信息安全管理體係理解與實施:基於ISO/IEC 27000係列標準 [Information Security Management System Understanding and Implemen pdf epub mobi txt 電子書 下載 2024
內容簡介
信息化是世界經濟和社會發展的必然趨勢。近年來,在黨中央、國務院的高度重視和正確領導下,我國信息化建設取得瞭積極進展,信息技術對提升工業技術水平、創新産業形態、推動經濟社會發展發揮瞭重要作用。信息技術已成為經濟增長的“倍增器”、發展方式的“轉換器”、産業升級的“助推器”。
作者在2000年參與航天航空領域利用BS7799標準提齣供應鏈信息安全要求的評審,自此信息安全管理體係像打開瞭一扇門,把以往從事有關信息技術工作中遇到的零散的信息安全的要求,以相互關聯、又獨自成域的形式展現在麵前。2005年,IS027001的麵世,又將該標準提到瞭全球的高度。越來越多的企業為瞭保護核心信息資産的安全,開始把該標準作為約束供應鏈過程中信息安全保護的管理要求。同時閤格評定領域也將該標準作為認證認可的標準之一,從業人員在獲得信息安全審核員資格的同時也更願意關注到標準的本質,進行信息安全技術的學習和研究。《信息安全管理體係理解與實施:基於ISO/IEC 27000係列標準》適用於願意通過係統培訓,紮實掌握信息安全相關技術和管理知識的從業人員,以及對信息安全感興趣的人員。
目錄
第一章 概述
第一節 引言
第二節 信息安全管理體係標準的産生和發展
第三節 信息安全管理體係標準族
第四節 信息安全管理體係要求的內容結構
本章練習題
第二章 術語和定義
第一節 與對象相關的術語和定義
第二節 與信息安全屬性相關的術語和定義
第三節 與信息安全管理相關的術語和定義
第四節 與風險管理有關的術語和定義
本章練習題
第三章 GB/T22080-2016標準主體條款的理解與應用
第一節 引言
第二節 範圍
第三節 引用文件和術語定義說明
第四節 組織環境
第五節 領導
第六節 規劃
第七節 支持
第八節 運行
第九節 績效評價
第十節 改進
本章練習題
第四章 GB/f22080-2016標準附錄A條款的理解與應用
第一節 信息安全控製要求
第二節 信息安全控製選擇
第三節 信息安全控製結構
第四節 信息安全控製的理解與應用
本章練習題
第五章 信息安全風險管理
第一節 風險
第二節 信息安全風險
第三節 風險管理
第四節 典型的風險評估方法
第五節 典型的風險處理方法
本章練習題
第六章 信息安全管理體係審核指南
第一節 審核概述
第二節 規範性引用文件
第三節 術語和定義
第四節 審核原則
第五節 審核方案的管理
第六節 審核過程控製
第七節 審核員的能力和評價
第八節 審核員行為規範要求
本章練習題
第七章 認證認可基本知識
第一節 認證認可的基本概念
第二節 認證過程
附錄
精彩書摘
《信息安全管理體係理解與實施:基於ISO/IEC 27000係列標準》:
【理解與應用】
(1)本條款意圖是為組織提供對內外部因素(包括正麵和負麵)的最佳理解,這些因素可能會影響到信息安全管理體係達成期望結果的能力。組織應意識到這些內外部因素可能是不斷變化的,因此,應定期進行監控及評審。
(2)應理解在確定信息安全管理體係的關鍵要素時,條款4.1連同其他條款的要求提供瞭必要的信息基礎。
(3)可以通過多種來源獲取內外部因素的信息,例如國傢和國際新聞、網站、國傢統計部門和其他政府部門齣版物、行業和技術齣版物、本地和國傢會議、行業協會等。
(4)幾個概念的理解
1)組織環境
組織環境是本版標準的一個新概念,對其的理解至關重要。組織環境是指對組織建立和實現目標的方法有影響的內部和外部因素的組閤。它不僅適用於營利性組織,同樣適用於非營利性組織或公共服務組織。
構成組織環境的社會是一個由各個要素有機聯係、功能高度分化的係統。組織要在環境中存在和活動,就必須適應環境特定的功能要求。環境係統決定著不同類型的組織的不同目標,組織與環境的關係狀態還影響到目標的形成,因此組織環境具有綜閤性、復雜性和不確定性的特點。
2)組織環境與組織目的
對組織環境的理解是一個過程,這個過程確定瞭影響組織的目的、目標和可持續性的各種因素。它既需要考慮內部因素——例如:組織的價值觀、文化、知識和績效,也需要考慮外部因素——例如:法律的、技術的、競爭的、市場的、文化的、社會的和經濟的環境。
組織的形成是為瞭實現某一特定目的,且該目的驅使著組織所做的每一件事。一個組織要想長期生存發展,自然應清楚地定位自己的社會角色和為社會能做的貢獻。組織的目的可被錶達為其願景、使命、方針和目標。
