信息安全管理体系实施指南（第2版） pdf epub mobi txt 电子书 下载 2025

简体网页||繁体网页

☆☆☆☆☆

谢宗晓 著

图书标签:

• 信息安全
• 管理体系
• ISMS
• ISO27001
• 信息安全管理
• 风险管理
• 合规性
• 指南
• 实施
• 第二版

出版社： 中国质检出版社 ，

ISBN：9787506685894

版次：2

商品编码：12183395

包装：平装

丛书名： 信息安全管理体系丛书

开本：16开

出版时间：2017-08-01

用纸：胶版纸

页数：163

字数：276000

正文语种：中文

内容简介

　　《信息安全管理体系实施指南（第2版）》共有三篇：标准解读、标准落地及延伸阅读。
　　标准解读包括：正文解读、附录解读和参考文献解读。正文解读的形式为左侧标准原文，右侧解读或注释。在正文解读中，用了大量的图示，也列举了大量的示例，力求通俗易懂，以帮助读者利用已有的经验来理解信息安全管理体系中晦涩的概念。
　　标准落地部分主要介绍标准如何实施。
　　延伸阅读主要为想深入研究信息安全管理体系的读者准备，一部分是信息安全管理体系标准族的概述，以表格的形式给出了已经出版的和正在编写的标准的名称及简要介绍。另一部分是除了GB／T22080-2008／ISO／IEC27001：2005之外的已经出版的重要标准的综述。

内页插图

精彩书评

　　★本丛书从ISMS的基础信息安全风险管理开始讨论，从不同领域、多个侧面，对ISMS相关知识进行了细致的介绍和阐述，有理论，更有实践，包括ISMS的审核指南应用方法、业务连续性管理以及在重点行业的应用实例，很有特色。
　　——中国工程院院士 蔡吉人
　　
　　★信息安全是维护国家安全、保持社会稳定、关系长远利益的关键组成部分，本丛书中各种典型的案例、针对各种网络安全问题的应对措施，为组织提供一个完整的业务不间断计划，能为组织业务的正常运行起到保驾护航的作用。
　　——中国工程院院士 周仲义

目录

第一篇 基础——GB／T 22080-2016／ISO／IEC 27001：2013解读
第1章 目次、前言和引言解读
目次
前言
引言
第2章 正文解读
1 范围
2 规范性引用文件
3 术语和定义
4 组织环境
5 领导
6 规划
7 支持
8 运行
9 绩效评价
10 改进
第3章 附录解读
附录A
附录NA（资料性附录）
附录NB（资料性附录）
参考文献

第二篇 实施——GB／T 22080 2016／ISO／IEC 27001：2013落地
第4章 项目整体设计
□开始考虑实施信息安全管理体系
□获得批准并启动项目
□建立信息安全方针
□建立组织安全要求
□进行新信息安全风险评估及处理
□设计信息安全管理体系
□确定正式的项目计划
第5章 文件体系设计及编写指南
□设计文件的架构
□文件的过程控制
□文件编写注意要点
□确定文件目录
□确定文件编写及发布计划
□编写文件
第6章 体系运行管理
□进行监视和测量
□组织内部审核
□组织管理评审
□申请认证（可选）

第三篇 提高——ISO／IEC 27000标准族延伸阅读
第7章 ISO／IEC 27000标准族进展
第8章 ISO／IEC 27000：2009介绍
0 Introduction引言
1 Scope范围
2 terms and definitions术语和定义
3 information security management systems信息安全管理体系
4 ISMS family of standards ISMS标准族
Annex A（informative）Verbal forms for expression of provisions
附录A：条款中表达的词汇形式
Annex B（informative）Categorizes terms附录B：术语分类
第9章 ISO／IEC 27004：2009介绍
0 Introduction引言
1 Scope范围
2 Normative references规范性引用文件
3 Terms and definitions术语和定义
4 Structure 0f this International Standard本标准的结构
5 Information security measurement overview信息安全测量综述
6 Management responsibilit：ies管理者责任
7 Measures and measurement development测度与测量的开发
8 Measurement operation测量操作
9 Data analysis and measurement results reporting数据分析及测量结果报告
10 Information Security Measurement Programme Evaluation and Improvement信息安全测量程序评价及改进

