第一部分 基础 3
第1章 信息安全 3
1.1 什么是信息安全 3
1.2 为什么需要信息安全 6
1.3 需要什么样的信息安全 8
第2章 信息安全管理体系 12
2.1 管理体系基本概念 12
2.2 信息安全管理体系概念及其标准 15
第3章 风险评估与风险管理 18
3.1 基本概念 18
3.2 风险评估 25
3.3 风险处理 41
3.4 风险管理相关标准 42
3.5 小结 54
参考文献 55
4.2 已经发布的ISMS标准 59
4.1 ISMS国际标准化组织 59
第4章 ISMS标准 59
第二部分 标准 59
4.3 ISMS标准的类型 60
4.4 制定中的ISO/IEC 27000系列标准介绍 61
第5章 ISO/IEC 27001:2005解析 63
5.1 概述 63
5.2 ISO/IEC 27001第1章:范围 64
5.3 ISO/IEC 27001第2章:规范性引用文件 65
5.4 ISO/IEC 27001第3章:术语和定义 66
5.5 ISO/IEC 27001第4章:信息安全管理体系(ISMS) 68
5.6 ISO/IEC 27001第5章:管理职责 79
5.7 ISO/IEC 27001第6章:内部ISMS审核 82
5.8 ISO/IEC 27001第7章:ISMS的管理评审 83
5.9 ISO/IEC 27001第8章:ISMS改进 86
第6章 ISO/IEC 17799:2005解析 89
6.1 概况 89
6.2 具体内容 90
6.3 ISO/IEC 17799应用说明 107
7.3 ISMS过程 111
7.2 ISMS审核准则 111
第三部分 审核 111
7.1 ISMS审核 111
第7章 审核术语和定义 111
7.4 “shall”要求 112
7.5 控制要求 112
7.6 不符合项 112
7.7 观察项 112
7.8 差距分析 112
7.9 根本原因分析 113
7.10 过程要求 113
7.11 纠正措施 113
7.12 纠正措施要求 113
7.13 预防措施 113
第8章 ISMS审核过程 114
8.1 概述 114
8.2 预审核 115
8.3 第一阶段审核 116
8.4 第二阶段审核 120
8.5 认证后审核 124
第9章 ISO/IEC 27001:2005要求的符合性审核 126
9.1 什么是ISO/IEC 27001:2005的要求 126
9.2 审核方法 127
9.3 实施审核 128
第1O章 控制目标和控制措施的符合性审核 152
10.1 附录A的结构 152
10.3 审核方法 153
10.2 审核准则 153
10.4 附录A中A.5~A.15的符合性审核 155
第11章 结合审核 174
11.1 什么是“结合审核” 174
11.2 结合审核的管理体系 175
11.3 审核员的选择 175
11.4 结合审核的准备 176
11.5 结合审核的实施 177
11.6 “结合审核”报告 178