信息安全管理體系審核指南

內(nèi)容概要

本書分為七章，從審核基礎(chǔ)、標(biāo)準(zhǔn)族介紹、認(rèn)證流程介紹到審核實(shí)施等逐步展開。其中，第2章“ISMS標(biāo)準(zhǔn)族介紹”，將ISMS標(biāo)準(zhǔn)族所有標(biāo)準(zhǔn)的進(jìn)展情況更新到今年3月份；第6章“信息安全控制措施審核”借鑒了ISO/IEC
27008的最新進(jìn)展，較詳細(xì)地介紹了控制惡意代碼的技術(shù)檢查，審計(jì)日志控制措施的技術(shù)檢查，特殊權(quán)限管理控制措施的技術(shù)檢查，備份控制措施的技術(shù)檢查，網(wǎng)絡(luò)安全管理控制措施的技術(shù)檢查，用戶職責(zé)管理控制措施的技術(shù)檢查的檢查內(nèi)涵、檢查方法和相關(guān)證據(jù)要求，為從業(yè)人員理解控制措施的有效性檢查和審核點(diǎn)起到拋磚引玉的作用。第7章“ISMS結(jié)合審核”的內(nèi)容也借鑒了ISO/IEC
27013的部分思想，從風(fēng)險(xiǎn)管理、有效性測(cè)量、信息安全事件管理、變更管理、容量管理、相關(guān)方管理和業(yè)務(wù)連續(xù)性管理7個(gè)方面，分析了兩個(gè)標(biāo)準(zhǔn)的針對(duì)性要求和結(jié)合審核方法。

書籍目錄

第1章 信息安全管理體系審核
　1.1 相關(guān)概念
　1.2 審核原則
　1.3 審核員
第2章 ISMS標(biāo)準(zhǔn)組介紹
　2.1 ISO/IEC 27000標(biāo)準(zhǔn)組開發(fā)進(jìn)展及概述
　2.2 幾個(gè)重要的ISO/IEC 27000標(biāo)準(zhǔn)介紹
第3章 認(rèn)證流程
　3.1 提出認(rèn)證申請(qǐng)
　3.2 合同評(píng)審
　3.3 組成審核組
　3.4 下達(dá)審核任務(wù)
　3.5 制定審核計(jì)劃
　3.6 后續(xù)活動(dòng)
第4章 審核實(shí)施
　4.1 文件審核（第一階段審核）
　4.2 現(xiàn)場(chǎng)審核（第二階段審核）
　4.3 審核報(bào)告
　4.4 審核后續(xù)活動(dòng)
第5章 ISMS符合性審核
　5.1 ISO/IEC 27001:2005標(biāo)準(zhǔn)的結(jié)構(gòu)
　5.2 審核方法
　5.3 審核“4 信息安全管理體系”
　5.4 審核“5 管理職責(zé)”
　5.5 審核“6 內(nèi)部ISMS審核”
　5.6 審核“7 ISMS的管理評(píng)審”
　5.7 審核“8 ISMS改進(jìn)”
第6章 信息安全控制措施審核
　6.1 控制措施審核準(zhǔn)備
　6.2 控制措施審核方法之一：訪談
　6.3 控制措施審核方法之二：測(cè)試
　6.4 控制措施審核實(shí)踐指南
第7章 ISMS結(jié)合審核
　7.1 結(jié)合審核概述
　7.2 結(jié)合審核的準(zhǔn)備、策劃和實(shí)施
　7.3 ISO/IEC 27001與ISO9001和ISO14001等標(biāo)準(zhǔn)的結(jié)合審核
　7.4 ISO/IEC 27001與ISO/IEC 20000-1的結(jié)合審核

