第1章 ISMS审核基础 1
1.1 信息 1
1.2 信息安全 2
1.3 信息安全管理体系 3
1.4 管理体系审核 6
1.5 审核方案 11
1.6 审核原则 12
第2章 ISMS审核员的能力需要 13
2.1 ISMS审核员的能力概述 13
2.2 个人素质 14
2.3 知识和技能 15
2.4 教育、培训、研究和实践 18
2.5 组织的复杂性和相应的审核 22
第3章 总体认证审核过程 27
3.1 总审核流程 27
3.2 预审核 27
3.3 初次审核 29
3.4 认证后审核 38
第4章 ISMS审核活动 40
4.1 典型的审核活动流程 40
4.2 确定最适宜的审核时机 40
4.3 启动审核 42
4.4 评审文件 43
4.5 现场审核 44
4.6 跟踪审核结果 50
第5章 ISO/IEC 27001:2005要求的符合性审核 52
5.1 ISO/IEC 27001:2005标准的结构 52
5.2 审核方法 54
5.3 审核“4信息安全管理体系” 55
5.4 审核“5管理职责” 73
5.5 审核“6内部ISMS审核” 75
5.6 审核“7 ISMS的管理评审” 77
5.7 审核“8 ISMS改进” 82
第6章 控制目标和控制措施的符合性审核 86
6.1 关于附录A 86
6.2 附录A的审核方法 87
6.3 审核“A.5安全方针” 99
6.4 审核“A.6信息安全的组织” 100
6.5 审核“A.7资产” 102
6.6 审核“A.8人力资源安全” 102
6.7 审核“A.9物理和环境安全” 104
6.8 审核“A.10通信和运行管理” 106
6.9 审核“A.11访问控制” 112
6.10 审核“A.12信息系统获取、开发和维护” 116
6.11 审核“A.13信息安全事故管理” 119
6.12 审核“A.14业务连续性管理” 120
6.13 审核“A.15符合性” 121
第7章 结合审核 124
7.1 什么是“结合审核” 124
7.2 结合审核的管理体系 125
7.3 审核员的选择 127
7.4 结合审核的准备 128
7.5 结合审核的实施 129
7.6 “结合审核”报告 130
参考文献 131