附录
附录1 标准附录A的控制对比
附录2 ISO／IEC2700l与ISO／IEC27002标准的演变介绍
一、需要说明的两个问题
二、成为国际标准前的主要开发过程
三、成为国际标准后的版本演化及国标化
四、结语
参考文献
附录3 中英文词汇对照表
第2版后记

前言/序言

　　这次改版有三个重要原因：
　　首先，ISO/IEC27001：2005改版成了ISO/IEC27001：2013，从而GB/T22080——2008也随之改版成了GB/T22080-2016，也有很多读者给我们写信催促，但是鉴于国家标准出版的流程耗时比较长。所以，在2013年，我们出版了《ISO/IEC27001：2013标准解读及改版分析》，并将本书的第一版暂时停售。2016年8月29日正式发布了GB/T22080-2016，因此，我们将《信息安全管理体系实施指南》等升级为最新版的标准。这是此次改版的最重要的原因。
　　其次，在之前2012版的解读中，实际上有很多点解释不清，当然，本质问题在于我本人的理解深度有欠缺。2012年-2016年，我读博士，将自己的研究领域从计算机科学转移到管理学中的信息系统管理，期间，我用了大量的时间阅读全面质量管理（Total Quality Management，TQM）的相关研究文献，以及ISO/IEC27001的主要开发者伦敦政经大学的James Back house等人的诸多著作，使我对ISOfIEC27001的认识有了很大的提升，至少通过阅读和研究给了我一个全新的视角。
　　此外，在编写《ISO/IEC27001：2013标准解读及改版分析》的过程中，我发现还有一些解释不清的点，一旦中英文对照，解释起来就没那么费劲。所以，在这次改版过程中，不再纠缠于GB/T22080-2016，只要有利于读者理解，在诸多地方，将ISO/IEC27001：2013的原文一并进行了解读。同时，由于新版中内容与《ISO/IEC27001：2013标准解读及改版分析》有一定重复，之后我们将停售该书，读者若确实有需要，可以单独联系我们。
　　鉴于此，我们进行了改版，如有谬误之处，随时联系，谢谢。
　　最后，提醒读者，本书尤其是标准解读部分，适合想深入理解ISO/IEC27001：2013的读者。如果只想在组织内按照体系文件进行部署，或者做泛泛的了解，可以直接阅读本丛书的其他分册。

