內容簡介
《信息安全管理體係叢書:信息安全管理體係實施案例(第2版)》按照時間順序描述瞭大都商業銀行的ISMS項目實施過程,給齣瞭主要的體係文件,並對這些文件所涉及的GB/T22081—2008/ISO/IEC27002:2005正文內容進行瞭詳細的解讀。
內頁插圖
目錄
大都商業銀行
項目開始1年前
事件(一2):開始考慮ISMS
事件(一1):瞭解ISMS並申請項目
項目開始第1周
事件(0):ISMS項目啓動大會
事件(1):確定項目推進組並初步製定推進計劃
事件(2-1):調研/分析現狀
項目開始第2周
事件(2-2):調研/分析現狀(續)
事件(3):建立1SMS方針
事件(4):設計文件層級與文件格式
事件(5):調研階段總結會
項目開始第3周
事件(6):設計資産分類/分級規範
事件(7-1):開始統計資産
事件(8):設計風險評估程序
事件(9):設計風險處置程序
項目開始第4周
事件(7-2):統計資産(續)
事件(10):評估威脅、脆弱性與控製
項目開始第5周
事件(11):分析並評價風險
事件(12):準備風險評估報告
項目開始第6周
事件(13):準備風險處置計劃
事件(14):風險管理總結會
事件(15):獲得實施ISMS的授權
事件(16-1):開始準備適用性聲明
項目開始第7周
事件(17):確定文件個數與目錄
事件(18):確定正式的文件編寫計劃
項目開始第8~12周
事件(19):編寫體係文件
項目開始第13~20周-
事件(16-2):準備適用性聲明(續)
事件(20):體係文件發布會
事件(21):開始體係試運行
事件(22):信息安全意識培訓
事件(23):信息安全製度培訓
項目開始第21~22周
事件(24):組織第一次內部審核
項目開始第23周
事件(25):組織第一次管理評審
項目開始第24周
事件(26):部署糾正及持續改進
項目開始第25~26周
事件(27):申請及實施外審
項目開始第27~28周
事件(28):外審後整改及項目總結會
附錄
參考文獻
後記
前言/序言
關於本書的寫作目的及其與相關書籍之間的關係
廣義的信息安全管理體係(Information Security Management System,ISMS)標準族從ISO/IEC27000-直到ISO/IEC27059,共60個標準,架構非常復雜,針對如何閱讀和理解標準,我們編寫瞭《信息安全管理體係實施指南》。但是,無論步驟描述得如何清晰,ISMS的概念及其部署都是抽象的、模糊的,這如同開車,無論我們對原理多麼瞭解,步驟多麼熟悉,這與真正上路還是兩碼事。
《信息安全管理體係實施案例》雖然不是真正的開車上路,但是提供瞭一個很好的模擬,至少可以讓讀者體會這些步驟在一個組織內部是如何落地的,接下來隻需要瞭解路況瞭。當然,因為每個組織的情境各不相同,甚至大相徑庭,最後的實戰雖然我們愛莫能助,但每個組織的ISMS實施在本質上都是相同的,隻要領悟瞭其精髓之處,自然能夠以不變應萬變。
在《信息安全管理體係實施案例》齣版之前,我和劉琦博士在2010年已經在中國標準齣版社齣版瞭《信息安全管理體係案例及文件集》,為瞭節省篇幅,在《信息安全管理體係案例及文件集》中已經給齣的文件,在本書中就不再贅述,有些需要改版的,在本書中重新進行瞭修訂,當然,本書中最關注的還是在《信息安全管理體係案例及文件集》中未討論或討論不足的那些文件。
同時,在我和郭立生主編的2008年版《信息安全管理體係應用手冊》中對GB/T22081-2008/ISO/IEC27002:2005進行瞭大緻的解讀,限於篇幅,就隻針對標題,而沒有針對正文,但是,既然是討論ISMS的落地,便不免要采納GB/T220812008/ISO/IEC27002:2005中的指導意見。因此,在本書中,對我認為重要的、編寫文件要涉及的GB/T22081-2008/ISO/IEC27002:2005正文內容進行瞭解讀,雖然沒有《信息安全管理體係應用手冊》中全麵,但是較《信息安全管理體係應用手冊》要深入。
信息安全管理體係叢書:信息安全管理體係實施案例(第2版) 下載 mobi epub pdf txt 電子書