ISO/IEC 27001与等级保护的整合应用指南2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

ISO/IEC 27001与等级保护的整合应用指南PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 了解“二标”系列标准1

信息安全管理体系系列标准1

了解信息安全管理体系发展史1

了解信息安全管理体系系列标准5

需重点阅读、理解信息安全管理体系标准13

信息系统安全等级保护系列标准16

了解信息系统安全等级保护历程16

了解信息系统安全等级保护系列法规19

了解信息系统安全等级保护系列标准20

需重点阅读、理解的等级保护标准23

第2章 分析“二标”异同点36

分析“二标”的相同点36

相同点一：“二标”为了保护信息安全36

相同点二：“二标”都采用过程方法37

相同点三：“二标”都采用PDCA的模型39

相同点四：“二标”都发布了基本要求40

相同点五：“二标”在安全要求上存在共同点41

分析“二标”的不同点41

不同点一：“二标”的立足点不同41

不同点二：“二标”确定安全需求的方法不同42

不同点三：“二标”实施流程不同43

不同点四：“二标”基本要求分类不同45

第3章 风险评估与等保测评47

风险评估与等保测评活动内容比较47

比较一：建立风险评估和等保测评的方法和准则48

比较二：风险评估与等保测评的范围和边界49

比较三：风险评估或等保测评的对象49

比较四：风险识别与不符合项识别52

比较五：风险分析及评价52

比较六：测评结论54

比较七：风险处理与整改建议54

比较八：编写报告54

风险评估与等级测评实施建议56

第4章 “二标”整合分析57

ISMS要求与等级保护基本要求整合分析57

从整合角度理解ISO/IEC 27001正文57

从整合角度理解ISO/IEC 27001附录A59

从整合角度理解GB/T 22239—200861

整合“二标”的要求62

整合ISO/IEC 27001的附录A与GB/T 22239—200862

SMS实施指南与等级保护实施指南整合分析66

从整合角度理解ISO/IEC 2700366

从整合角度理解GB/T 25058—201067

ISO/IEC 27003与GB/T 25058—2010整合67

第5章 项目整体设计71

开始考虑实施“二标”71

步骤5-1 为什么要实施“二标”？“二标”要实现什么目标？71

步骤5-2 实施“二标”是否满足组织的安全要求？74

步骤5-3 组织业务、组织规模、组织结构等是否合适？75

获得批准并启动项目76

步骤5-4 获得管理者支持76

步骤5-5 指定项目负责人及推进方式78

步骤5-6 确定“二标”的初步范围79

步骤5-7 确定初步推进计划并组织项目启动会82

建立信息安全方针82

步骤5-8 建立安全方针82

识别“二标”安全要求84

步骤5-9 分析等级保护安全要求84

步骤5-10 分析ISMS安全要求87

进行安全风险评估及处置87

步骤5-11 进行等保评估87

步骤5-12 安全管理差异分析91

步骤5-13 风险评估92

步骤5-14 整合等保测评和风险评估结果95

步骤5-15 风险处理计划及控制措施95

步骤5-16 获得实施及运行“二标”的授权98

步骤5-17 准备适用性声明（SOA）98

规划设计100

步骤5-18 规划管理类安全措施100

步骤5-19 设计技术和物理安全措施103

步骤5-20 设计管理体系要素104

确定正式的项目计划105

第6章 文件体系设计及编写指南106

设计文件的架构106

步骤6-1 纵向设计：文件的层级（文件形式的规范化及标准化）106

步骤6-2 横向设计：文件的目录（文件内容的合规性与完整性）107

文件的过程控制108

文件编写注意要点109

要点6-1 语言风格要适应组织文化109

要点6-2 如何判断文档的质量109

要点6-3 应尽量选择通用的格式109

确定文件目录109

步骤6-3 精读标准，找出关键控制点109

步骤6-4 确定文件110

步骤6-5 确定文件大纲112

步骤6-6 合并文件，直至确定文件目录112

确定文件编写及发布计划113

编写文件113

步骤6-7 根据文件大纲确定关键控制措施113

步骤6-8 成文113

第7章 体系运行管理（Do-Check-Act）114

进行监视与评审114

组织内部审核116

步骤7-1 启动审核118

步骤7-2 进行审核118

步骤7-3 编制审核报告118

组织管理评审118

步骤7-4 编制策划管理评审119

步骤7-5 进行管理评审119

申请外部审核（可选项）120

第8章 “二标”整合实施案例125

项目开始一年前128

事件（-2）开始考虑等级保护制度128

事件（-1）了解“二标整合”并申请项目128

项目开始第（1）周132

事件（0）“二标”整合实施准备132

事件（1）“二标”整合实施项目启动大会137

事件（2）确定项目推进组并初步制定推进计划137

事件（3）调研／分析现状140

项目开始第（2）周141

事件（4）调研／分析现状（续）141

事件（5）建立安全方针141

事件（6）设计文件层级与文件格式141

事件（7）调研阶段总结会143

项目开始第（3）周143

事件（8）创建信息系统清单143

事件（9）信息系统安全保护定级147

事件（10）确定等级保护安全要求151

事件（11）设计资产分类／分级标准152

事件（12）开始统计资产154

事件（13）设计等级保护测评方案156

事件（14）设计风险评估程序157

事件（15）设计风险处置程序157

项目开始第（4）周157

事件（16）统计资产（续）157

事件（17）进行等保测评170

项目开始第（5）周179

事件（18）实施风险评估179

事件（19）编写等保测评报告179

事件（20）编写风险评估报告196

项目开始第（6）周198

事件（21）准备风险处置计划和控制措施198

事件（22）风险管理总结会201

事件（23）获得实施“二标”的授权201

项目开始第（7）周201

事件（24）设计安全技术措施和物理安全201

事件（25）分析等级保护要求与ISO/IEC 27001对应关系201

项目开始第（8）周215

事件（26）确定文件个数与目录215

事件（27）确定正式的文件编写计划237

事件（28）开始编写体系文件237

项目开始第（9～12）周242

事件（29）编写体系文件（续）242

事件（30）准备适用性声明242

事件（31）体系文件发布会269

项目开始第（13～20）周270

事件（32）体系试运行270

事件（33）信息安全意识培训271

事件（34）信息安全制度培训271

项目开始第（21）周271

事件（35）组织第一次内部审核271

项目开始第（22）周287

事件（36）组织第一次内部审核（续）287

项目开始第（23）周287

事件（37）组织第一次管理评审287

事件（38）部署纠正／预防措施292

项目开始第（24）周293

事件（39）部署纠正／预防措施（续）293

项目开始第（25、26）周293

事件（40）申请外审293

项目开始第（27、28）周295

事件（41）项目总结会295

附录 “二标”整合的建立和运作及与重要标准和规定的对应关系297

参考文献299