信息安全管理體系實(shí)施指南

前言

　　關(guān)于本書的寫作目的及其與相關(guān)書籍之間的關(guān)系　　如何在組織內(nèi)部署信息安全管理體系？讓所有的讀者都去閱讀晦澀難懂的英文標(biāo)準(zhǔn)肯定不現(xiàn)實(shí)，因此我們一直希望能以一本書來解決所有的問題，于是就有了2008年出版的《信息安全管理體系應(yīng)用手冊》。根據(jù)這幾年讀者的反饋，發(fā)現(xiàn)這樣簡單的解讀反倒有“夾生飯”的嫌疑。這如同讀經(jīng)書，讀“論”固然可以快速提高自己的理解水平，但讀“經(jīng)”才能更正確地理解經(jīng)書原意?！　∮谑牵覜Q定著手寫一本關(guān)于GB/T 22080-2008/ISO/IEC 27001：2005逐句解讀的講義，讓讀者在實(shí)施過程中“知其然，更知其所以然”。講義已經(jīng)成稿并準(zhǔn)備出版的時(shí)候，中國標(biāo)準(zhǔn)出版社張寧老師告訴我《信息安全管理體系叢書》已被列入新聞出版總署“‘十二五’時(shí)期（2011-2015年）國家重點(diǎn)圖書、音像、電子出版物出版規(guī)劃”。為了使整套叢書內(nèi)容更加完整，分冊的原則也更加清晰，我們決定將準(zhǔn)備出版的講義納入本叢書中，即這本《信息安全管理體系實(shí)施指南》?！　”緯^之《信息安全管理體系應(yīng)用手冊》，既是改版，又有互補(bǔ)。對于《信息安全管理體系應(yīng)用手冊》中的“標(biāo)準(zhǔn)解析”以及“標(biāo)準(zhǔn)實(shí)施”等內(nèi)容，我們根據(jù)最新的標(biāo)準(zhǔn)以及這幾年的最新實(shí)踐進(jìn)行了修訂，但是對于原書中大量信息安全技術(shù)的討論，在本書中不再涉及，在信息安全管理體系叢書中也不再討論，以更突出管理體系的文件化規(guī)程的特點(diǎn)。此外，本書也不再介紹信息安全的基本內(nèi)容，而是直接從解讀GB/T 22080-2008/ISO/IEC 27001：2005開始。　　……

內(nèi)容概要

本書共有三篇：標(biāo)準(zhǔn)解讀、標(biāo)準(zhǔn)落地及延伸閱讀。
標(biāo)準(zhǔn)解讀包括：正文解讀、附錄解讀和參考文獻(xiàn)解讀。正文解讀的形式為左側(cè)標(biāo)準(zhǔn)原文，右側(cè)解讀或注釋。在正文解讀中，用了大量的圖示，也列舉了大量的示例，
力求通俗易懂， 以幫助讀者利用已有的經(jīng)驗(yàn)來理解信息安全管理體系中晦澀的概念。

