信息安全管理体系丛书：信息安全管理体系实施案例(第2版) 谢宗晓,吕述望,赵战生,陈华平 pdf epub mobi txt 电子书 下载 2025

简体网页||繁体网页

☆☆☆☆☆

谢宗晓，吕述望，赵战生，陈华平 著

图书标签:

• 信息安全
• 信息安全管理体系
• ISMS
• 实施案例
• 谢宗晓
• 吕述望
• 赵战生
• 陈华平
• 标准规范
• 管理体系
• 信息技术
• 安全防护

店铺： 书逸天下图书专营店

出版社： 中国质检出版社 ，

ISBN：9787506686143

商品编码：29231835721

包装：平装

出版时间：2017-05-01

基本信息

书名：信息安全管理体系丛书：信息安全管理体系实施案例(第2版)

定价：58.00元

作者：谢宗晓,吕述望,赵战生,陈华平

出版社：中国质检出版社，中国标准出版社

出版日期：2017-05-01

ISBN：9787506686143

字数：

页码：266

版次：2

装帧：平装

开本：16开

商品重量：0.4kg

编辑推荐

---

内容提要

---

《信息安全管理体系丛书：信息安全管理体系实施案例（第2版）》按照时间顺序描述了大都商业银行的ISMS项目实施过程，给出了主要的体系文件，并对这些文件所涉及的GB／T22081—2008／ISO／IEC27002：2005正文内容进行了详细的解读。

目录

---

大都商业银行
项目开始1年前
事件（一2）：开始考虑ISMS
事件（一1）：了解ISMS并申请项目
项目开始周
事件（0）：ISMS项目启动大会
事件（1）：确定项目推进组并初步制定推进计划
事件（2-1）：调研／分析现状
项目开始第2周
事件（2-2）：调研／分析现状（续）
事件（3）：建立1SMS方针
事件（4）：设计文件层级与文件格式
事件（5）：调研阶段总结会
项目开始第3周
事件（6）：设计资产分类／分级规范
事件（7-1）：开始统计资产
事件（8）：设计风险评估程序
事件（9）：设计风险处置程序
项目开始第4周
事件（7-2）：统计资产（续）
事件（10）：评估威胁、脆弱性与控制
项目开始第5周
事件（11）：分析并评价风险
事件（12）：准备风险评估报告
项目开始第6周
事件（13）：准备风险处置计划
事件（14）：风险管理总结会
事件（15）：获得实施ISMS的授权
事件（16-1）：开始准备适用性声明
项目开始第7周
事件（17）：确定文件个数与目录
事件（18）：确定正式的文件编写计划
项目开始第8～12周
事件（19）：编写体系文件
项目开始3～20周-
事件（16-2）：准备适用性声明（续）
事件（20）：体系文件发布会
事件（21）：开始体系试运行
事件（22）：信息安全意识培训
事件（23）：信息安全制度培训
项目开始第21～22周
事件（24）：组织次内部审核
项目开始第23周
事件（25）：组织次管理评审
项目开始第24周
事件（26）：部署纠正及持续改进
项目开始第25～26周
事件（27）：申请及实施外审
项目开始第27～28周
事件（28）：外审后整改及项目总结会
附录
参考文献
后记

