第一章 信息安全管理概论 1
1 信息安全管理相关概念 1
2 社会发展对信息的依赖给信息安全提出新的挑战 2
3 信息安全管理标准 3
3.1 BS 7799的历史发展 3
3.2 BS 7799的意义 4
3.3 BS 7799标准概要 5
3.3.1 BS 7799的架构 5
3.3.2 BS 7799的内容 6
3.4 BS 7799认证 8
3.4.1 认证简介 8
3.4.2 BS 7799信息安全管理体系认证的意义 9
第二章 BS 7799标准控制措施理解及选取 12
1 相关问题 12
1.1 信息安全起始点 12
1.2 成功的关键因素 12
1.3 制定本组织自身的指导方针 12
2 与控制措施相关的概念 13
2.1 范围 13
2.2 术语和定义 13
2.2.1 信息安全 13
2.2.2 风险评估 13
2.2.3 风险管理 13
3 信息安全管理实施细则 13
3.1 信息安全方针 13
3.1.1 信息安全方针文件 13
3.1.2 评审与评价 14
3.2 安全组织 14
3.2.1 信息安全基础结构 14
3.2.2 第三方访问安全管理 16
3.2.3 委外资源管理 18
3.3 资产分类与控制 18
3.3.1 资产责任和清单 18
3.3.2 信息资产分类 19
3.4 人员安全 20
3.4.1 岗位安全责任和人员任用安全要求 20
3.4.2 用户培训 21
3.4.3 安全事件与故障的响应 21
3.5 物理和环境安全 22
3.5.1 安全区域 22
3.5.2 设备安全 24
3.5.3 常规控制措施 26
3.6 通信和操作管理 26
3.6.1 操作程序和责任 26
3.6.2 系统规划和验收 29
3.6.3 恶意软件的防范 30
3.6.4 日常管理 31
3.6.5 网络管理 31
3.6.6 媒体安全 32
3.6.7 信息和软件的交换 33
3.7 访问控制 37
3.7.1 访问控制的业务需求 37
3.7.2 用户访问管理 37
3.7.3 用户职责 39
3.7.4 网络访问控制 40
3.7.5 操作系统访问控制 42
3.7.6 应用系统访问控制 44
3.7.7 系统访问和使用的监控 45
3.7.8 移动计算和远程工作 47
3.8 系统开发和维护 48
3.8.1 系统安全需求 48
3.8.2 应用系统安全 49
3.8.3 加密控制 50
3.8.4 系统文件安全 53
3.8.5 开发过程和支持过程的安全 54
3.9 业务连续性管理 55
3.9.1 过程 56
3.9.2 业务连续性和影响分析 56
3.9.3 制定和实施业务连续性计划 56
3.9.4 业务连续性计划框架 57
3.9.5 测试、维护和重新评估业务连续性计划 57
3.10 符合性 58
3.10.1 符合法律要求 58
3.10.2 安全方针和技术符合性的评审 61
3.10.3 系统审核的考虑事项 61
第三章 BS 7799标准规范理解及实施 63
1 信息安全管理体系的理解 63
2 正确应用BS 7799的关键点 65
2.1 确定组织的信息资产面临的风险 65
2.2 确定风险和删减控制措施 65
2.2.1 确定风险 65
2.2.2 删减控制措施 66
2.3 正确理解标准条款的含义 67
3 ISMS建立、运行和认证流程的建议 68
4 BS 7799标准条款理解要点和实施方法建议 69
4.1 关于“信息安全管理体系” 69
4.1.1 标准条款“4.1总要求” 69
4.1.2 标准条款“4.2建立和管理信息安全管理体系” 69
4.1.3 标准条款“4.3文件要求” 73
4.2 关于“管理职责” 77
4.2.1 标准条款“5.1管理承诺” 77
4.2.2 标准条款“5.2资源管理” 78
4.3 关于“信息安全管理体系的管理评审” 80
4.3.1 标准条款“6.1总则” 80
4.3.2 标准条款“6.2评审输入” 81
4.3.3 标准条款“6.3评审输出” 82
4.3.4 标准条款“6.4内部信息安全管理体系审核” 83
4.4 关于“信息安全管理体系改进” 84
4.4.1 标准条款“7.1持续改进” 84
4.4.2 标准条款“7.2纠正措施” 84
4.4.3 标准条款“7.3预防措施” 85
第四章 信息安全管理体系概述 87
1 信息安全管理体系的定义和建立原则 87
1.1 定义 87
1.2 信息安全管理重要原则 90
2 ISMS的设计和建立 91
2.1 确定范围 91
2.2 确定方针 91
2.3 确定风险评估的方法 92
2.4 确定和评价风险 93
2.5 识别和评价可选措施 93
2.6 选择控制目标和控制措施 93
