信息安全管理體系實施案例及文件集(第2版)/信息安全管理體系叢書
定 價:75 元
叢書名:信息安全管理體系叢書
- 作者:王齊峰,謝宗曉編
- 出版時間:2023/10/1
- ISBN:9787502652173
- 出 版 社:中國計量出版社
- 中圖法分類:TP309
- 頁碼:263
- 紙張:
- 版次:2
- 開本:16開
本書的主要目的是通過完整的案例向讀者介紹信息安全管理體系是如何在一個組織中進(jìn)行應(yīng)用的!缎畔踩芾眢w系實施案例(第2版)》結(jié)合ISO/IEC 27002:2013和ISO/IEC 27003:2017,主要關(guān)注控制的設(shè)計,以及實施的指導(dǎo);《信息安全管理體系實施案例及文件集(第2版)》結(jié)合ISOIEC 27002:2013,主要關(guān)注文件編寫,以及相應(yīng)的文件示例,以突出文件集的特點。
0案例介紹
0.1 概述
0.2 實施ISMS 的背景
0.3 與標(biāo)準(zhǔn)部署密切相關(guān)人員及介紹
1 實施流程
1.1 啟動項目
1.1.1 定義初始目標(biāo)與范圍
1.1.2 獲得管理者正式批準(zhǔn)
1.1.3 確定推進(jìn)責(zé)任人
1.1.4 召開項目啟動會議
1.2 定義ISMS范圍
1.2.1 定義責(zé)任范圍
1.2.2 定義物理范圍
1.2.3 完成范圍概要文件
1.3 確立ISMS方針
1.3.1 制定ISMS方針
1.3.2 準(zhǔn)備ISMS策略文件
1.4 進(jìn)行業(yè)務(wù)分析
1.4.1 定義基本安全要求
1.4.2 建立信息資產(chǎn)清單
1.5 評估安全風(fēng)險
1.5.1 確定風(fēng)險評估方法
1.5.2 實施風(fēng)險評估
1.6 處置安全風(fēng)險
1.6.1 確定風(fēng)險處置方式
1.6.2 選擇控制措施
1.7 設(shè)計
1.7.1 設(shè)計安全組織機(jī)構(gòu)
1.7.2 設(shè)計文件和記錄控制要求
1.7.3 設(shè)計信息安全培訓(xùn)
1.7.4 設(shè)計控制措施的實施
1.7.5 設(shè)計監(jiān)視和測量
1.7.6 設(shè)計內(nèi)部審核
1.7.7 設(shè)計管理評審
1.7.8 設(shè)計文件體系
1.7.9 制定詳細(xì)的實施計劃
1.8 實施
1.8.1 執(zhí)行實施計劃
1.8.2 實現(xiàn)監(jiān)視和測量
1.9 進(jìn)行內(nèi)部審核
1.9.1 審核策劃
1.9.2 現(xiàn)場審核
1.9.3 審核結(jié)果
1.9.4 審核后續(xù)
1.10 進(jìn)行管理評審
1.10.1 評審策劃
1.10.2 管理評審實施
1.11 持續(xù)改進(jìn)
2 風(fēng)險管理
2.1 主要術(shù)語
2.2 國家標(biāo)準(zhǔn)
2.2.1 GB/T 20984-2022
2.2.2 GB/T 24364-2023
2.2.3 GB/T 31509-2015
2.2.4 GB/T 31722-2015
2.2.5 GB/T 33132-2016
2.2.6 GB/T 36466-2018
2.2.7 GB/T 36637-2018
2.3 其他標(biāo)準(zhǔn)
2.3.1 ISO 31000
2.3.2 COSO企業(yè)風(fēng)險管理
2.3.3 NIST SP800-30
2.3.4 OCTAVE
2.4 設(shè)計風(fēng)險管理
2.4.1 概述
2.4.2 設(shè)計風(fēng)險管理方法
2.4.3 設(shè)計相關(guān)文件
2.5 典型風(fēng)險評估文件的編寫