書籍目錄

目錄
第一篇
基礎(chǔ) 標(biāo)準(zhǔn)解讀
第1章 GB/T22080-2008 /
ISO/IEC27001:2005正文解讀
引言
1
范圍
2
規(guī)范性引用文件
3
術(shù)語和定義
4
信息安全管理體系（ISMS）
5
管理職責(zé)
6
內(nèi)部ISMS審核
7
ISMS的管理評審
8
ISMS改進(jìn)
第2章 GB/T22080-2008 /
ISO/IEC27001:2005附錄解讀
附錄A
（規(guī)范性附錄） 控制目標(biāo)和控制措施
附錄B
（資料性附錄） OECD原則和本標(biāo)準(zhǔn)
附錄C
（資料性附錄） ISO
9001:2000, ISO 14001:2004 和本標(biāo)準(zhǔn)之間的對照
第3章 GB/T22080-2008 /
ISO/IEC27001:2005參考文獻(xiàn)解讀
第二篇
實(shí)施 標(biāo)準(zhǔn)落地
第4章 項(xiàng)目整體設(shè)計(jì)（Plan）
開始考慮實(shí)施ISMS
獲得批準(zhǔn)并啟動項(xiàng)目
建立ISMS方針
建立組織安全要求
進(jìn)行風(fēng)險(xiǎn)評估及處置
設(shè)計(jì)ISMS
確定正式的項(xiàng)目計(jì)劃
第5章 文件體系設(shè)計(jì)及編寫指南（Plan）
設(shè)計(jì)文件的架構(gòu)
文件的過程控制
文件編寫注意要點(diǎn)
確定文件目錄
確定文件編寫及發(fā)布計(jì)劃
編寫文件
第6章 體系運(yùn)行管理（Do-Check-Act）
進(jìn)行監(jiān)視與評審
組織內(nèi)部審核
組織管理評審
申請外部審核
第三篇
提高 延伸閱讀
第7章 ISO/IEC27000標(biāo)準(zhǔn)族開發(fā)進(jìn)展及概述
ISO/IEC
27000至ISO/IEC
27059標(biāo)準(zhǔn)的基本情況
第8章 幾個(gè)重要的ISO/IEC27000標(biāo)準(zhǔn)介紹
ISO/IEC27000:2009基礎(chǔ)與詞匯
GB/T22080—2008/ISO/IEC27002:2005信息安全管理實(shí)用規(guī)則
ISO/IEC
27003:2010信息安全管理體系應(yīng)用指南
ISO/IEC
27004:2009信息安全管理-測量
ISO/IEC
27005:2011信息安全風(fēng)險(xiǎn)管理
ISO/IEC
27006:2007信息安全管理體系認(rèn)證審核機(jī)構(gòu)要求
ISO/IEC 27007:2011信息安全管理體系審核指南
ISO/IEC TR 27008:2011控制措施審核指南
致謝
后記

章節(jié)摘錄

版權(quán)頁：   插圖：   （二）制度描述雖然明確，但是不切實(shí)際。例如，風(fēng)險(xiǎn)評估的實(shí)施頻率為每季度至少一次，必須覆蓋所有的信息系統(tǒng)。對于信息系統(tǒng)復(fù)雜的組織來說，這個(gè)要求很難實(shí)現(xiàn)，而且必要性也不大。反倒是風(fēng)險(xiǎn)評估所帶來的業(yè)務(wù)中斷更值得關(guān)注。在制度中盡量避免出現(xiàn)“有關(guān)部門”、“相關(guān)部門”、“相關(guān)人員”等模糊詞匯，這種詞匯一般是出于制度制定者的“免責(zé)”的心態(tài)，看似義正言辭，實(shí)則言之無物。一個(gè)制度，一旦站在“立場正確”的角度對現(xiàn)象進(jìn)行指責(zé)，并強(qiáng)烈呼吁“提高人的××素質(zhì)”，唯獨(dú)缺乏可操作性的措施，注定是失敗的制度。 術(shù)語要規(guī)范，前后要統(tǒng)一 無論是否有專門的術(shù)語定義，術(shù)語的引用應(yīng)該盡量與國家標(biāo)準(zhǔn)保持一致，但是有些術(shù)語本身沒有統(tǒng)一的規(guī)范，或者還沒有國家標(biāo)準(zhǔn)，因此在一篇文檔里至少應(yīng)該保持統(tǒng)一性。例如，confidentiality，在中文里面有時(shí)翻譯成“保密性”，有時(shí)翻譯成“機(jī)密性”，在日常應(yīng)用中，經(jīng)常會發(fā)現(xiàn)一篇文檔，“保密性”和“機(jī)密性”輪換使用，而作者卻渾然不覺。再如，在以往的翻譯中，information security event譯為“信息安全事件”，而informationsecurity incident譯為“信息安全事故”但是在GB／Z 20985——2007中，將information security event譯為“信息安全事態(tài)”，而information security incident譯為“信息安全事件”。雖然開始不習(xí)慣，但是也必須跟國家標(biāo)準(zhǔn)保持一致。用詞力求準(zhǔn)確，避免產(chǎn)生可能的歧義明確是為了防止模棱兩可，準(zhǔn)確則是為了防止產(chǎn)生歧義。例如，在GB／T 22080—2008／ISO／IEC 27001：2005部署之前，應(yīng)分析組織目前情況與標(biāo)準(zhǔn)之間的差距?！安罹唷币辉~，不夠準(zhǔn)確，這意味著組織實(shí)際的所有方面都沒有標(biāo)準(zhǔn)要求的好，但實(shí)際上，某些方面，組織的控制措施可能已經(jīng)超過了GB／T 22080 2008／ISO／IEC 27001：2005的要求，上句修正為“差異”則比較準(zhǔn)確。 在GB／T 1.1—2009的6.3.1.3強(qiáng)調(diào)了規(guī)范性技術(shù)要素的可證實(shí)性原則：不論標(biāo)準(zhǔn)的目的如何，標(biāo)準(zhǔn)中應(yīng)只列入那些能被證實(shí)的要求。標(biāo)準(zhǔn)中的要求應(yīng)定量并使用明確的數(shù)值表示，不應(yīng)僅使用定性的表述，如“足夠堅(jiān)固”或“適當(dāng)?shù)膹?qiáng)度”等。當(dāng)然，一個(gè)企業(yè)的制度不必一定達(dá)到GB／T 1.1——2009的要求。