2.7 准备适用性声明 94
2.8 剩余风险 94
3 ISMS的实施和运作 94
4 ISMS的监控和评审 95
5 ISMS的维护和改进 9
第五章 信息安全风险评估 98
1 信息安全风险评估概述 98
2 信息安全风险评估的概念 99
3 风险评估的过程 100
3.1 评估准备 100
3.2 收集和分析数据 101
3.3 解释风险分析的结果 102
4 信息安全风险评估的常用方法 102
4.1 结构化的风险分析方法 103
4.1.1 基于威胁树的风险评估方法 103
4.1.2 基于表格的风险评估方法 105
4.1.3 基于威胁矩阵的风险分析法 108
4.2 非结构化风险分析法 109
4.2.1 从员工职务角度进行风险分析 109
4.2.2 威胁分析法 110
4.3 调查问卷方法 110
第六章 信息安全管理体系文件编写 112
1 概述 112
2 文件的作用与组成 112
3 文件的编写原则 114
4 安全手册 115
4.1 概述 115
4.2 信息安全手册的内容 116
4.3 控制要点 116
5 控制程序文件 117
5.1 概述 117
5.2 编制要点 117
6 作业文件 118
7 记录 118
8 文件体系的整合 119
9 文件案例 119
9.1 信息安全管理体系文件导言 120
9.2 信息安全手册 125
9.3 文件更改审批单 132
9.4 风险流程文件 133
9.4.1 风险处置记录 133
9.4.2 处置报告表 134
9.4.3 异常报告单 135
9.4.4 信息安全管理流程 136
9.5 体系文件 141
9.5.1 信息安全方针 141
9.5.2 信息安全手册 144
9.5.3 适用性说明 147
9.5.4 文件和资料控制程序 163
9.5.5 管理评审程序 166
9.5.6 安全事故处理程序 172
9.5.7 纠正预防控制措施程序 175
9.6 控制要项的相关文件 178
9.6.1 安全策略 178
9.6.2 组织安全 180
9.6.3 资产分类管理 182
9.6.4 人员安全 185
9.6.5 物理安全 186
9.6.6 通信与操作管理 187
9.6.7 访问控制 189
9.6.8 业务连续性管理 190
9.6.9 符合性 192
9.7 相关记录 193
9.7.1 管理评审记录 193
9.7.2 内审记录 195
9.7.3 有关记录 208
第七章 信息安全管理体系认证 215
1 认证的概念 215
2 认证的目的与作用 215
3 认证过程 216
3.1 准备阶段 216
3.1.1 提出认证申请 216
3.1.2 受理认证申请 217
3.1.3 体系文件审查 217
3.1.4 认证前的准备 218
3.2 现场审核与纠正措施的跟踪阶段 219
3.2.1 实施审核 219
3.2.2 纠正措施的跟踪 219
3.3 认证通过及监管阶段 219
3.3.1 审批发证 219
3.3.2 监督审核和管理 219
3.3.3 复审 221
3.3.4 再次审核 221
第八章 认证中组织应了解的有关问题 223
1 审核的基本概念 223
1.1 审核目的和审核原则 223
1.1.1 审核的定义 223
1.1.2 审核的目的 223
1.1.3 审核的原则 223
1.2 与审核相关的几个概念 225
1.2.1 信息安全管理体系 225
1.2.2 信息安全方针和目标 225
1.2.3 信息安全控制与信息安全保证 225
1.2.4 有效性和效率 226
1.2.5 审核准则 226
1.3 信息安全管理体系审核 226
1.3.1 信息安全审核与信息安全管理体系审核 226
1.3.2 信息安全管理体系审核特点 226
1.3.3 信息安全管理体系审核的类型 226
1.3.4 内部审核与外部审核的联系 226
1.3.5 内部审核与外部审核的区别 227
2 BS 7799要求的ISMS审核要点 228
2.1 关于ISMS符合性审核 228
2.1.1 ISMS文件的符合性审核 228
2.1.2 ISMS运行的符合性审核 229
2.1.3 符合性审核结论 229
2.2 关于ISMS有效性审核 229
2.2.1 有效性的评价内容 229
2.2.2 获得有效性证据的方法 230
2.3 关于ISMS充分性审核 230
3 向认证机构提供的资料 231
4 审核的依据 231
5 审核的把握与处理 232
5.1 审核准则 232
5.2 审核方法 232
5.2.1 审核中基于风险的过程方法 232
5.2.2 审核中基于风险的过程方法的具体运用 232
5.3 实施信息安全管理体系认证 233