作者介绍

---

文摘

---

序言

---

大都商业银行
项目开始1年前
事件（一2）：开始考虑ISMS
事件（一1）：了解ISMS并申请项目
项目开始周
事件（0）：ISMS项目启动大会
事件（1）：确定项目推进组并初步制定推进计划
事件（2-1）：调研／分析现状
项目开始第2周
事件（2-2）：调研／分析现状（续）
事件（3）：建立1SMS方针
事件（4）：设计文件层级与文件格式
事件（5）：调研阶段总结会
项目开始第3周
事件（6）：设计资产分类／分级规范
事件（7-1）：开始统计资产
事件（8）：设计风险评估程序
事件（9）：设计风险处置程序
项目开始第4周
事件（7-2）：统计资产（续）
事件（10）：评估威胁、脆弱性与控制
项目开始第5周
事件（11）：分析并评价风险
事件（12）：准备风险评估报告
项目开始第6周
事件（13）：准备风险处置计划
事件（14）：风险管理总结会
事件（15）：获得实施ISMS的授权
事件（16-1）：开始准备适用性声明
项目开始第7周
事件（17）：确定文件个数与目录
事件（18）：确定正式的文件编写计划
项目开始第8～12周
事件（19）：编写体系文件
项目开始3～20周-
事件（16-2）：准备适用性声明（续）
事件（20）：体系文件发布会
事件（21）：开始体系试运行
事件（22）：信息安全意识培训
事件（23）：信息安全制度培训
项目开始第21～22周
事件（24）：组织次内部审核
项目开始第23周
事件（25）：组织次管理评审
项目开始第24周
事件（26）：部署纠正及持续改进
项目开始第25～26周
事件（27）：申请及实施外审
项目开始第27～28周
事件（28）：外审后整改及项目总结会
附录
参考文献
后记

