内容简介
《信息安全管理体系实施指南(第2版)》共有三篇:标准解读、标准落地及延伸阅读。
标准解读包括:正文解读、附录解读和参考文献解读。正文解读的形式为左侧标准原文,右侧解读或注释。在正文解读中,用了大量的图示,也列举了大量的示例,力求通俗易懂,以帮助读者利用已有的经验来理解信息安全管理体系中晦涩的概念。
标准落地部分主要介绍标准如何实施。
延伸阅读主要为想深入研究信息安全管理体系的读者准备,一部分是信息安全管理体系标准族的概述,以表格的形式给出了已经出版的和正在编写的标准的名称及简要介绍。另一部分是除了GB/T22080-2008/ISO/IEC27001:2005之外的已经出版的重要标准的综述。
内页插图
精彩书评
★本丛书从ISMS的基础信息安全风险管理开始讨论,从不同领域、多个侧面,对ISMS相关知识进行了细致的介绍和阐述,有理论,更有实践,包括ISMS的审核指南应用方法、业务连续性管理以及在重点行业的应用实例,很有特色。
——中国工程院院士 蔡吉人
★信息安全是维护国家安全、保持社会稳定、关系长远利益的关键组成部分,本丛书中各种典型的案例、针对各种网络安全问题的应对措施,为组织提供一个完整的业务不间断计划,能为组织业务的正常运行起到保驾护航的作用。
——中国工程院院士 周仲义
目录
第一篇 基础——GB/T 22080-2016/ISO/IEC 27001:2013解读
第1章 目次、前言和引言解读
目次
前言
引言
第2章 正文解读
1 范围
2 规范性引用文件
3 术语和定义
4 组织环境
5 领导
6 规划
7 支持
8 运行
9 绩效评价
10 改进
第3章 附录解读
附录A
附录NA(资料性附录)
附录NB(资料性附录)
参考文献
第二篇 实施——GB/T 22080 2016/ISO/IEC 27001:2013落地
第4章 项目整体设计
□开始考虑实施信息安全管理体系
□获得批准并启动项目
□建立信息安全方针
□建立组织安全要求
□进行新信息安全风险评估及处理
□设计信息安全管理体系
□确定正式的项目计划
第5章 文件体系设计及编写指南
□设计文件的架构
□文件的过程控制
□文件编写注意要点
□确定文件目录
□确定文件编写及发布计划
□编写文件
第6章 体系运行管理
□进行监视和测量
□组织内部审核
□组织管理评审
□申请认证(可选)
第三篇 提高——ISO/IEC 27000标准族延伸阅读
第7章 ISO/IEC 27000标准族进展
第8章 ISO/IEC 27000:2009介绍
0 Introduction引言
1 Scope范围
2 terms and definitions术语和定义
3 information security management systems信息安全管理体系
4 ISMS family of standards ISMS标准族
Annex A(informative)Verbal forms for expression of provisions
附录A:条款中表达的词汇形式
Annex B(informative)Categorizes terms附录B:术语分类
第9章 ISO/IEC 27004:2009介绍
0 Introduction引言
1 Scope范围
2 Normative references规范性引用文件
3 Terms and definitions术语和定义
4 Structure 0f this International Standard本标准的结构
5 Information security measurement overview信息安全测量综述
6 Management responsibilit:ies管理者责任
7 Measures and measurement development测度与测量的开发
8 Measurement operation测量操作
9 Data analysis and measurement results reporting数据分析及测量结果报告
10 Information Security Measurement Programme Evaluation and Improvement信息安全测量程序评价及改进
附录
附录1 标准附录A的控制对比
附录2 ISO/IEC2700l与ISO/IEC27002标准的演变介绍
一、需要说明的两个问题
二、成为国际标准前的主要开发过程
三、成为国际标准后的版本演化及国标化
四、结语
参考文献
附录3 中英文词汇对照表
第2版后记
前言/序言
这次改版有三个重要原因:
首先,ISO/IEC27001:2005改版成了ISO/IEC27001:2013,从而GB/T22080——2008也随之改版成了GB/T22080-2016,也有很多读者给我们写信催促,但是鉴于国家标准出版的流程耗时比较长。所以,在2013年,我们出版了《ISO/IEC27001:2013标准解读及改版分析》,并将本书的第一版暂时停售。2016年8月29日正式发布了GB/T22080-2016,因此,我们将《信息安全管理体系实施指南》等升级为最新版的标准。这是此次改版的最重要的原因。
其次,在之前2012版的解读中,实际上有很多点解释不清,当然,本质问题在于我本人的理解深度有欠缺。2012年-2016年,我读博士,将自己的研究领域从计算机科学转移到管理学中的信息系统管理,期间,我用了大量的时间阅读全面质量管理(Total Quality Management,TQM)的相关研究文献,以及ISO/IEC27001的主要开发者伦敦政经大学的James Back house等人的诸多著作,使我对ISOfIEC27001的认识有了很大的提升,至少通过阅读和研究给了我一个全新的视角。
此外,在编写《ISO/IEC27001:2013标准解读及改版分析》的过程中,我发现还有一些解释不清的点,一旦中英文对照,解释起来就没那么费劲。所以,在这次改版过程中,不再纠缠于GB/T22080-2016,只要有利于读者理解,在诸多地方,将ISO/IEC27001:2013的原文一并进行了解读。同时,由于新版中内容与《ISO/IEC27001:2013标准解读及改版分析》有一定重复,之后我们将停售该书,读者若确实有需要,可以单独联系我们。
鉴于此,我们进行了改版,如有谬误之处,随时联系,谢谢。
最后,提醒读者,本书尤其是标准解读部分,适合想深入理解ISO/IEC27001:2013的读者。如果只想在组织内按照体系文件进行部署,或者做泛泛的了解,可以直接阅读本丛书的其他分册。
信息安全管理体系实施指南(第2版) 电子书 下载 mobi epub pdf txt