2.5.1 信息資產(chǎn)分類分級標(biāo)準(zhǔn)
2.5.2 信息資產(chǎn)表(記錄)
2.5.3 風(fēng)險評估方案
2.5.4 風(fēng)險評估管理程序
2.5.5 信息資產(chǎn)風(fēng)險評估表
2.5.6 風(fēng)險評估報告
2.5.7 風(fēng)險處置計劃
3 文件設(shè)計
3.1 設(shè)計文件層次
3.2 設(shè)計文件體系
3.2.1 文件清單
3.2.2 設(shè)計編寫流程
3.2.3 文件與標(biāo)準(zhǔn)映射
3.3 設(shè)計文件格式
3.3.1 編寫原則
3.3.2 文件結(jié)構(gòu)示例
3.3.3 文件格式示例
3.3.4 正文內(nèi)容示例
3.3.5 文件編號示例
3.3.6 字體字號示例
4 文件編寫
4.1 典型文件編寫(一)
4.1.1 信息安全策略
4.1.2 信息安全管理手冊
4.1.3 信息安全管理體系職責(zé)
4.2 典型文件編寫(二)
4.2.1 文件管理程序
4.2.2 記錄管理程序
4.2.3 內(nèi)部審核程序
4.2.4 管理評審程序
4.2.5 信息安全有效性測量與審計程序
4.2.6 信息安全事件管理程序
4.2.7 業(yè)務(wù)連續(xù)性管理程序
4.3 典型文件編寫(三)
4.3.1 訪問控制管理規(guī)定
4.3.2 物理與環(huán)境安全管理規(guī)定
4.3.3 介質(zhì)安全管理規(guī)定
4.3.4 網(wǎng)絡(luò)安全管理規(guī)定
4.3.5 人力資源安全管理規(guī)定
4.3.6 信息資產(chǎn)安全管理規(guī)定
4.3.7 法律法規(guī)符合性管理規(guī)定
4.3.8 密鑰管理規(guī)定
4.3.9 日常運(yùn)行安全管理規(guī)定
4.3.10 信息系統(tǒng)開發(fā)安全管理規(guī)定
4.3.11 數(shù)據(jù)備份管理規(guī)定.
4.3.12 信息科技外包管理規(guī)定
4.4 典型文件編寫(四)
4.4.1 員工培訓(xùn)管理指南
4.4.2 機(jī)房管理指南
4.4.3 數(shù)據(jù)備份操作指南
4.4.4 業(yè)務(wù)連續(xù)性計劃編寫指南
5 記錄設(shè)計
5.1 概述
5.2 典型記錄式樣(一)
5.2.1 用戶標(biāo)識申請表
5.2.2 人員需求申請表
5.2.3 軟件使用許可申請表
5.2.4 資產(chǎn)采購調(diào)配申請表
5.2.5 筆記本電腦保密協(xié)議
5.2.6 網(wǎng)絡(luò)連接申請表
5.2.7 培訓(xùn)申請表
5.2.8 信息安全事態(tài)報告單
5.2.9 信息安全事件報告單
5.2.10 IT設(shè)備故障報告單
5.2.11 IT設(shè)備申請表
5.2.12 第三方服務(wù)變更申請表
5.2.13 公共可用信息發(fā)布申請單
5.2.14 日志審計分析記錄單
5.2.15 公共可用信息檢查表
5.2.16 員工離職申請表
5.2.17 員工轉(zhuǎn)崗申請表
5.3 典型記錄式樣(二)
5.3.1 測試數(shù)據(jù)記錄單
5.3.2 機(jī)房出人授權(quán)申請單
5.4 典型記錄式樣(三)
5.4.1 設(shè)備使用申請表
5.4.2 服務(wù)器與網(wǎng)絡(luò)設(shè)備檢查記錄單
5.4.3 軟件使用狀況登記表
5.4.4 數(shù)據(jù)備份登記表
5.4.5 培訓(xùn)登記表
5.4.6 IT設(shè)備帶出登記表
5.4.7 IT設(shè)備借用登記表
5.4.8 IT設(shè)備領(lǐng)用登記表
5.4.9 IT設(shè)備作廢登記表
5.4.10 訪客登記表
5