——組織使命:使命是一個企業存在的目的和意義,或企業存在的理由,是企業存續發展對企業自身及社會的價值與意義。
——組織願景:願景是企業使命的形象化與具體化,由於社會分工的存在以及特定企業在資源及其稟賦等方麵的差異性與局限性,每個企業隻能在特定的領域或方麵以特定的方式來錶達和實現其使命,從而錶現為不同的企業願景。
——企業戰略目標:是企業在一定時期內,為完成企業使命及願景所要達到的結果,也是衡量企業經營活動的標準。
3)組織環境的構成
組織環境可分為組織的外部環境和內部環境。
①組織外部環境的構成
一經濟環境(包括宏觀經濟和微觀經濟)。組織的宏觀經濟環境就是指在國傢和地區的水平上給組織造成市場機會或環境威脅的社會因素;可理解為泛指一個國傢的社會製度、執政黨的性質、政府的方針、政策,以及國傢製定的有關法律、法規等。組織必須明確其所在國傢和政府目前禁止哪些事情,允許哪些事情以及鼓勵哪些事情,從而使組織活動符閤全社會利益並受到某些方麵的保護和支持。組織的微觀經濟環境主要包括:所在地區消費者水平、消費偏好、就業程度等。微觀經濟環境因素會直接決定企業目前及未來的市場規模。
一一政治環境。政治環境就是指一個國傢或地區在一定時期內的政治大背景。政治環境的好壞影響著宏觀經濟形勢,從而也影響著組織的生産經營活動。
政治環境分析的內容,如:我國提齣瞭優化産業結構,轉變經濟增長方式,以信息化帶動工業化,以工業化促進信息化,實施科教興國戰略等。這一切都對企業生産經營活動有著決定性的影響,指導著企業正確地確定自己的經營方嚮、經營目標、經營方針、經營戰略和策略。
一一技術環境。社會科技的進步促進瞭組織活動過程中物質條件的改善和技術水平的改進,從而使利用這些物質條件進行活動的組織取得更高的效率。技術環境對組織活動成果有著重要的影響。技術進步瞭,企業現有産品就可以被采用瞭新技術的競爭産品所取代。産品更新換代以後,組織現有的生産設施和工藝方法可能顯得落後,生産作業人員的操作技能和知識結構可能不再符閤要求。
一一自然環境。通常是指組織所處地區的地理位置、自然資源的狀況。我國地域遼闊,各地區自然條件和資源差異較大,沿海地區與內陸地區的經濟發展條件和水平也完全不同。
……
前言/序言
信息化是世界經濟和社會發展的必然趨勢。近年來,在黨中央、國務院的高度重視和正確領導下,我國信息化建設取得瞭積極進展,信息技術對提升工業技術水平、創新産業形態、推動經濟社會發展發揮瞭重要作用。信息技術已成為經濟增長的“倍增器”、發展方式的“轉換器”、産業升級的“助推器”。
作者在2000年參與航天航空領域利用BS7799標準提齣供應鏈信息安全要求的評審,自此信息安全管理體係像打開瞭一扇門,把以往從事有關信息技術工作中遇到的零散的信息安全的要求,以相互關聯、又獨自成域的形式展現在麵前。2005年,IS027001的麵世,又將該標準提到瞭全球的高度。越來越多的企業為瞭保護核心信息資産的安全,開始把該標準作為約束供應鏈過程中信息安全保護的管理要求。同時閤格評定領域也將該標準作為認證認可的標準之一,從業人員在獲得信息安全審核員資格的同時也更願意關注到標準的本質,進行信息安全技術的學習和研究。本書適用於願意通過係統培訓,紮實掌握信息安全相關技術和管理知識的從業人員,以及對信息安全感興趣的人員。
我們衷心期望,本教材的編寫能對我國信息安全相應專業領域的教育發展和教學水平的提高有所裨益,對推動我國信息安全的人纔培養有所貢獻。同時,藉助教材齣版的機會,嚮所有為係列教材的組織、構思、寫作、審核、編輯、齣版等做齣貢獻的專傢學者、教師和工作人員錶達我們最真誠的謝意!
本書主要參考ISO27001《信息技術信息安全管理體係要求》、IS027002《信息技術安全技術信息安全管理實用規則》,並融閤作者的信息安全項目建設工作經驗和企業審核經驗來編寫。在編寫本書過程中,硃雪峰承擔資料整理工作、張平賀承擔校對工作、王春麗主任提供瞭足夠的資源支持,各位評審專傢給齣非常中肯的建議和意見,在此錶示衷心的感謝!
本書雖然融閤瞭作者多年的信息安全工作經驗,但由於成書匆忙,存在問題在所難免,敬請撥冗賜教!
信息安全管理體係理解與實施:基於ISO/IEC 27000係列標準 [Information Security Management System Understanding and Implemen 下載 mobi epub pdf txt 電子書
信息安全管理體係理解與實施:基於ISO/IEC 27000係列標準 [Information Security Management System Understanding and Implemen pdf epub mobi txt 電子書 下載