内容简介
本书分为七章,从审核基础、标准族介绍、认证流程介绍到审核实施等逐步展开。其中,第2章“ISMS标准族介绍”,将ISMS标准族所有标准的进展情况更新到今年3月份;第6章“信息安全控制措施审核”借鉴了ISO/IEC
27008的进展,较详细地介绍了控制恶意代码的技术检查,审计日志控制措施的技术检查,特殊权限管理控制措施的技术检查,备份控制措施的技术检查,网络安全管理控制措施的技术检查,用户职责管理控制措施的技术检查的检查内涵、检查方法和相关证据要求,为从业人员理解控制措施的有效性检查和审核点起到抛砖引玉的作用。第7章“ISMS结合审核”的内容也借鉴了ISO/IEC
27013的部分思想,从风险管理、有效性测量、信息安全事件管理、变更管理、容量管理、相关方管理和业务连续性管理7个方面,分析了两个标准的针对性要求和结合审核方法。
目录
第1章 信息安全管理体系审核
1.1 相关概念
1.2 审核原则
1.3 审核员
第2章 ISMS标准组介绍
2.1 ISO/IEC 27000标准组开发进展及概述
2.2 几个重要的ISO/IEC 27000标准介绍
第3章 认证流程
3.1 提出认证申请
3.2 合同评审
3.3 组成审核组
3.4 下达审核任务
3.5 制定审核计划
3.6 后续活动
第4章 审核实施
4.1 文件审核(第一阶段审核)
4.2 现场审核(第二阶段审核)
4.3 审核报告
4.4 审核后续活动
第5章 ISMS符合性审核
5.1 ISO/IEC 27001:2005标准的结构
5.2 审核方法
5.3 审核“4 信息安全管理体系”
5.4 审核“5 管理职责”
5.5 审核“6 内部ISMS审核”
5.6 审核“7 ISMS的管理评审”
5.7 审核“8 ISMS改进”
第6章 信息安全控制措施审核
6.1 控制措施审核准备
6.2 控制措施审核方法之一:访谈
6.3 控制措施审核方法之二:测试
6.4 控制措施审核实践指南
第7章 ISMS结合审核
7.1 结合审核概述
7.2 结合审核的准备、策划和实施
7.3 ISO/IEC 27001与ISO9001和ISO14001等标准的结合审核
7.4 ISO/IEC 27001与ISO/IEC 20000-1的结合审核
