BS 7799信息安全管理体系认证指南2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

BS 7799信息安全管理体系认证指南PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第一章 信息安全管理概论1

1 信息安全管理相关概念1

2 社会发展对信息的依赖给信息安全提出新的挑战2

3 信息安全管理标准3

3.1 BS 7799的历史发展3

3.2 BS 7799的意义4

3.3 BS 7799标准概要5

3.3.1 BS 7799的架构5

3.3.2 BS 7799的内容6

3.4 BS 7799认证8

3.4.1 认证简介8

3.4.2 BS 7799信息安全管理体系认证的意义9

第二章 BS 7799标准控制措施理解及选取12

1 相关问题12

1.1 信息安全起始点12

1.2 成功的关键因素12

1.3 制定本组织自身的指导方针12

2 与控制措施相关的概念13

2.1 范围13

2.2 术语和定义13

2.2.1 信息安全13

2.2.2 风险评估13

2.2.3 风险管理13

3 信息安全管理实施细则13

3.1 信息安全方针13

3.1.1 信息安全方针文件13

3.1.2 评审与评价14

3.2 安全组织14

3.2.1 信息安全基础结构14

3.2.2 第三方访问安全管理16

3.2.3 委外资源管理18

3.3 资产分类与控制18

3.3.1 资产责任和清单18

3.3.2 信息资产分类19

3.4 人员安全20

3.4.1 岗位安全责任和人员任用安全要求20

3.4.2 用户培训21

3.4.3 安全事件与故障的响应21

3.5 物理和环境安全22

3.5.1 安全区域22

3.5.2 设备安全24

3.5.3 常规控制措施26

3.6 通信和操作管理26

3.6.1 操作程序和责任26

3.6.2 系统规划和验收29

3.6.3 恶意软件的防范30

3.6.4 日常管理31

3.6.5 网络管理31

3.6.6 媒体安全32

3.6.7 信息和软件的交换33

3.7 访问控制37

3.7.1 访问控制的业务需求37

3.7.2 用户访问管理37

3.7.3 用户职责39

3.7.4 网络访问控制40

3.7.5 操作系统访问控制42

3.7.6 应用系统访问控制44

3.7.7 系统访问和使用的监控45

3.7.8 移动计算和远程工作47

3.8 系统开发和维护48

3.8.1 系统安全需求48

3.8.2 应用系统安全49

3.8.3 加密控制50

3.8.4 系统文件安全53

3.8.5 开发过程和支持过程的安全54

3.9 业务连续性管理55

3.9.1 过程56

3.9.2 业务连续性和影响分析56

3.9.3 制定和实施业务连续性计划56

3.9.4 业务连续性计划框架57

3.9.5 测试、维护和重新评估业务连续性计划57

3.10 符合性58

3.10.1 符合法律要求58

3.10.2 安全方针和技术符合性的评审61

3.10.3 系统审核的考虑事项61

第三章 BS 7799标准规范理解及实施63

1 信息安全管理体系的理解63

2 正确应用BS 7799的关键点65

2.1 确定组织的信息资产面临的风险65

2.2 确定风险和删减控制措施65

2.2.1 确定风险65

2.2.2 删减控制措施66

2.3 正确理解标准条款的含义67

3 ISMS建立、运行和认证流程的建议68

4 BS 7799标准条款理解要点和实施方法建议69

4.1 关于“信息安全管理体系”69

4.1.1 标准条款“4.1总要求”69

4.1.2 标准条款“4.2建立和管理信息安全管理体系”69

4.1.3 标准条款“4.3文件要求”73

4.2 关于“管理职责”77

4.2.1 标准条款“5.1管理承诺”77

4.2.2 标准条款“5.2资源管理”78

4.3 关于“信息安全管理体系的管理评审”80

4.3.1 标准条款“6.1总则”80

4.3.2 标准条款“6.2评审输入”81

4.3.3 标准条款“6.3评审输出”82

4.3.4 标准条款“6.4内部信息安全管理体系审核”83

4.4 关于“信息安全管理体系改进”84

4.4.1 标准条款“7.1持续改进”84

4.4.2 标准条款“7.2纠正措施”84

4.4.3 标准条款“7.3预防措施”85

第四章 信息安全管理体系概述87

1 信息安全管理体系的定义和建立原则87

1.1 定义87

1.2 信息安全管理重要原则90

2 ISMS的设计和建立91

