信息安全管理体系理解与实施:基于ISO/IEC 27000系列标准 [Information Security Management System Understanding and Implemen pdf epub mobi txt 电子书 下载
内容简介
信息化是世界经济和社会发展的必然趋势。近年来,在党中央、国务院的高度重视和正确领导下,我国信息化建设取得了积极进展,信息技术对提升工业技术水平、创新产业形态、推动经济社会发展发挥了重要作用。信息技术已成为经济增长的“倍增器”、发展方式的“转换器”、产业升级的“助推器”。
作者在2000年参与航天航空领域利用BS7799标准提出供应链信息安全要求的评审,自此信息安全管理体系像打开了一扇门,把以往从事有关信息技术工作中遇到的零散的信息安全的要求,以相互关联、又独自成域的形式展现在面前。2005年,IS027001的面世,又将该标准提到了全球的高度。越来越多的企业为了保护核心信息资产的安全,开始把该标准作为约束供应链过程中信息安全保护的管理要求。同时合格评定领域也将该标准作为认证认可的标准之一,从业人员在获得信息安全审核员资格的同时也更愿意关注到标准的本质,进行信息安全技术的学习和研究。《信息安全管理体系理解与实施:基于ISO/IEC 27000系列标准》适用于愿意通过系统培训,扎实掌握信息安全相关技术和管理知识的从业人员,以及对信息安全感兴趣的人员。
目录
第一章 概述
第一节 引言
第二节 信息安全管理体系标准的产生和发展
第三节 信息安全管理体系标准族
第四节 信息安全管理体系要求的内容结构
本章练习题
第二章 术语和定义
第一节 与对象相关的术语和定义
第二节 与信息安全属性相关的术语和定义
第三节 与信息安全管理相关的术语和定义
第四节 与风险管理有关的术语和定义
本章练习题
第三章 GB/T22080-2016标准主体条款的理解与应用
第一节 引言
第二节 范围
第三节 引用文件和术语定义说明
第四节 组织环境
第五节 领导
第六节 规划
第七节 支持
第八节 运行
第九节 绩效评价
第十节 改进
本章练习题
第四章 GB/f22080-2016标准附录A条款的理解与应用
第一节 信息安全控制要求
第二节 信息安全控制选择
第三节 信息安全控制结构
第四节 信息安全控制的理解与应用
本章练习题
第五章 信息安全风险管理
第一节 风险
第二节 信息安全风险
第三节 风险管理
第四节 典型的风险评估方法
第五节 典型的风险处理方法
本章练习题
第六章 信息安全管理体系审核指南
第一节 审核概述
第二节 规范性引用文件
第三节 术语和定义
第四节 审核原则
第五节 审核方案的管理
第六节 审核过程控制
第七节 审核员的能力和评价
第八节 审核员行为规范要求
本章练习题
第七章 认证认可基本知识
第一节 认证认可的基本概念
第二节 认证过程
附录
精彩书摘
《信息安全管理体系理解与实施:基于ISO/IEC 27000系列标准》:
【理解与应用】
(1)本条款意图是为组织提供对内外部因素(包括正面和负面)的最佳理解,这些因素可能会影响到信息安全管理体系达成期望结果的能力。组织应意识到这些内外部因素可能是不断变化的,因此,应定期进行监控及评审。
(2)应理解在确定信息安全管理体系的关键要素时,条款4.1连同其他条款的要求提供了必要的信息基础。
(3)可以通过多种来源获取内外部因素的信息,例如国家和国际新闻、网站、国家统计部门和其他政府部门出版物、行业和技术出版物、本地和国家会议、行业协会等。
(4)几个概念的理解
1)组织环境
组织环境是本版标准的一个新概念,对其的理解至关重要。组织环境是指对组织建立和实现目标的方法有影响的内部和外部因素的组合。它不仅适用于营利性组织,同样适用于非营利性组织或公共服务组织。
构成组织环境的社会是一个由各个要素有机联系、功能高度分化的系统。组织要在环境中存在和活动,就必须适应环境特定的功能要求。环境系统决定着不同类型的组织的不同目标,组织与环境的关系状态还影响到目标的形成,因此组织环境具有综合性、复杂性和不确定性的特点。
2)组织环境与组织目的
对组织环境的理解是一个过程,这个过程确定了影响组织的目的、目标和可持续性的各种因素。它既需要考虑内部因素——例如:组织的价值观、文化、知识和绩效,也需要考虑外部因素——例如:法律的、技术的、竞争的、市场的、文化的、社会的和经济的环境。
组织的形成是为了实现某一特定目的,且该目的驱使着组织所做的每一件事。一个组织要想长期生存发展,自然应清楚地定位自己的社会角色和为社会能做的贡献。组织的目的可被表达为其愿景、使命、方针和目标。
