ISO/IEC 27001与等级保护的整合应用指南PDF电子书下载

第1章 了解“二标”系列标准 1

信息安全管理体系系列标准 1

了解信息安全管理体系发展史 1

了解信息安全管理体系系列标准 5

需重点阅读、理解信息安全管理体系标准 13

信息系统安全等级保护系列标准 16

了解信息系统安全等级保护历程 16

了解信息系统安全等级保护系列法规 19

了解信息系统安全等级保护系列标准 20

需重点阅读、理解的等级保护标准 23

第2章 分析“二标”异同点 36

分析“二标”的相同点 36

相同点一：“二标”为了保护信息安全 36

相同点二：“二标”都采用过程方法 37

相同点三：“二标”都采用PDCA的模型 39

相同点四：“二标”都发布了基本要求 40

相同点五：“二标”在安全要求上存在共同点 41

分析“二标”的不同点 41

不同点一：“二标”的立足点不同 41

不同点二：“二标”确定安全需求的方法不同 42

不同点三：“二标”实施流程不同 43

不同点四：“二标”基本要求分类不同 45

第3章 风险评估与等保测评 47

风险评估与等保测评活动内容比较 47

比较一：建立风险评估和等保测评的方法和准则 48

比较二：风险评估与等保测评的范围和边界 49

比较三：风险评估或等保测评的对象 49

比较四：风险识别与不符合项识别 52

比较五：风险分析及评价 52

比较六：测评结论 54

比较七：风险处理与整改建议 54

比较八：编写报告 54

风险评估与等级测评实施建议 56

第4章 “二标”整合分析 57

ISMS要求与等级保护基本要求整合分析 57

从整合角度理解ISO/IEC 27001正文 57

从整合角度理解ISO/IEC 27001附录A 59

从整合角度理解GB/T 22239—2008 61

整合“二标”的要求 62

整合ISO/IEC 27001的附录A与GB/T 22239—2008 62

SMS实施指南与等级保护实施指南整合分析 66

从整合角度理解ISO/IEC 27003 66

从整合角度理解GB/T 25058—2010 67

ISO/IEC 27003与GB/T 25058—2010整合 67

第5章 项目整体设计 71

开始考虑实施“二标” 71

步骤5-1 为什么要实施“二标”？“二标”要实现什么目标？ 71

步骤5-2 实施“二标”是否满足组织的安全要求？ 74

步骤5-3 组织业务、组织规模、组织结构等是否合适？ 75

获得批准并启动项目 76

步骤5-4 获得管理者支持 76

步骤5-5 指定项目负责人及推进方式 78

步骤5-6 确定“二标”的初步范围 79

步骤5-7 确定初步推进计划并组织项目启动会 82

建立信息安全方针 82

步骤5-8 建立安全方针 82

识别“二标”安全要求 84

步骤5-9 分析等级保护安全要求 84

步骤5-10 分析ISMS安全要求 87

进行安全风险评估及处置 87

步骤5-11 进行等保评估 87

步骤5-12 安全管理差异分析 91

步骤5-13 风险评估 92

步骤5-14 整合等保测评和风险评估结果 95

步骤5-15 风险处理计划及控制措施 95

步骤5-16 获得实施及运行“二标”的授权 98

步骤5-17 准备适用性声明（SOA） 98

规划设计 100

步骤5-18 规划管理类安全措施 100

步骤5-19 设计技术和物理安全措施 103

步骤5-20 设计管理体系要素 104

确定正式的项目计划 105

第6章 文件体系设计及编写指南 106

设计文件的架构 106

步骤6-1 纵向设计：文件的层级（文件形式的规范化及标准化） 106

步骤6-2 横向设计：文件的目录（文件内容的合规性与完整性） 107

文件的过程控制 108

文件编写注意要点 109

要点6-1 语言风格要适应组织文化 109

要点6-2 如何判断文档的质量 109

要点6-3 应尽量选择通用的格式 109

确定文件目录 109

步骤6-3 精读标准，找出关键控制点 109

步骤6-4 确定文件 110

步骤6-5 确定文件大纲 112

步骤6-6 合并文件，直至确定文件目录 112

确定文件编写及发布计划 113

编写文件 113

步骤6-7 根据文件大纲确定关键控制措施 113

步骤6-8 成文 113

第7章 体系运行管理（Do-Check-Act） 114

进行监视与评审 114

组织内部审核 116

步骤7-1 启动审核 118

步骤7-2 进行审核 118

步骤7-3 编制审核报告 118

组织管理评审 118

步骤7-4 编制策划管理评审 119

步骤7-5 进行管理评审 119

申请外部审核（可选项） 120

第8章 “二标”整合实施案例 125

项目开始一年前 128

事件（-2）开始考虑等级保护制度 128

事件（-1）了解“二标整合”并申请项目 128

项目开始第（1）周 132

事件（0）“二标”整合实施准备 132

事件（1）“二标”整合实施项目启动大会 137

事件（2）确定项目推进组并初步制定推进计划 137

事件（3）调研／分析现状 140

项目开始第（2）周 141

事件（4）调研／分析现状（续） 141

事件（5）建立安全方针 141

事件（6）设计文件层级与文件格式 141

事件（7）调研阶段总结会 143

项目开始第（3）周 143

事件（8）创建信息系统清单 143

事件（9）信息系统安全保护定级 147

事件（10）确定等级保护安全要求 151

事件（11）设计资产分类／分级标准 152

事件（12）开始统计资产 154

事件（13）设计等级保护测评方案 156

事件（14）设计风险评估程序 157

事件（15）设计风险处置程序 157

项目开始第（4）周 157

事件（16）统计资产（续） 157

事件（17）进行等保测评 170

项目开始第（5）周 179

事件（18）实施风险评估 179

事件（19）编写等保测评报告 179

事件（20）编写风险评估报告 196

项目开始第（6）周 198

事件（21）准备风险处置计划和控制措施 198

事件（22）风险管理总结会 201

事件（23）获得实施“二标”的授权 201

项目开始第（7）周 201

事件（24）设计安全技术措施和物理安全 201

事件（25）分析等级保护要求与ISO/IEC 27001对应关系 201

项目开始第（8）周 215

事件（26）确定文件个数与目录 215

事件（27）确定正式的文件编写计划 237

事件（28）开始编写体系文件 237

项目开始第（9～12）周 242

事件（29）编写体系文件（续） 242

事件（30）准备适用性声明 242

事件（31）体系文件发布会 269

项目开始第（13～20）周 270

事件（32）体系试运行 270

事件（33）信息安全意识培训 271

事件（34）信息安全制度培训 271

项目开始第（21）周 271

事件（35）组织第一次内部审核 271

项目开始第（22）周 287

事件（36）组织第一次内部审核（续） 287

项目开始第（23）周 287

事件（37）组织第一次管理评审 287

事件（38）部署纠正／预防措施 292

项目开始第（24）周 293

事件（39）部署纠正／预防措施（续） 293

项目开始第（25、26）周 293

事件（40）申请外审 293

项目开始第（27、28）周 295

事件（41）项目总结会 295

附录 “二标”整合的建立和运作及与重要标准和规定的对应关系 297

参考文献 299