2.1 确定范围91

2.2 确定方针91

2.3 确定风险评估的方法92

2.4 确定和评价风险93

2.5 识别和评价可选措施93

2.6 选择控制目标和控制措施93

2.7 准备适用性声明94

2.8 剩余风险94

3 ISMS的实施和运作94

4 ISMS的监控和评审95

5 ISMS的维护和改进9

第五章 信息安全风险评估98

1 信息安全风险评估概述98

2 信息安全风险评估的概念99

3 风险评估的过程100

3.1 评估准备100

3.2 收集和分析数据101

3.3 解释风险分析的结果102

4 信息安全风险评估的常用方法102

4.1 结构化的风险分析方法103

4.1.1 基于威胁树的风险评估方法103

4.1.2 基于表格的风险评估方法105

4.1.3 基于威胁矩阵的风险分析法108

4.2 非结构化风险分析法109

4.2.1 从员工职务角度进行风险分析109

4.2.2 威胁分析法110

4.3 调查问卷方法110

第六章 信息安全管理体系文件编写112

1 概述112

2 文件的作用与组成112

3 文件的编写原则114

4 安全手册115

4.1 概述115

4.2 信息安全手册的内容116

4.3 控制要点116

5 控制程序文件117

5.1 概述117

5.2 编制要点117

6 作业文件118

7 记录118

8 文件体系的整合119

9 文件案例119

9.1 信息安全管理体系文件导言120

9.2 信息安全手册125

9.3 文件更改审批单132

9.4 风险流程文件133

9.4.1 风险处置记录133

9.4.2 处置报告表134

9.4.3 异常报告单135

9.4.4 信息安全管理流程136

9.5 体系文件141

9.5.1 信息安全方针141

9.5.2 信息安全手册144

9.5.3 适用性说明147

9.5.4 文件和资料控制程序163

9.5.5 管理评审程序166

9.5.6 安全事故处理程序172

9.5.7 纠正预防控制措施程序175

9.6 控制要项的相关文件178

9.6.1 安全策略178

9.6.2 组织安全180

9.6.3 资产分类管理182

9.6.4 人员安全185

9.6.5 物理安全186

9.6.6 通信与操作管理187

9.6.7 访问控制189

9.6.8 业务连续性管理190

9.6.9 符合性192

9.7 相关记录193

9.7.1 管理评审记录193

9.7.2 内审记录195

9.7.3 有关记录208

第七章 信息安全管理体系认证215

1 认证的概念215

2 认证的目的与作用215

3 认证过程216

3.1 准备阶段216

3.1.1 提出认证申请216

3.1.2 受理认证申请217

3.1.3 体系文件审查217

3.1.4 认证前的准备218

3.2 现场审核与纠正措施的跟踪阶段219

3.2.1 实施审核219

3.2.2 纠正措施的跟踪219

3.3 认证通过及监管阶段219

3.3.1 审批发证219

3.3.2 监督审核和管理219

3.3.3 复审221

3.3.4 再次审核221

第八章 认证中组织应了解的有关问题223

1 审核的基本概念223

1.1 审核目的和审核原则223

1.1.1 审核的定义223

1.1.2 审核的目的223

1.1.3 审核的原则223

1.2 与审核相关的几个概念225

1.2.1 信息安全管理体系225

1.2.2 信息安全方针和目标225

1.2.3 信息安全控制与信息安全保证225

1.2.4 有效性和效率226

1.2.5 审核准则226

1.3 信息安全管理体系审核226

1.3.1 信息安全审核与信息安全管理体系审核226

1.3.2 信息安全管理体系审核特点226

1.3.3 信息安全管理体系审核的类型226

1.3.4 内部审核与外部审核的联系226

1.3.5 内部审核与外部审核的区别227

2 BS 7799要求的ISMS审核要点228

2.1 关于ISMS符合性审核228

2.1.1 ISMS文件的符合性审核228

2.1.2 ISMS运行的符合性审核229

2.1.3 符合性审核结论229

2.2 关于ISMS有效性审核229

2.2.1 有效性的评价内容229

2.2.2 获得有效性证据的方法230

2.3 关于ISMS充分性审核230

3 向认证机构提供的资料231

4 审核的依据231

5 审核的把握与处理232

5.1 审核准则232

5.2 审核方法232

5.2.1 审核中基于风险的过程方法232

