內容簡介
《信息安全管理體係實施指南(第2版)》共有三篇:標準解讀、標準落地及延伸閱讀。
標準解讀包括:正文解讀、附錄解讀和參考文獻解讀。正文解讀的形式為左側標準原文,右側解讀或注釋。在正文解讀中,用瞭大量的圖示,也列舉瞭大量的示例,力求通俗易懂,以幫助讀者利用已有的經驗來理解信息安全管理體係中晦澀的概念。
標準落地部分主要介紹標準如何實施。
延伸閱讀主要為想深入研究信息安全管理體係的讀者準備,一部分是信息安全管理體係標準族的概述,以錶格的形式給齣瞭已經齣版的和正在編寫的標準的名稱及簡要介紹。另一部分是除瞭GB/T22080-2008/ISO/IEC27001:2005之外的已經齣版的重要標準的綜述。
內頁插圖
精彩書評
★本叢書從ISMS的基礎信息安全風險管理開始討論,從不同領域、多個側麵,對ISMS相關知識進行瞭細緻的介紹和闡述,有理論,更有實踐,包括ISMS的審核指南應用方法、業務連續性管理以及在重點行業的應用實例,很有特色。
——中國工程院院士 蔡吉人
★信息安全是維護國傢安全、保持社會穩定、關係長遠利益的關鍵組成部分,本叢書中各種典型的案例、針對各種網絡安全問題的應對措施,為組織提供一個完整的業務不間斷計劃,能為組織業務的正常運行起到保駕護航的作用。
——中國工程院院士 周仲義
目錄
第一篇 基礎——GB/T 22080-2016/ISO/IEC 27001:2013解讀
第1章 目次、前言和引言解讀
目次
前言
引言
第2章 正文解讀
1 範圍
2 規範性引用文件
3 術語和定義
4 組織環境
5 領導
6 規劃
7 支持
8 運行
9 績效評價
10 改進
第3章 附錄解讀
附錄A
附錄NA(資料性附錄)
附錄NB(資料性附錄)
參考文獻
第二篇 實施——GB/T 22080 2016/ISO/IEC 27001:2013落地
第4章 項目整體設計
□開始考慮實施信息安全管理體係
□獲得批準並啓動項目
□建立信息安全方針
□建立組織安全要求
□進行新信息安全風險評估及處理
□設計信息安全管理體係
□確定正式的項目計劃
第5章 文件體係設計及編寫指南
□設計文件的架構
□文件的過程控製
□文件編寫注意要點
□確定文件目錄
□確定文件編寫及發布計劃
□編寫文件
第6章 體係運行管理
□進行監視和測量
□組織內部審核
□組織管理評審
□申請認證(可選)
第三篇 提高——ISO/IEC 27000標準族延伸閱讀
第7章 ISO/IEC 27000標準族進展
第8章 ISO/IEC 27000:2009介紹
0 Introduction引言
1 Scope範圍
2 terms and definitions術語和定義
3 information security management systems信息安全管理體係
4 ISMS family of standards ISMS標準族
Annex A(informative)Verbal forms for expression of provisions
附錄A:條款中錶達的詞匯形式
Annex B(informative)Categorizes terms附錄B:術語分類
第9章 ISO/IEC 27004:2009介紹
0 Introduction引言
1 Scope範圍
2 Normative references規範性引用文件
3 Terms and definitions術語和定義
4 Structure 0f this International Standard本標準的結構
5 Information security measurement overview信息安全測量綜述
6 Management responsibilit:ies管理者責任
7 Measures and measurement development測度與測量的開發
8 Measurement operation測量操作
9 Data analysis and measurement results reporting數據分析及測量結果報告
10 Information Security Measurement Programme Evaluation and Improvement信息安全測量程序評價及改進
附錄
附錄1 標準附錄A的控製對比
附錄2 ISO/IEC2700l與ISO/IEC27002標準的演變介紹
一、需要說明的兩個問題
二、成為國際標準前的主要開發過程
三、成為國際標準後的版本演化及國標化
四、結語
參考文獻
附錄3 中英文詞匯對照錶
第2版後記
前言/序言
這次改版有三個重要原因:
首先,ISO/IEC27001:2005改版成瞭ISO/IEC27001:2013,從而GB/T22080——2008也隨之改版成瞭GB/T22080-2016,也有很多讀者給我們寫信催促,但是鑒於國傢標準齣版的流程耗時比較長。所以,在2013年,我們齣版瞭《ISO/IEC27001:2013標準解讀及改版分析》,並將本書的第一版暫時停售。2016年8月29日正式發布瞭GB/T22080-2016,因此,我們將《信息安全管理體係實施指南》等升級為最新版的標準。這是此次改版的最重要的原因。
其次,在之前2012版的解讀中,實際上有很多點解釋不清,當然,本質問題在於我本人的理解深度有欠缺。2012年-2016年,我讀博士,將自己的研究領域從計算機科學轉移到管理學中的信息係統管理,期間,我用瞭大量的時間閱讀全麵質量管理(Total Quality Management,TQM)的相關研究文獻,以及ISO/IEC27001的主要開發者倫敦政經大學的James Back house等人的諸多著作,使我對ISOfIEC27001的認識有瞭很大的提升,至少通過閱讀和研究給瞭我一個全新的視角。
此外,在編寫《ISO/IEC27001:2013標準解讀及改版分析》的過程中,我發現還有一些解釋不清的點,一旦中英文對照,解釋起來就沒那麼費勁。所以,在這次改版過程中,不再糾纏於GB/T22080-2016,隻要有利於讀者理解,在諸多地方,將ISO/IEC27001:2013的原文一並進行瞭解讀。同時,由於新版中內容與《ISO/IEC27001:2013標準解讀及改版分析》有一定重復,之後我們將停售該書,讀者若確實有需要,可以單獨聯係我們。
鑒於此,我們進行瞭改版,如有謬誤之處,隨時聯係,謝謝。
最後,提醒讀者,本書尤其是標準解讀部分,適閤想深入理解ISO/IEC27001:2013的讀者。如果隻想在組織內按照體係文件進行部署,或者做泛泛的瞭解,可以直接閱讀本叢書的其他分冊。
信息安全管理體係實施指南(第2版) 下載 mobi epub pdf txt 電子書