信息安全管理体系建设与实践指南 在数字经济浪潮席卷全球的今天，信息已成为企业最宝贵的资产之一。然而，伴随信息化的飞速发展，网络攻击、数据泄露、系统瘫痪等信息安全事件频发，严重威胁着企业的生存与发展。构建一套科学、完善、有效的信息安全管理体系（ISMS），已不再是可选项，而是企业应对风险、保障业务连续性、赢得市场信任的必然选择。 本书旨在为信息安全管理体系的建设者、实施者和维护者提供一本详实、全面的实操指南。我们深知，理论的阐述固然重要，但将理论转化为实践，将宏大的体系落地到企业日常运营中，才是真正衡量其价值的关键。因此，本书将聚焦于信息安全管理体系从规划、设计、实施到持续改进的整个生命周期，提供切实可行的策略、方法和工具。 一、 理解信息安全管理体系的核心要义 在着手构建ISMS之前，充分理解其核心理念至关重要。ISMS并非仅仅是购买一套安全产品或制定几份规章制度，而是一个系统性的、全员参与的、持续改进的过程。它基于风险管理原则，识别、评估、处理和监控组织面临的信息安全风险，并通过一系列策略、流程、技术和组织措施，将风险降低到可接受的水平。 核心目标： 保护信息的机密性（Confidentiality）、完整性（Integrity）和可用性（Availability），即常说的“CIA三要素”。 机密性： 确保信息不被未授权的个人、实体或过程所访问或泄露。 完整性： 确保信息在存储、传输和处理过程中不被未授权地修改、破坏或丢失，保持其准确性和完整性。 可用性： 确保已授权用户在需要时能够访问和使用信息及相关资产。 关键原则： 风险导向： ISMS的建设和运行始终围绕风险评估和风险处理展开，将有限的资源投入到最关键的风险点。 管理层承诺： ISMS的成功离不开最高管理层的支持和参与，他们是推动体系建立和文化养成的关键力量。 全员参与： 信息安全是每个人的责任，ISMS的理念需要渗透到组织的每一个层级和每一个部门。 持续改进： 信息安全环境瞬息万变，ISMS必须是一个动态发展的过程，通过定期的评审和审计，不断优化和提升。 合规性： ISMS的建设需要符合相关的法律法规、行业标准和客户要求。 二、 信息安全管理体系的框架构建 本书将详细阐述如何构建一个符合国际标准（如ISO 27001）的信息安全管理体系框架。这一框架为组织提供了一个结构化的方法论，以系统地管理信息安全。 1. 背景与目的确立： 组织背景分析： 深入理解组织的业务模式、组织结构、战略目标、内外部环境（包括法律法规、技术发展、竞争对手等）以及利益相关者的需求和期望。 信息安全方针制定： 确立组织的信息安全总体目标、承诺和方向，作为ISMS建设的最高指导原则。 信息安全范围界定： 明确ISMS所覆盖的组织部门、业务流程、信息系统、物理位置等，为后续的风险评估和控制措施实施奠定基础。 2. 风险评估与处理： 资产识别与梳理： 识别组织拥有的关键信息资产，包括数据、系统、硬件、软件、服务、人员、场所等，并进行价值评估。 威胁识别与分析： 识别可能对信息资产造成威胁的潜在因素，如恶意软件、黑客攻击、内部人员误操作、自然灾害等。 脆弱性分析： 评估信息系统和流程中存在的弱点，这些弱点可能被威胁所利用。 风险评估方法论： 学习并选择适合组织的风险评估方法，如定性评估（高、中、低风险等级）或定量评估（风险发生的概率乘以损失的金额）。 风险处理策略选择： 基于风险评估结果，制定风险处理方案，包括： 风险规避（Avoidance）： 停止可能产生高风险的活动。 风险转移（Transfer）： 通过保险、外包等方式将风险转移给第三方。 风险降低（Mitigation）： 采取控制措施，降低风险发生的可能性或影响。 风险接受（Acceptance）： 对于低风险或无法经济有效地降低的风险，经过授权后选择接受。 风险处理计划制定： 详细规划风险处理措施的实施步骤、责任人、时间表和所需资源。 3. 控制措施的选择与实施： 控制目标与措施： 基于风险评估和处理结果，从ISO 27001标准附录A或其他安全标准中选择适用的控制措施，并根据组织实际情况进行裁剪和细化。这些措施涵盖了组织、人员、物理和技术等多个维度。 组织控制： 信息安全政策、角色与职责、资产管理、访问控制管理、信息安全意识培训等。 人员控制： 员工入职、在职和离职阶段的信息安全要求，保密协议，行为规范等。 物理安全控制： 工作区域安全，设备安全，环境安全（电力、照明、火灾防护等）等。 技术安全控制： 访问控制技术（身份验证、授权），加密技术，网络安全（防火墙、入侵检测/防御），恶意代码防护，日志管理，数据备份与恢复等。 控制措施实施计划： 明确各项控制措施的具体实施方案、负责人、预期效果、衡量指标等。 4. 体系的运行与监控： 文件化信息管理： 建立和维护ISMS相关的政策、程序、记录等文件，确保其有效性、准确性和可追溯性。 信息安全意识与培训： 组织员工开展常态化的信息安全意识培训，提高全员对信息安全重要性的认识和防范能力。 运行监控： 持续监控信息安全事件、安全告警、系统日志等，及时发现潜在的安全问题。 内部审核： 定期对ISMS的运行情况进行内部审核，评估其符合性、有效性和效率。 管理评审： 最高管理层定期对ISMS进行评审，评估其适用性、充分性和有效性，并根据评审结果做出决策，推动体系的持续改进。 三、 信息安全管理体系的持续改进 ISMS是一个动态的、不断发展的过程，需要通过持续的改进来适应不断变化的安全威胁和业务需求。 1. 不符合项的纠正与预防： 识别不符合项： 在日常运行、内部审核、外部审计过程中发现ISMS运行中的问题和不足。 根本原因分析： 深入分析不符合项产生的根本原因，避免问题再次发生。 纠正措施实施： 针对不符合项及其根本原因，制定并实施纠正措施。 效果验证： 评估纠正措施的有效性。 2. 改进机会识别： 审核与评审结果： 从内部审核、管理评审的结论中提取改进机会。 绩效指标分析： 通过对信息安全绩效指标的持续跟踪和分析，发现体系运行中的瓶颈和改进空间。 外部环境变化： 关注新的安全威胁、技术发展、法律法规更新等，主动调整ISMS。 客户反馈与要求： 收集并分析客户对信息安全的反馈和新的要求。 3. ISMS的优化与升级： 适应新的风险： 随着业务发展和外部环境的变化，及时更新风险评估，并调整控制措施。 技术更新与集成： 引入和集成新的信息安全技术，提升防护能力。 流程优化： 持续改进 ISMS 相关的流程，提高效率和有效性。 组织文化建设： 不断强化信息安全意识，将其融入企业文化，形成良好的信息安全氛围。 四、 建设与实施中的关键考量 在ISMS的建设与实施过程中，有几个关键点值得特别关注： 清晰的沟通与协作： ISMS的成功需要跨部门的紧密协作和有效的沟通。确保所有相关人员都理解ISMS的目标、各自的责任以及执行的重要性。 量身定制，而非照搬照抄： 尽管可以参考国际标准，但ISMS必须根据组织的具体情况（行业特点、规模、技术水平、业务流程等）进行定制，避免“一刀切”的模式。 技术与管理的平衡： 信息安全不仅是技术问题，更是管理问题。需要将技术手段与管理流程、人员素质、组织文化有机结合。 成本与效益分析： ISMS的投入应与预期的效益相匹配。在选择和实施控制措施时，需要进行成本效益分析， prioritising investments that deliver the most value. 法律法规与合规性： 密切关注并遵守适用于组织的各项信息安全法律法规、行业标准和客户要求，这是ISMS建立和运行的底线。 关注人为因素： 许多安全事件源于人为错误或故意行为。加强人员培训、意识提升和内部控制，是防范此类风险的关键。 总结 信息安全管理体系的建设与实施是一项长期而复杂的系统工程，但其带来的回报是巨大的。一个有效的ISMS能够帮助组织： 降低信息安全风险： 显著减少数据泄露、系统瘫痪、业务中断等事件的发生概率和影响。 提升业务连续性： 确保在突发安全事件下，业务能够快速恢复，最大限度地减少损失。 增强客户与合作伙伴信任： 通过展示对信息安全的承诺，赢得客户和合作伙伴的信任，巩固市场地位。 满足合规性要求： 帮助组织满足日益严格的法律法规和行业监管要求，避免不必要的罚款和法律纠纷。 优化管理流程： ISMS的建设过程本身就是对组织各项管理流程的梳理和优化，提升整体管理水平。 本书将以实用的角度，从概念解析、框架搭建、风险管理、控制措施选择、体系运行、持续改进等各个环节，为您提供全面、深入的指导。我们相信，通过本书的指引，您将能够成功地构建并运行一个符合您组织需求的信息安全管理体系，为企业的数字时代发展保驾护航。