5.2.2 审核中基于风险的过程方法的具体运用232

5.3 实施信息安全管理体系认证233

5.3.1 安排预访问233

5.3.2 预访问后的整改233

5.3.3 现场审核的迎检准备233

第九章 认证后组织深入贯彻的有关问题234

1 概述234

2 编写安全管理计划235

2.1 安全管理计划的必要性235

2.2 安全管理计划的性质235

2.3 安全管理计划的要点235

3 内部审核236

3.1 内审员236

3.1.1 内审员的条件和素质236

3.1.2 内审员职责与作用236

3.1.3 内审员应知应会要求237

3.1.4 内审员的工作方法和技巧237

3.2 内部信息安全管理体系审核238

3.2.1 内部审核的步骤238

3.2.2 内部审核策划239

3.2.3 内部审核实施240

3.2.4 内部审核报告241

3.2.5 审核跟踪242

4 管理评审243

4.1 管理评审的目的和作用243

4.2 管理评审时机243

4.3 管理评审过程243

4.3.1 管理评审的策划243

4.3.2 管理评审的输入243

4.3.3 管理评审的实施244

4.3.4 管理评审的输出244

4.3.5 管理评审报告244

4.4 管理评审的后续工作244

4.5 管理评审中常出现的问题245

4.6 内审和管理评审的联系和区别245

4.6.1 内审245

4.6.2 管理评审246

4.6.3 联系和区别247

5 安全管理改进247

5.1 安全管理改进的作用247

5.2 安全管理改进的原则247

5.3 安全管理改进的实施248

5.3.1 策划248

5.3.2 准备248

5.3.3 调查原因248

5.3.4 确定因果关系248

5.3.5 采取纠正和预防措施248

5.3.6 安全管理改进的测量249

5.3.7 安全管理改进的评审249

5.3.8 安全管理改进成果的保持249

5.3.9 持续改进249

第十章 认证和咨询机构的选择250

1 概述250

2 国内外认证机构的比较251

3 怎样选择认证机构251

3.1 法人资格和经营机制251

3.2 认证机构的业绩252

3.3 专业和专家队伍252

3.4 工作质量和信誉252

3.5 费用252

4 咨询机构和人员的选择252

4.1 咨询的必要性252

4.2 咨询的主要任务253

4.3 咨询机构和人员选择的基本考虑253

4.3.1 派出的咨询人员的素质与能力254

4.3.2 业绩254

4.3.3 信誉和服务254

4.3.4 费用254

4.4 咨询必须与认证分离254

第十一章 信息安全管理体系与其他管理体系的整合255

1 管理体系整合概述255

1.1 管理体系整合问题的提出255

1.2 基本概念256

1.3 一体化管理体系的背景256

1.4 为什么可以一体化257

1.5 管理体系互不兼容的弊端258

1.6 建立综合管理体系258

1.6.1 建立综合体系的意义258

1.6.2 一体化审核的意义259

1.7 一体化审核的发展趋势259

2 如何进行整合259

2.1 了解二者的异同259

2.2 整合的基本思路260

2.3 整合中需要关注的问题261

2.4 确定控制程序的数量时应考虑的问题261

3 信息安全管理体系与质量管理体系的一体化261

3.1 QMS和ISMS同时实施的意义262

3.2 QMS和ISMS同时实施的基础262

3.2.1 结构相同262

3.2.2 管理模式相同264

3.2.3 实施方法和步骤相同265

3.2.4 工作结构相同，只是工作重点不同265

3.2.5 审核特点、方式、方法相同265

4 QMS与ISMS一体化建立的步骤和方法266

4.1 建立一体化体系的步骤266

4.1.1 统一思想266

4.1.2 成立相关领导班子和工作班子266

4.1.3 一体化管理体系的策划266

4.1.4 按照计划和课程设计进行分层培训267

4.1.5 一体化管理体系的初始评审267

4.1.6 体系试运行267

4.1.7 内审267

4.1.8 管理评审267

4.2 建立一体化体系的方法268

附录A 风险评估工具269

A.1 风险评估工具的分类269

A.2 综合风险评估与管理工具的研究与开发现状270

A.3 信息基础设施风险评估工具的研究与开发现状271

附录B 信息安全管理体系相关技术简介275

附录C 信息安全管理体系认证机构名录278

编后语 关于BS 7799信息安全管理体系进一步的思考279

参考文献280

作者介绍281