第1章 了解“二标”系列标准 1
信息安全管理体系系列标准 1
了解信息安全管理体系发展史 1
了解信息安全管理体系系列标准 5
需重点阅读、理解信息安全管理体系标准 13
信息系统安全等级保护系列标准 16
了解信息系统安全等级保护历程 16
了解信息系统安全等级保护系列法规 19
了解信息系统安全等级保护系列标准 20
需重点阅读、理解的等级保护标准 23
第2章 分析“二标”异同点 36
分析“二标”的相同点 36
相同点一:“二标”为了保护信息安全 36
相同点二:“二标”都采用过程方法 37
相同点三:“二标”都采用PDCA的模型 39
相同点四:“二标”都发布了基本要求 40
相同点五:“二标”在安全要求上存在共同点 41
分析“二标”的不同点 41
不同点一:“二标”的立足点不同 41
不同点二:“二标”确定安全需求的方法不同 42
不同点三:“二标”实施流程不同 43
不同点四:“二标”基本要求分类不同 45
第3章 风险评估与等保测评 47
风险评估与等保测评活动内容比较 47
比较一:建立风险评估和等保测评的方法和准则 48
比较二:风险评估与等保测评的范围和边界 49
比较三:风险评估或等保测评的对象 49
比较四:风险识别与不符合项识别 52
比较五:风险分析及评价 52
比较六:测评结论 54
比较七:风险处理与整改建议 54
比较八:编写报告 54
风险评估与等级测评实施建议 56
第4章 “二标”整合分析 57
ISMS要求与等级保护基本要求整合分析 57
从整合角度理解ISO/IEC 27001正文 57
从整合角度理解ISO/IEC 27001附录A 59
从整合角度理解GB/T 22239—2008 61
整合“二标”的要求 62
整合ISO/IEC 27001的附录A与GB/T 22239—2008 62
SMS实施指南与等级保护实施指南整合分析 66
从整合角度理解ISO/IEC 27003 66
从整合角度理解GB/T 25058—2010 67
ISO/IEC 27003与GB/T 25058—2010整合 67
第5章 项目整体设计 71
开始考虑实施“二标” 71
步骤5-1 为什么要实施“二标”?“二标”要实现什么目标? 71
步骤5-2 实施“二标”是否满足组织的安全要求? 74
步骤5-3 组织业务、组织规模、组织结构等是否合适? 75
获得批准并启动项目 76
步骤5-4 获得管理者支持 76
步骤5-5 指定项目负责人及推进方式 78
步骤5-6 确定“二标”的初步范围 79
步骤5-7 确定初步推进计划并组织项目启动会 82
建立信息安全方针 82
步骤5-8 建立安全方针 82
识别“二标”安全要求 84
步骤5-9 分析等级保护安全要求 84
步骤5-10 分析ISMS安全要求 87
进行安全风险评估及处置 87
步骤5-11 进行等保评估 87
步骤5-12 安全管理差异分析 91
步骤5-13 风险评估 92
步骤5-14 整合等保测评和风险评估结果 95
步骤5-15 风险处理计划及控制措施 95
步骤5-16 获得实施及运行“二标”的授权 98
步骤5-17 准备适用性声明(SOA) 98
规划设计 100
步骤5-18 规划管理类安全措施 100
步骤5-19 设计技术和物理安全措施 103
步骤5-20 设计管理体系要素 104
确定正式的项目计划 105
第6章 文件体系设计及编写指南 106
设计文件的架构 106
步骤6-1 纵向设计:文件的层级(文件形式的规范化及标准化) 106
步骤6-2 横向设计:文件的目录(文件内容的合规性与完整性) 107
文件的过程控制 108
文件编写注意要点 109
要点6-1 语言风格要适应组织文化 109
要点6-2 如何判断文档的质量 109
要点6-3 应尽量选择通用的格式 109
确定文件目录 109
步骤6-3 精读标准,找出关键控制点 109
步骤6-4 确定文件 110
步骤6-5 确定文件大纲 112
步骤6-6 合并文件,直至确定文件目录 112
确定文件编写及发布计划 113
编写文件 113
步骤6-7 根据文件大纲确定关键控制措施 113
步骤6-8 成文 113
第7章 体系运行管理(Do-Check-Act) 114
进行监视与评审 114
组织内部审核 116
步骤7-1 启动审核 118
步骤7-2 进行审核 118
步骤7-3 编制审核报告 118
组织管理评审 118
步骤7-4 编制策划管理评审 119
步骤7-5 进行管理评审 119
申请外部审核(可选项) 120
第8章 “二标”整合实施案例 125
项目开始一年前 128
事件(-2)开始考虑等级保护制度 128
事件(-1)了解“二标整合”并申请项目 128
项目开始第(1)周 132
事件(0)“二标”整合实施准备 132
事件(1)“二标”整合实施项目启动大会 137
事件(2)确定项目推进组并初步制定推进计划 137
事件(3)调研/分析现状 140
项目开始第(2)周 141
事件(4)调研/分析现状(续) 141
事件(5)建立安全方针 141
事件(6)设计文件层级与文件格式 141
事件(7)调研阶段总结会 143
项目开始第(3)周 143
事件(8)创建信息系统清单 143
事件(9)信息系统安全保护定级 147
事件(10)确定等级保护安全要求 151
事件(11)设计资产分类/分级标准 152
事件(12)开始统计资产 154
事件(13)设计等级保护测评方案 156
事件(14)设计风险评估程序 157
事件(15)设计风险处置程序 157
项目开始第(4)周 157
事件(16)统计资产(续) 157
事件(17)进行等保测评 170
项目开始第(5)周 179
事件(18)实施风险评估 179
事件(19)编写等保测评报告 179
事件(20)编写风险评估报告 196
项目开始第(6)周 198
事件(21)准备风险处置计划和控制措施 198
事件(22)风险管理总结会 201
事件(23)获得实施“二标”的授权 201
项目开始第(7)周 201
事件(24)设计安全技术措施和物理安全 201
事件(25)分析等级保护要求与ISO/IEC 27001对应关系 201
项目开始第(8)周 215
事件(26)确定文件个数与目录 215
事件(27)确定正式的文件编写计划 237
事件(28)开始编写体系文件 237
项目开始第(9~12)周 242
事件(29)编写体系文件(续) 242
事件(30)准备适用性声明 242
事件(31)体系文件发布会 269
项目开始第(13~20)周 270
事件(32)体系试运行 270
事件(33)信息安全意识培训 271
事件(34)信息安全制度培训 271
项目开始第(21)周 271
事件(35)组织第一次内部审核 271
项目开始第(22)周 287
事件(36)组织第一次内部审核(续) 287
项目开始第(23)周 287
事件(37)组织第一次管理评审 287
事件(38)部署纠正/预防措施 292
项目开始第(24)周 293
事件(39)部署纠正/预防措施(续) 293
项目开始第(25、26)周 293
事件(40)申请外审 293
项目开始第(27、28)周 295
事件(41)项目总结会 295
附录 “二标”整合的建立和运作及与重要标准和规定的对应关系 297
参考文献 299