第1章 实施企业背景 1
1.1 公司简介 1
1.2 组织结构及各部门职责 1
1.3 主要设备及拓扑结构 2
1.4 公司物理环境 3
1.5 安全要求 3
1.6 ISMS实施需求 5
第2章 ISMS的建立及实施 6
2.1 建立及实施ISMS主要过程 6
2.2 各过程说明 6
第3章 风险评估 14
3.1 相关概念 14
3.2 要素关系 15
3.3 实施流程 16
3.4 风险评估准备 16
3.5 资产识别 18
3.6 威胁识别 21
3.7 脆弱性识别及赋值 23
3.8 控制措施识别 23
3.9 风险分析 24
3.10 风险处理 28
3.11 风险评估报告 29
第4章 ISMS管理手册 34
4.1 制定ISMS手册的必要性 34
4.2 确定ISMS的范围 34
4.3 定义ISMS的方针和目标 35
4.4 手册内容 37
第5章 适用性声明(SoA) 39
5.1 概述 39
5.2 安全方针 39
5.3 信息安全组织 40
5.4 资产管理 41
5.5 人力资源安全 42
5.6 实物与环境安全 43
5.7 通信和操作管理 44
5.8 访问控制 48
5.9 信息系统获取、开发和维护 51
5.10 信息安全事件管理 53
5.11 业务持续性管理 53
5.12 符合性 54
第6章 信息安全策略 56
6.1 概述 56
6.2 备份策略(A.10.5.1) 56
6.3 信息交换策略(A.10.8.1) 57
6.4 业务信息系统使用策略(A.10.8.5) 58
6.5 访问控制策略(A.11.1.1) 59
6.6 清除桌面及屏幕策略(A.11.3.3) 59
6.7 网络服务使用策略(A.11.4.1) 60
6.8 移动计算和通讯策略(A.11.7.1) 61
6.9 远程工作策略(A.11.7.2) 61
6.10 加密控制策略(A.12.3.1) 62
第7章 ISMS常见管理流程 64
7.1 体系建立及持续改进涉及流程 64
7.2 资产管理涉及流程 93
7.3 人力资源涉及管理流程 97
7.4 物理和环境安全涉及管理流程 108
7.5 通信与操作安全涉及管理流程 116
7.6 访问控制涉及管理流程 138
7.7 信息系统的获取、开发和维护管理程序 146
7.8 信息安全事件管理涉及流程 149
7.9 业务持续性管理程序 155
7.10 法律法规、相关方要求识别与符合性评估管理程序 160
参考文献 166