评分☆☆☆☆☆

这本书的出版，无疑为信息安全管理体系的实践者们注入了一剂强心针。作为一名在企业一线摸爬滚打多年的信息安全工程师，我深切体会到理论与实践之间的鸿沟。许多管理体系的标准条条框框看似清晰，但在实际落地过程中，却会遭遇各种意想不到的挑战：组织文化的不适应、现有IT架构的制约、员工的安全意识参差不齐，甚至是部门间的沟通壁垒。这本《信息安全管理体系实施案例（第2版）》恰恰弥补了这一空白。它没有停留在概念的层面，而是通过一系列生动、真实的企业案例，展现了信息安全管理体系是如何从无到有，从“纸上谈兵”到“落地生根”的。书中对于不同行业、不同规模企业在实施过程中遇到的典型问题，以及作者团队如何运用专业知识和实践经验，一步步分析、规划、设计、部署并持续改进的详细过程，为我们提供了宝贵的借鉴。我尤其欣赏书中对技术选型、风险评估、策略制定、培训演练等关键环节的深入剖析，以及在面对阻力时，如何巧妙地平衡合规性、实用性和经济性。这不仅仅是一本操作指南，更是一部充满智慧的实战宝典，能够帮助我们在信息安全管理的道路上少走弯路，更有效地保护企业资产。

评分☆☆☆☆☆

坦白说，当我拿到《信息安全管理体系实施案例（第2版）》这本书时，我并没有抱有过高的期望。毕竟，信息安全管理体系的话题已经被讨论了许多年，市面上的相关书籍也层出不穷。然而，阅读过程中，我逐渐被书中丰富且贴近实战的内容所吸引。这本书的独特之处在于，它并非对标准进行逐条解读，而是将重点放在了“如何做”以及“为何这么做”。通过剖析一个个真实的实施案例，作者们将抽象的概念转化为可视化的行动指南。我发现，书中对于企业在不同阶段、不同场景下所面临的共性问题，以及作者团队如何运用系统性的方法论来解决这些问题，进行了非常细致的描绘。例如，在案例中，关于如何根据企业自身的风险偏好来调整控制措施，如何平衡安全投入与业务发展之间的关系，以及如何通过有效的内部审计来发现并改进体系中的不足，这些内容都非常实用，并且具有很强的可迁移性。这本书不仅是一本“工具书”，更像是一位经验丰富的“顾问”，能够帮助我们站在更高的维度，审视和优化我们的信息安全管理体系，最终实现更加稳健和高效的安全防护。

