信息安全管理體系審核指南

內(nèi)容概要

本書分為七章，從審核基礎(chǔ)、標準族介紹、認證流程介紹到審核實施等逐步展開。其中，第2章“ISMS標準族介紹”，將ISMS標準族所有標準的進展情況更新到今年3月份；第6章“信息安全控制措施審核”借鑒了ISO/IEC
27008的最新進展，較詳細地介紹了控制惡意代碼的技術(shù)檢查，審計日志控制措施的技術(shù)檢查，特殊權(quán)限管理控制措施的技術(shù)檢查，備份控制措施的技術(shù)檢查，網(wǎng)絡(luò)安全管理控制措施的技術(shù)檢查，用戶職責管理控制措施的技術(shù)檢查的檢查內(nèi)涵、檢查方法和相關(guān)證據(jù)要求，為從業(yè)人員理解控制措施的有效性檢查和審核點起到拋磚引玉的作用。第7章“ISMS結(jié)合審核”的內(nèi)容也借鑒了ISO/IEC
27013的部分思想，從風險管理、有效性測量、信息安全事件管理、變更管理、容量管理、相關(guān)方管理和業(yè)務(wù)連續(xù)性管理7個方面，分析了兩個標準的針對性要求和結(jié)合審核方法。

書籍目錄

第1章 信息安全管理體系審核
　1.1 相關(guān)概念
　1.2 審核原則
　1.3 審核員
第2章 ISMS標準組介紹
　2.1 ISO/IEC 27000標準組開發(fā)進展及概述
　2.2 幾個重要的ISO/IEC 27000標準介紹
第3章 認證流程
　3.1 提出認證申請
　3.2 合同評審
　3.3 組成審核組
　3.4 下達審核任務(wù)
　3.5 制定審核計劃
　3.6 后續(xù)活動
第4章 審核實施
　4.1 文件審核（第一階段審核）
　4.2 現(xiàn)場審核（第二階段審核）
　4.3 審核報告
　4.4 審核后續(xù)活動
第5章 ISMS符合性審核
　5.1 ISO/IEC 27001:2005標準的結(jié)構(gòu)
　5.2 審核方法
　5.3 審核“4 信息安全管理體系”
　5.4 審核“5 管理職責”
　5.5 審核“6 內(nèi)部ISMS審核”
　5.6 審核“7 ISMS的管理評審”
　5.7 審核“8 ISMS改進”
第6章 信息安全控制措施審核
　6.1 控制措施審核準備
　6.2 控制措施審核方法之一：訪談
　6.3 控制措施審核方法之二：測試
　6.4 控制措施審核實踐指南
第7章 ISMS結(jié)合審核
　7.1 結(jié)合審核概述
　7.2 結(jié)合審核的準備、策劃和實施
　7.3 ISO/IEC 27001與ISO9001和ISO14001等標準的結(jié)合審核
　7.4 ISO/IEC 27001與ISO/IEC 20000-1的結(jié)合審核

章節(jié)摘錄

版權(quán)頁：   插圖：   5.1.3 標準的附錄部分 附錄A列出許多詳細的控制目標和控制措施，可供組織進行信息資產(chǎn)風險處理時選擇使用。這些可供選用的控制措施也稱為控制要求（control requirements）。組織在建立ISMS時，要選擇“附錄A”所列的控制目標和控制措施。附錄A屬于規(guī)范性的附錄，是ISO／IEC 27001：2005標準要求組織要使用的附錄。附錄A的符合性審核也十分重要。這將在第6章“控制目標和控制措施的符合性審核”再詳細介紹。 附錄B和附錄C展示ISO／IEC 27001：2005標準與其他相關(guān)標準（或指南）之間的對應(yīng)關(guān)系。其內(nèi)容十分簡單，易讀、易理解，讀者只要花很少時間閱讀后，就會明白和了解到相關(guān)信息。由于這兩個附錄只起著提供信息的作用，屬于信息性附錄，不是標準的要求，與審核沒有多大的關(guān)系。 5.2 審核方法 5.2.1 過程審核 ISO／IEC 27001：2005的要求是過程要求。 有些ISMS過程要通過形成文件的程序（documented procedures，通常稱程序文件）加以控制，如“文件控制程序”、“記錄控制程序”、“ISMS內(nèi)部審核程序”和“糾正措施和預防措施控制程序”等。有些過程不一定要用程序文件進行控制。凡標準要求要有的過程，組織要有相應(yīng)的過程。審核人員應(yīng)按標準要求進行過程審核。對過程的審核可從兩方面入手： （1）過程是否到位。對于ISO／IEC 27001的相關(guān)條款的關(guān)鍵點上所要求的過程，組織實際建立的ISMS必須要有相應(yīng)的過程。 （2）過程是否符合要求。ISO／IEC 27001標準對每個ISMS過程，都有具體的和明確的要求（“shall”要求）。組織的ISMS必須滿足這些要求。 主要方法是將組織的ISMS與ISO／IEC 27001：2005的第4～8章規(guī)定的要求進行比較和分析。

媒體關(guān)注與評論

　　本叢書從ISMS的基礎(chǔ)信息安全風險管理開始討論，從不同領(lǐng)域、多個側(cè)面，對ISMS相關(guān)知識進行了細致的介紹和闡述，有理論，更有實踐，包括ISMS的審核指南、應(yīng)用方法、業(yè)務(wù)連續(xù)性管理以及在重點行業(yè)的應(yīng)用實例，很有特色?！　　袊こ淘涸菏?蔡吉人　　　　信息安全是維護國家安全、保持社會穩(wěn)定、關(guān)系長遠利益的關(guān)鍵組成部分，本叢書中各種典型的案例、針對各種網(wǎng)絡(luò)安全問題的應(yīng)對措施，為組織提供一個完整的業(yè)務(wù)不間斷計劃，能為組織業(yè)務(wù)的正常運行起到保駕護航的作用?！　　袊こ淘涸菏?周仲義

編輯推薦

《信息安全管理體系審核指南》由中國標準出版社出版。

圖書封面

圖書標簽Tags

無

評論、評分、閱讀與下載

---

    信息安全管理體系審核指南 PDF格式下載

---