中小企業(yè)信息安全管理體系最佳實踐

第1章 實施企業(yè)背景
1.1 公司簡介
1.2 組織結構及各部門職責
1.3 主要設備及拓撲結構
1.4 公司物理環(huán)境
1.5 安全要求
1.6 ISMS實施需求
第2章 ISMS的建立及實施
2.1 建立及實施ISMS主要過程
2.2 各過程說明
第3章 風險評估
3.1 相關概念
3.2 要素關系
3.3 實施流程
3.4 風險評估準備
3.5 資產識別
3.6 威脅識別
3.7 脆弱性識別及賦值
3.8 控制措施識別
3.9 風險分析
3.10 風險處理
3.11 風險評估報告
第4章 ISMS管理手冊
4.1 制定ISMS手冊的必要性
4.2 確定ISMS的范圍
4.3 定義ISMS的方針和目標
4.4 手冊內容
第5章 適用性聲明(SoA)
5.1 概述
5.2 安全方針
5.3 信息安全組織
5.4 資產管理
5.5 人力資源安全
5.6 實物與環(huán)境安全
5.7 通信和操作管理
5.8 訪問控制
5.9 信息系統(tǒng)獲取、開發(fā)和維護
5.10 信息安全事件管理
5.11 業(yè)務持續(xù)性管理
5.12 符合性
第6章 信息安全策略
6.1 概述
6.2 備份策略(A.10.5.1)
6.3 信息交換策略(A.10.8.1)
6.4 業(yè)務信息系統(tǒng)使用策略(A.10.8.5)
6.5 訪問控制策略(A.11.1.1)
6.6 清除桌面及屏幕策略(A.11.3.3)
6.7 網絡服務使用策略(A.11.4.1)
6.8 移動計算和通訊策略(A.11.7.1)
6.9 遠程工作策略(A.11.7.2)
6.10 加密控制策略(A.12.3.1)
第7章 ISMS常見管理流程
7.1 體系建立及持續(xù)改進涉及流程
7.2 資產管理涉及流程
7.3 人力資源涉及管理流程
7.4 物理和環(huán)境安全涉及管理流程
7.5 通信與操作安全涉及管理流程
7.6 訪問控制涉及管理流程
7.7 信息系統(tǒng)的獲取、開發(fā)和維護管理程序
7.8 信息安全事件管理涉及流程
7.9 業(yè)務持續(xù)性管理程序
7.10 法律法規(guī)、相關方要求識別與符合性評估管理程序
參考文獻