——组织使命:使命是一个企业存在的目的和意义,或企业存在的理由,是企业存续发展对企业自身及社会的价值与意义。
——组织愿景:愿景是企业使命的形象化与具体化,由于社会分工的存在以及特定企业在资源及其禀赋等方面的差异性与局限性,每个企业只能在特定的领域或方面以特定的方式来表达和实现其使命,从而表现为不同的企业愿景。
——企业战略目标:是企业在一定时期内,为完成企业使命及愿景所要达到的结果,也是衡量企业经营活动的标准。
3)组织环境的构成
组织环境可分为组织的外部环境和内部环境。
①组织外部环境的构成
一经济环境(包括宏观经济和微观经济)。组织的宏观经济环境就是指在国家和地区的水平上给组织造成市场机会或环境威胁的社会因素;可理解为泛指一个国家的社会制度、执政党的性质、政府的方针、政策,以及国家制定的有关法律、法规等。组织必须明确其所在国家和政府目前禁止哪些事情,允许哪些事情以及鼓励哪些事情,从而使组织活动符合全社会利益并受到某些方面的保护和支持。组织的微观经济环境主要包括:所在地区消费者水平、消费偏好、就业程度等。微观经济环境因素会直接决定企业目前及未来的市场规模。
一一政治环境。政治环境就是指一个国家或地区在一定时期内的政治大背景。政治环境的好坏影响着宏观经济形势,从而也影响着组织的生产经营活动。
政治环境分析的内容,如:我国提出了优化产业结构,转变经济增长方式,以信息化带动工业化,以工业化促进信息化,实施科教兴国战略等。这一切都对企业生产经营活动有着决定性的影响,指导着企业正确地确定自己的经营方向、经营目标、经营方针、经营战略和策略。
一一技术环境。社会科技的进步促进了组织活动过程中物质条件的改善和技术水平的改进,从而使利用这些物质条件进行活动的组织取得更高的效率。技术环境对组织活动成果有着重要的影响。技术进步了,企业现有产品就可以被采用了新技术的竞争产品所取代。产品更新换代以后,组织现有的生产设施和工艺方法可能显得落后,生产作业人员的操作技能和知识结构可能不再符合要求。
一一自然环境。通常是指组织所处地区的地理位置、自然资源的状况。我国地域辽阔,各地区自然条件和资源差异较大,沿海地区与内陆地区的经济发展条件和水平也完全不同。
……
前言/序言
信息化是世界经济和社会发展的必然趋势。近年来,在党中央、国务院的高度重视和正确领导下,我国信息化建设取得了积极进展,信息技术对提升工业技术水平、创新产业形态、推动经济社会发展发挥了重要作用。信息技术已成为经济增长的“倍增器”、发展方式的“转换器”、产业升级的“助推器”。
作者在2000年参与航天航空领域利用BS7799标准提出供应链信息安全要求的评审,自此信息安全管理体系像打开了一扇门,把以往从事有关信息技术工作中遇到的零散的信息安全的要求,以相互关联、又独自成域的形式展现在面前。2005年,IS027001的面世,又将该标准提到了全球的高度。越来越多的企业为了保护核心信息资产的安全,开始把该标准作为约束供应链过程中信息安全保护的管理要求。同时合格评定领域也将该标准作为认证认可的标准之一,从业人员在获得信息安全审核员资格的同时也更愿意关注到标准的本质,进行信息安全技术的学习和研究。本书适用于愿意通过系统培训,扎实掌握信息安全相关技术和管理知识的从业人员,以及对信息安全感兴趣的人员。
我们衷心期望,本教材的编写能对我国信息安全相应专业领域的教育发展和教学水平的提高有所裨益,对推动我国信息安全的人才培养有所贡献。同时,借助教材出版的机会,向所有为系列教材的组织、构思、写作、审核、编辑、出版等做出贡献的专家学者、教师和工作人员表达我们最真诚的谢意!
本书主要参考ISO27001《信息技术信息安全管理体系要求》、IS027002《信息技术安全技术信息安全管理实用规则》,并融合作者的信息安全项目建设工作经验和企业审核经验来编写。在编写本书过程中,朱雪峰承担资料整理工作、张平贺承担校对工作、王春丽主任提供了足够的资源支持,各位评审专家给出非常中肯的建议和意见,在此表示衷心的感谢!
本书虽然融合了作者多年的信息安全工作经验,但由于成书匆忙,存在问题在所难免,敬请拨冗赐教!
信息安全管理体系理解与实施:基于ISO/IEC 27000系列标准 [Information Security Management System Understanding and Implemen 电子书 下载 mobi epub pdf txt
信息安全管理体系理解与实施:基于ISO/IEC 27000系列标准 [Information Security Management System Understanding and Implemen pdf epub mobi txt 电子书 下载