信息安全管理体系丛书 ISO、IEC 27001与等级保护的整合应用指南
作者:谢宗晓,刘斌 主编
出版时间: 2015年版
丛编项: 国家"十二五"重点规划图书·信息安全管理体系丛书
内容简介
《国家“十二五”重点规划图书·信息安全管理体系丛书:ISO/IEC 27001与等级保护的整合应用指南》从整合ISMS与信息系统安全等级保护实施角度出发,分8章进行对其描述。
《国家“十二五”重点规划图书·信息安全管理体系丛书:ISO/IEC 27001与等级保护的整合应用指南》非常适宜于对ISMS与等级保护感兴趣、想了解ISMS或等级保护、想深入理解ISMS和等级保护基本要求、想进阶高级咨询师做复合型人才的读者,以及从事ISMS咨询或等级保护咨询、从事信息安全管理等的相关人员。
目录
第1章 了解“二标”系列标准
信息安全管理体系系列标准
了解信息安全管理体系发展史
了解信息安全管理体系系列标准
需重点阅读、理解信息安全管理体系标准
信息系统安全等级保护系列标准
了解信息系统安全等级保护历程
了解信息系统安全等级保护系列法规
了解信息系统安全等级保护系列标准
需重点阅读、理解的等级保护标准
第2章 分析“二标”异同点
分析“二标”的相同点
相同点一:“二标”为了保护信息安全
相同点二:“二标”都采用过程方法
相同点三:“二标”都采用PDCA的模型
相同点四:“二标”都发布了基本要求
相同点五:“二标”在安全要求上存在共同点
分析“二标”的不同点
不同点一:“二标”的立足点不同
不同点二:“二标”确定安全需求的方法不同
不同点三:“二标”实施流程不同
不同点四:“二标”基本要求分类不同
第3章 风险评估与等保测评
风险评估与等保测评活动内容比较
比较一:建立风险评估和等保测评的方法和准则
比较二:风险评估与等保测评的范围和边界
比较三:风险评估或等保测评的对象
比较四:风险识别与不符合项识别
比较五:风险分析及评价
比较六:测评结论
比较七:风险处理与整改建议
比较八:编写报告
风险评估与等级测评实施建议
第4章 “二标”整合分析
ISMS要求与等级保护基本要求整合分析
从整合角度理解ISO/IEC2700l正文
从整合角度理解ISO/IEC27001附录A
从整合角度理解GB/T22239-2008
整合“二标”的要求
整合ISO/IEC27001的附录A与GB/T22239-2008
SMS实施指南与等级保护实施指南整合分析
从整合角度理解ISO/IEC
从整合角度理解GB/T25058-2010
ISO/IEC27003与GB/T25058-2010整合
第5章 项目整体设计
开始考虑实施“二标”
步骤5-1 为什么要实施“二标”?“二标”要实现什么目标?
步骤5-2 实施“二标”是否满足组织的安全要求?
步骤5-3 组织业务、组织规模、组织结构等是否合适?
获得批准并启动项目
步骤5-4 获得管理者支持
步骤5-5 指定项目负责人及推进方式
步骤5-6 确定“二标”的初步范围
步骤5-7 确定初步推进计划并组织项目启动会
建立信息安全方针
步骤5-8 建立安全方针
识别“二标”安全要求
步骤5-9 分析等级保护安全要求
步骤5-10 分析ISMs安全要求
进行安全风险评估及处置
步骤5-11 进行等保评估
步骤5-12 安全管理差异分析
步骤5-13 风险评估
步骤5-14 整合等保测评和风险评估结果
步骤5-15 风险处理计划及控制措施
步骤5-16 获得实施及运行“二标”的授权
步骤5-17 准备适用性声明(SOA)
规划设计
步骤5-18 规划管理类安全措施
步骤5-19 设计技术和物理安全措施
步骤5-20 设计管理体系要素
确定正式的项目计划
第6章 文件体系设计及编写指南
设计文件的架构
步骤6-1 纵向设计:文件的层级(文件形式的规范化及标准化)
步骤6-2 横向设计:文件的目录(文件内容的合规性与完整性)
文件的过程控制
文件编写注意要点
要点6-1 语言风格要适应组织文化
要点6-2 如何判断文档的质量
要点6-3 应尽量选择通用的格式
确定文件目录
步骤6-3 精读标准,找出关键控制点
步骤6-4 确定文件
步骤6-5 确定文件大纲
步骤6-6 合并文件,直至确定文件目录
确定文件编写及发布计划
编写文件
步骤6-7 根据文件大纲确定关键控制措施
步骤6-8 成文
第7章 体系运行管理(Do-Check-Act)
进行监视与评审
组织内部审核
步骤7-1 启动审核
步骤7-2 进行审核
步骤7-3 编制审核报告
组织管理评审
步骤7-4 编制策划管理评审
步骤7-5 进行管理评审
申请外部审核(可选项)
第8章 “二标”整合实施案例
项目开始一年前
事件(-2)开始考虑等级保护制度
事件(-1)了解“二标整合”并申请项目
项目开始第(1)周
事件(0)“二标”整合实施准备
事件(1)“二标”整合实施项目启动大会
事件(2)确定项目推进组并初步制定推进计划
事件(3)调研/分析现状
项目开始第(2)周
事件(4)调研/分析现状(续)
事件(5)建立安全方针
事件(6)设计文件层级与文件格式
事件(7)调研阶段总结会
项目开始第(3)周
事件(8)创建信息系统清单
事件(9)信息系统安全保护定级
事件(10)确定等级保护安全要求
事件(11)设计资产分类/分级标准
事件(12)开始统计资产
事件(13)设计等级保护测评方案
事件(14)设计风险评估程序
事件(15)设计风险处置程序
项目开始第(4)周
事件(16)统计资产(续)
事件(17)进行等保测评
项目开始第(5)周
事件(18)实施风险评估
事件(19)编写等保测评报告
事件(20)编写风险评估报告
项目开始第(6)周
事件(21)准备风险处置计划和控制措施
事件(22)风险管理总结会
事件(23)获得实施“二标”的授权
项目开始第(7)周
事件(24)设计安全技术措施和物理安全
事件(25)分析等级保护要求与ISO/IEC27001对应关系
项目开始第(8)周
事件(26)确定文件个数与目录
事件(27)确定正式的文件编写计划
事件(28)开始编写体系文件
项目开始第(9~12)周
事件(29)编写体系文件(续)
事件(30)准备适用性声明
事件(31)体系文件发布会
项目开始第(13~20)周
事件(32)体系试运行
事件(33)信息安全意识培训
事件(34)信息安全制度培训
项目开始第(21)周
事件(35)组织第一次内部审核
项目开始第(22)周
事件(36)组织第一次内部审核(续)
项目开始第(23)周
事件(37)组织第一次管理评审
事件(38)部署纠正/预防措施
项目开始第(24)周
事件(39)部署纠正/预防措施(续)
项目开始第(25、26)周
事件(40)申请外事
项目开始第(27、28)周
事件(41)项目总结会
附录 “二标”整合的建立和运作及与重要标准和规定的对应关系
参考文献