媒體關(guān)注與評論

　　本叢書從ISMS的基礎(chǔ)信息安全風(fēng)險(xiǎn)管理開始討論，從不同領(lǐng)域、多個(gè)側(cè)面，對ISMS相關(guān)知識進(jìn)行了細(xì)致的介紹和闡述，有理論，更有實(shí)踐，包括ISMS的審核指南、應(yīng)用方法、業(yè)務(wù)連續(xù)性管理以及在重點(diǎn)行業(yè)的應(yīng)用實(shí)例，很有特色?！　　袊こ淘涸菏?蔡吉人　　　　信息安全是維護(hù)國家安全、保持社會穩(wěn)定，關(guān)系長遠(yuǎn)利益的關(guān)鍵組成部分，本叢書中各種典型的案例.針對各種網(wǎng)絡(luò)安全問題的應(yīng)對措施，為組織提供一個(gè)完整的業(yè)務(wù)不間斷計(jì)劃，能為組織業(yè)務(wù)的正常運(yùn)行起到保駕護(hù)航的作用。　　——中國工程院院士 周仲義

編輯推薦

《信息安全管理體系實(shí)施指南》由中國標(biāo)準(zhǔn)出版社出版。

名人推薦

本叢書從ISMS的基礎(chǔ)信息安全風(fēng)險(xiǎn)管理開始討論，從不同領(lǐng)域、多個(gè)側(cè)面，對ISMS相關(guān)知識進(jìn)行了細(xì)致的介紹和闡述，有理論，更有實(shí)踐，包括ISMS的審核指南、應(yīng)用方法、業(yè)務(wù)連續(xù)性管理以及在重點(diǎn)行業(yè)的應(yīng)用實(shí)例，很有特色。 ——中國工程院院士 蔡吉人 信息安全是維護(hù)國家安全、保持社會穩(wěn)定，關(guān)系長遠(yuǎn)利益的關(guān)鍵組成部分，本叢書中各種典型的案例，針對各種網(wǎng)絡(luò)安全問題的應(yīng)對措施，為組織提供一個(gè)完整的業(yè)務(wù)不間斷計(jì)劃，能為組織業(yè)務(wù)的正常運(yùn)行起到保駕護(hù)航的作用。 ——中國工程院院士 周仲義

圖書封面

圖書標(biāo)簽Tags

無

評論、評分、閱讀與下載

---

    信息安全管理體系實(shí)施指南 PDF格式下載

---