信息安全管理体系实施案例 第2版PDF电子书下载

大都商业银行（Dadu Comercial Bank,D2CB） 1

项目开始1年前 3

事件（-2）：开始考虑ISMS 3

事件（-1）：了解ISMS并申请项目 7

项目开始第1周 13

事件（0）：ISMS项目启动大会 13

事件（1）：确定项目推进组并初步制定推进计划 14

事件（2-1）：调研／分析现状 17

项目开始第2周 19

事件（2-2）：调研／分析现状（续） 19

事件（3）：建立ISMS方针 19

事件（4）：设计文件层级与文件格式 26

事件（5）：调研阶段总结会 39

项目开始第3周 42

事件（6）：设计资产分类／分级规范 42

事件（7-1）：开始统计资产 53

事件（8）：设计风险评估程序 54

事件（9）：设计风险处置程序 55

项目开始第4周 57

事件（7-2）：统计资产（续） 57

事件（10）：评估威胁、脆弱性与控制 57

项目开始第5周 58

事件（11）：分析并评价风险 58

事件（12）：准备风险评估报告 58

项目开始第6周 59

事件（13）：准备风险处置计划 59

事件（14）：风险管理总结会 59

事件（15）：获得实施ISMS的授权 59

事件（16-1）：开始准备适用性声明 59

项目开始第7周 62

事件（17）：确定文件个数与目录 62

事件（18）：确定正式的文件编写计划 65

项目开始第8～12周 67

事件（19）：编写体系文件 67

项目开始第13～20周 184

事件（16-2）：准备适用性声明（续） 184

事件（20）：体系文件发布会 184

事件（21）：开始体系试运行 186

事件（22）：信息安全意识培训 186

事件（23）：信息安全制度培训 186

项目开始第21～22周 187

事件（24）：组织第一次内部审核 187

项目开始第23周 188

事件（25）：组织第一次管理评审 188

项目开始第24周 189

事件（26）：部署纠正及持续改进 189

项目开始第25～26周 190

事件（27）：申请及实施外审 190

项目开始第27～28周 191

事件（28）：外审后整改及项目总结会 191

附录 192

参考文献 261

后记 263

关于ISMS文件编写的结构与格式约定 27

信息资产及其载体分类／分级规范 48

适用性声明 59

信息标记规范及其介质处理规程 72

安全区域划分及管理规范 85

物理设备安全管理规程 98

天工大厦第一机房安全管理指南 101

信息系统使用安全管理规范 147

个人文件备份操作指南 155

终端屏幕保护程序设置指南 155

个人信息交换安全管理指南 157

WSUS客户端配置指南 161

信息系统运维安全管理规范 165

WSUS服务器运维安全指南 178

5.1.1 信息安全策略 22

5.1.2 信息安全方针的评审 23

8.1.1 资产清单 43

8.1.2 资产的所属关系 44

8.1.4 资产归还 45

8.2.1 信息的分级 46

8.2.2 信息的标记 67

8.2.3 资产的处理 68

8.3.1 移动介质的管理 69

8.3.2 介质的处置 70

8.3.3 物理介质的转移 71

11.1.1 物理安全边界 78

11.1.2 物理入口控制 80

11.1.3 办公室、房间和设施的安全保护 81

11.1.4 外部和环境威胁的安全防护 81

11.1.5 在安全区域工作 81

11.1.6 交接区 82

11.2.2 支持性设施 83

11.2.3 布缆安全 83

11.2.1 设备安置和保护 94

8.1.3 资产的可接受使用 95

11.2.4 设备维护 95

11.2.7 资产的移动 96

11.2.5 组织场所外的设备与资产安全 96

12.1.1 文件化的操作规程 107

6.1.2 职责分离 109

12.1.2 变更管理 109

12.2.1 控制恶意软件 110

10.5.1 信息备份 112

17.2.1 信息处理设施的可用性 114

12.4.1 事态日志 115

12.4.2 日志信息的保护 116

12.4.3 管理员和操作员日志 116

12.4.4 时钟同步 117

12.5.1 运行系统软件的安装 118

12.6.1 技术方面脆弱性的管理 119

12.6.2 软件安装限制 121

12.7.1 信息系统审计的控制 122

13.1.1 网络控制 124

13.1.2 网络服务安全 125

13.1.3 网络中的隔离 126

13.2.1 信息交换策略和规程 127

13.2.2 信息传输协议 128

13.2.3 电子消息发送 129

13.2.4 保密或不泄露协议 130

9.1.1 访问控制策略 131

9.1.2 网络和网络服务的访问 133

9.2.1 用户注册和注销 134

9.2.2 用户访问供给 135

9.2.3 特许访问权管理 136

9.2.4 用户的秘密鉴别信息管理 137

9.2.5 用户访问权的评审 137

9.2.6 访问权的移除或调整 138

9.3.1 秘密鉴别信息的使用 139

11.2.8 无人值守的用户设备 140

11.2.9 清理桌面和屏幕策略 140

9.4.1 信息访问限制 142

9.4.2 安全登录规程 142

9.4.3 口令管理系统 144

9.4.4 特权实用程序的使用 144

9.4.5 程序源代码的访问控制 145