章節(jié)摘錄

版權(quán)頁：   插圖：   5.1.3 標(biāo)準(zhǔn)的附錄部分 附錄A列出許多詳細(xì)的控制目標(biāo)和控制措施，可供組織進(jìn)行信息資產(chǎn)風(fēng)險(xiǎn)處理時(shí)選擇使用。這些可供選用的控制措施也稱為控制要求（control requirements）。組織在建立ISMS時(shí)，要選擇“附錄A”所列的控制目標(biāo)和控制措施。附錄A屬于規(guī)范性的附錄，是ISO／IEC 27001：2005標(biāo)準(zhǔn)要求組織要使用的附錄。附錄A的符合性審核也十分重要。這將在第6章“控制目標(biāo)和控制措施的符合性審核”再詳細(xì)介紹。 附錄B和附錄C展示ISO／IEC 27001：2005標(biāo)準(zhǔn)與其他相關(guān)標(biāo)準(zhǔn)（或指南）之間的對(duì)應(yīng)關(guān)系。其內(nèi)容十分簡(jiǎn)單，易讀、易理解，讀者只要花很少時(shí)間閱讀后，就會(huì)明白和了解到相關(guān)信息。由于這兩個(gè)附錄只起著提供信息的作用，屬于信息性附錄，不是標(biāo)準(zhǔn)的要求，與審核沒有多大的關(guān)系。 5.2 審核方法 5.2.1 過程審核 ISO／IEC 27001：2005的要求是過程要求。 有些ISMS過程要通過形成文件的程序（documented procedures，通常稱程序文件）加以控制，如“文件控制程序”、“記錄控制程序”、“ISMS內(nèi)部審核程序”和“糾正措施和預(yù)防措施控制程序”等。有些過程不一定要用程序文件進(jìn)行控制。凡標(biāo)準(zhǔn)要求要有的過程，組織要有相應(yīng)的過程。審核人員應(yīng)按標(biāo)準(zhǔn)要求進(jìn)行過程審核。對(duì)過程的審核可從兩方面入手： （1）過程是否到位。對(duì)于ISO／IEC 27001的相關(guān)條款的關(guān)鍵點(diǎn)上所要求的過程，組織實(shí)際建立的ISMS必須要有相應(yīng)的過程。 （2）過程是否符合要求。ISO／IEC 27001標(biāo)準(zhǔn)對(duì)每個(gè)ISMS過程，都有具體的和明確的要求（“shall”要求）。組織的ISMS必須滿足這些要求。 主要方法是將組織的ISMS與ISO／IEC 27001：2005的第4～8章規(guī)定的要求進(jìn)行比較和分析。

媒體關(guān)注與評(píng)論

　　本叢書從ISMS的基礎(chǔ)信息安全風(fēng)險(xiǎn)管理開始討論，從不同領(lǐng)域、多個(gè)側(cè)面，對(duì)ISMS相關(guān)知識(shí)進(jìn)行了細(xì)致的介紹和闡述，有理論，更有實(shí)踐，包括ISMS的審核指南、應(yīng)用方法、業(yè)務(wù)連續(xù)性管理以及在重點(diǎn)行業(yè)的應(yīng)用實(shí)例，很有特色?！　　袊?guó)工程院院士 蔡吉人　　　　信息安全是維護(hù)國(guó)家安全、保持社會(huì)穩(wěn)定、關(guān)系長(zhǎng)遠(yuǎn)利益的關(guān)鍵組成部分，本叢書中各種典型的案例、針對(duì)各種網(wǎng)絡(luò)安全問題的應(yīng)對(duì)措施，為組織提供一個(gè)完整的業(yè)務(wù)不間斷計(jì)劃，能為組織業(yè)務(wù)的正常運(yùn)行起到保駕護(hù)航的作用?！　　袊?guó)工程院院士 周仲義

編輯推薦

《信息安全管理體系審核指南》由中國(guó)標(biāo)準(zhǔn)出版社出版。

圖書封面

圖書標(biāo)簽Tags

無

評(píng)論、評(píng)分、閱讀與下載

---

    信息安全管理體系審核指南 PDF格式下載

---