评分☆☆☆☆☆

这本书在信息安全管理体系的深度和广度上都达到了一个新的高度。我是一名在大型跨国企业担任信息安全总监的资深人士，对于信息安全管理体系的国际化标准和全球最佳实践有着深入的理解和实践。传统的体系建设往往过于侧重合规性和文档化，而这本书则通过多个具有代表性的案例，展现了如何将信息安全管理体系融入企业的整体业务战略，实现安全与业务的双赢。书中对不同地区、不同文化背景下实施信息安全管理体系所面临的挑战，以及作者团队如何运用跨文化的沟通技巧和灵活的策略来克服这些障碍，这一点尤为宝贵。我尤其对书中关于高级风险管理、供应链安全、以及新兴技术（如云计算、大数据）下的信息安全治理的案例分析，印象深刻。这些案例不仅提供了可操作的解决方案，更重要的是，它们揭示了信息安全管理体系的动态演进性和持续改进的重要性。这本书的内容，无论是对希望提升自身信息安全管理能力的企业，还是对寻求将信息安全提升到战略层面以应对全球化竞争的组织，都具有极高的参考价值和启示意义。

评分☆☆☆☆☆

对于初次接触信息安全管理体系，或者正在为体系建设而感到迷茫的企业来说，《信息安全管理体系实施案例（第2版）》无疑是一份及时雨。我曾经在一家初创型科技公司负责信息安全工作，当时对于如何从零开始构建一个符合标准的信息安全管理体系，几乎是一头雾水。标准的条文晦涩难懂，市面上零散的信息又难以整合。而这本书，就像一位经验丰富的向导，为我们指明了方向。它不是简单地罗列标准条款，而是通过一个个生动的案例，将抽象的概念具象化。书中对不同类型企业的实施路径，以及在人员、技术、流程、文档等方面如何逐步构建的细节，都进行了细致的阐述。我印象深刻的是，书中并没有回避实施过程中的困难和挫折，而是坦诚地分析了原因，并提供了切实可行的解决方案。例如，如何说服管理层投入资源，如何进行有效的安全意识培训，如何处理好与IT部门的协作关系等等。这些都是我们在实际工作中经常会遇到的难题。通过阅读这些案例，我们不仅能够学习到成功的经验，更能从中汲取教训，避免不必要的弯路，从而更高效、更顺利地推进信息安全管理体系的建设。

评分☆☆☆☆☆

作为一名长期关注信息安全领域发展的研究者，我对《信息安全管理体系实施案例（第2版）》的期待值很高。以往的信息安全管理体系书籍，虽然在理论框架的构建上可圈可点，但在如何将这些理论有效地转化为可执行的实践，特别是如何应对复杂多变的现实环境，往往显得力不从心。这本书的出现，以其“案例”为核心的鲜明特色，成功地搭建起了理论与实践之间的桥梁。它所呈现的案例，并非空中楼阁，而是来源于真实世界的企业，涵盖了金融、制造、互联网等多个行业，这使得读者能够根据自身的行业特点和企业规模，找到与之契合的参考模板。书中对每个案例的背景、面临的挑战、采用的策略、实施的步骤以及最终达成的效果进行了详尽的描述，并辅以图表和流程图，清晰直观，极具说服力。我特别赞赏书中对组织变革管理、利益相关者沟通、以及如何利用内部资源解决安全问题的策略分析，这些是许多纯理论书籍难以触及的深层问题。这本书不仅为信息安全管理者提供了解决实际问题的思路，也为企业高层提供了理解和支持信息安全工作的重要视角，推动了信息安全在企业战略中的地位提升。