5.3.1 安排预访问 233
5.3.2 预访问后的整改 233
5.3.3 现场审核的迎检准备 233
第九章 认证后组织深入贯彻的有关问题 234
1 概述 234
2 编写安全管理计划 235
2.1 安全管理计划的必要性 235
2.2 安全管理计划的性质 235
2.3 安全管理计划的要点 235
3 内部审核 236
3.1 内审员 236
3.1.1 内审员的条件和素质 236
3.1.2 内审员职责与作用 236
3.1.3 内审员应知应会要求 237
3.1.4 内审员的工作方法和技巧 237
3.2 内部信息安全管理体系审核 238
3.2.1 内部审核的步骤 238
3.2.2 内部审核策划 239
3.2.3 内部审核实施 240
3.2.4 内部审核报告 241
3.2.5 审核跟踪 242
4 管理评审 243
4.1 管理评审的目的和作用 243
4.2 管理评审时机 243
4.3 管理评审过程 243
4.3.1 管理评审的策划 243
4.3.2 管理评审的输入 243
4.3.3 管理评审的实施 244
4.3.4 管理评审的输出 244
4.3.5 管理评审报告 244
4.4 管理评审的后续工作 244
4.5 管理评审中常出现的问题 245
4.6 内审和管理评审的联系和区别 245
4.6.1 内审 245
4.6.2 管理评审 246
4.6.3 联系和区别 247
5 安全管理改进 247
5.1 安全管理改进的作用 247
5.2 安全管理改进的原则 247
5.3 安全管理改进的实施 248
5.3.1 策划 248
5.3.2 准备 248
5.3.3 调查原因 248
5.3.4 确定因果关系 248
5.3.5 采取纠正和预防措施 248
5.3.6 安全管理改进的测量 249
5.3.7 安全管理改进的评审 249
5.3.8 安全管理改进成果的保持 249
5.3.9 持续改进 249
第十章 认证和咨询机构的选择 250
1 概述 250
2 国内外认证机构的比较 251
3 怎样选择认证机构 251
3.1 法人资格和经营机制 251
3.2 认证机构的业绩 252
3.3 专业和专家队伍 252
3.4 工作质量和信誉 252
3.5 费用 252
4 咨询机构和人员的选择 252
4.1 咨询的必要性 252
4.2 咨询的主要任务 253
4.3 咨询机构和人员选择的基本考虑 253
4.3.1 派出的咨询人员的素质与能力 254
4.3.2 业绩 254
4.3.3 信誉和服务 254
4.3.4 费用 254
4.4 咨询必须与认证分离 254
第十一章 信息安全管理体系与其他管理体系的整合 255
1 管理体系整合概述 255
1.1 管理体系整合问题的提出 255
1.2 基本概念 256
1.3 一体化管理体系的背景 256
1.4 为什么可以一体化 257
1.5 管理体系互不兼容的弊端 258
1.6 建立综合管理体系 258
1.6.1 建立综合体系的意义 258
1.6.2 一体化审核的意义 259
1.7 一体化审核的发展趋势 259
2 如何进行整合 259
2.1 了解二者的异同 259
2.2 整合的基本思路 260
2.3 整合中需要关注的问题 261
2.4 确定控制程序的数量时应考虑的问题 261
3 信息安全管理体系与质量管理体系的一体化 261
3.1 QMS和ISMS同时实施的意义 262
3.2 QMS和ISMS同时实施的基础 262
3.2.1 结构相同 262
3.2.2 管理模式相同 264
3.2.3 实施方法和步骤相同 265
3.2.4 工作结构相同,只是工作重点不同 265
3.2.5 审核特点、方式、方法相同 265
4 QMS与ISMS一体化建立的步骤和方法 266
4.1 建立一体化体系的步骤 266
4.1.1 统一思想 266
4.1.2 成立相关领导班子和工作班子 266
4.1.3 一体化管理体系的策划 266
4.1.4 按照计划和课程设计进行分层培训 267
4.1.5 一体化管理体系的初始评审 267
4.1.6 体系试运行 267
4.1.7 内审 267
4.1.8 管理评审 267
4.2 建立一体化体系的方法 268
附录A 风险评估工具 269
A.1 风险评估工具的分类 269
A.2 综合风险评估与管理工具的研究与开发现状 270
A.3 信息基础设施风险评估工具的研究与开发现状 271
附录B 信息安全管理体系相关技术简介 275
附录C 信息安全管理体系认证机构名录 278
编后语 关于BS 7799信息安全管理体系进一步的思考 279
参考文献 280
作者介绍 281