據(jù)也可以認(rèn)為是信息的外殼，與消息相比只是表現(xiàn)形式不同。可以把信息簡單地定義為：信息就是經(jīng)過加工的數(shù)據(jù)或消息，信息是對決策者有價值的數(shù)據(jù)?！?/pre>




編輯推薦
《ISO\IEC27001標(biāo)準(zhǔn)解讀及應(yīng)用模板》：這本手冊，是從事信息安全管理體系(ISMS)咨詢服務(wù)的同志根據(jù)自己對國際標(biāo)準(zhǔn)化組織制定的ISMS標(biāo)準(zhǔn)(ISO/IEC 27000系列)的學(xué)習(xí)體會和實踐經(jīng)驗編寫的。書中重點解讀了建立信息安全管理體系的要求和管理控制措施選擇(ISO/IEC 27001《信息安全管理體系要求》，ISO/IEC 27002《信息安全管理實用規(guī)則》)；并用他自己的實踐經(jīng)驗，從一個組織如何建立信息安全管理體系的角度闡述了標(biāo)準(zhǔn)相關(guān)的過程和活動，以及過程活動中需要完成的輸入輸出結(jié)果，此外還提供了相關(guān)的文件模板和表單，有助于我們加深對建立ISMS的理解。





圖書封面



圖書標(biāo)簽Tags
無




評論、評分、閱讀與下載



還沒讀過(52)
勉強可看(379)
一般般(646)
內(nèi)容豐富(2681)
強力推薦(219)


 


    信息安全管理體系應(yīng)用手冊 PDF格式下載