《信息安全管理体系实施指南（第2版）》图书简介 一、 引言：信息时代的安全基石 在信息技术飞速发展的今天，信息已成为组织最宝贵的资产之一。从企业运营的关键数据到个人隐私的敏感信息，无不承载着巨大的价值，同时也面临着前所未有的安全威胁。网络攻击、数据泄露、系统瘫痪等事件层出不穷，不仅给组织带来经济损失，更可能导致声誉受损、法律责任追究，甚至业务中断。在这样的背景下，建立和维护一套行之有效的信息安全管理体系（ISMS），已不再是可选项，而是组织生存和发展的必然要求。 《信息安全管理体系实施指南（第2版）》正是应运而生，旨在为各类组织提供一套系统、全面、可操作的实践指导，帮助其理解、规划、实施、运行、监视、评审、维护和改进信息安全管理体系。本指南立足于国际公认的ISO/IEC 27001标准，并结合了最新的行业实践和发展趋势，力求成为读者构建坚实信息安全防线的得力助手。 二、 本书核心内容概述：从理论到实践的系统化构建 本书内容严谨、结构清晰，从信息安全管理体系的宏观框架入手，层层深入，直至具体的实施细节。它不是对标准的简单复述，而是对标准要求的深度解读和实践性转化，强调“做中学”和“学以致用”。 第一部分：信息安全管理体系基础 什么是信息安全？ 本部分将深入剖析信息安全的核心概念，解释信息安全的三个基本要素：保密性（Confidentiality）、完整性（Integrity）和可用性（Availability），并阐述其在现代组织中的重要性。我们会探讨信息安全威胁的演变，从传统的物理安全问题，到如今复杂的网络安全挑战，帮助读者建立对信息安全风险的全面认知。 信息安全管理体系（ISMS）的价值与意义。 这里将详细阐述建立ISMS的根本原因和预期效益。读者将了解到，ISMS并非仅仅是为了满足合规性要求，更是为了提升组织的整体风险管理能力，增强客户信任，保障业务连续性，并最终实现可持续发展。我们将通过案例分析，生动展示ISMS为组织带来的实际价值。 ISO/IEC 27001标准解读。 作为全球最权威的信息安全管理标准，ISO/IEC 27001是本书的核心参照。本部分将逐条解读标准的主要条款，包括风险评估、风险处理、管理方针、组织角色与职责、信息安全目标、内部审计、管理评审等关键要素。我们强调的不是死记硬背条文，而是理解标准背后的逻辑和意图，以及如何在实际工作中将其落地。 第二部分：ISMS的规划与设计 建立ISMS的准备工作。 在正式启动ISMS建设之前，充分的准备至关重要。本部分将指导读者如何进行可行性分析，识别关键利益相关者，组建项目团队，并明确项目目标和范围。我们将介绍如何获得高层管理者的支持，这通常是ISMS成功实施的关键。 确定ISMS的范围。 ISMS的范围界定是成功实施的第一步。本书将提供实用的方法，帮助读者根据组织的业务需求、资产分布、法律法规要求等因素，科学、合理地确定ISMS的适用边界。这可能包括特定的业务部门、信息系统、地理位置，或者覆盖整个组织。 制定信息安全方针。 信息安全方针是ISMS的最高指导原则，由高层管理者批准发布。我们将指导读者如何制定一份清晰、简洁、具有指导意义的信息安全方针，使其能够有效传达组织对信息安全的承诺，并为所有活动提供方向。 风险评估与风险处理。 这是ISMS的灵魂所在。本部分将详述一套完整的风险评估方法，包括识别资产、识别威胁、识别脆弱性、分析风险的可能性和影响，从而得出风险等级。在此基础上，我们将提供多种风险处理选项（如风险规避、风险降低、风险转移、风险接受），并指导读者选择最适合的风险处理策略，制定详细的风险处理计划。 建立信息安全目标。 信息安全目标应与信息安全方针保持一致，并具有可衡量性。本书将指导读者如何设定SMART（具体的、可衡量的、可实现的、相关的、有时限的）信息安全目标，并将其分解到各个层级，确保组织朝着既定的安全方向前进。 第三部分：ISMS的实施与运行 信息安全控制措施的选择与实施。 ISO/IEC 27001标准列出了大量的控制措施（Annex A），本书将对这些控制措施进行详细的解读和分类，并提供如何在组织内选择、设计和实施适宜控制措施的实用建议。这包括访问控制、加密、物理和环境安全、操作安全、通信安全、事件管理、业务连续性管理等。 资源、意识和能力。 人是信息安全最关键的要素。本部分将强调提供必要资源的重要性，包括人力、技术和财力。更重要的是，它将指导读者如何开展信息安全意识培训，提升全体员工的安全素养，以及如何建立专业的信息安全团队，确保组织具备足够的能力来管理信息安全。 文件化信息。 ISMS需要一系列的文件来支持其运行。本书将指导读者如何创建和维护必要的文件化信息，包括政策、程序、记录等，并强调文件化信息的版本控制和生命周期管理。 运行ISMS。 在这一阶段，我们将重点介绍如何将ISMS有效地融入组织的日常运营流程中。这包括建立明确的职责分工，执行既定的安全程序，处理安全事件，以及进行定期的安全检查。 第四部分：ISMS的监视、评审与改进 监视、测量、分析和评审。 本部分将指导读者如何建立有效的监视和测量机制，以评估ISMS的性能和有效性。这可能包括日志分析、安全审计、漏洞扫描、性能指标跟踪等。 内部审计。 内部审计是ISMS持续改进的重要手段。本书将详细介绍内部审计的规划、执行和报告过程，帮助读者识别ISMS运行中的不符合项和改进机会。 管理评审。 高层管理者的定期评审是确保ISMS持续适宜性、充分性和有效性的重要环节。我们将指导读者如何准备管理评审会议，评审的关键输入和输出，以及如何根据评审结果制定改进措施。 不符合项、纠正措施和持续改进。 在ISMS运行过程中，难免会出现不符合项。本部分将介绍如何识别、记录、分析不符合项，并采取有效的纠正措施，防止其再次发生。同时，我们将强调持续改进的理念，鼓励组织不断优化ISMS，以适应不断变化的安全环境和业务需求。 三、 本书的特色与亮点 实践导向，操作性强。 本书最大的特点在于其高度的实践性。我们摒弃了枯燥的理论堆砌，而是通过大量的案例分析、流程图、表格模板和操作步骤，将抽象的标准要求转化为读者可理解、可操作的具体指南。读者可以参照书中的指导，一步步构建自己的ISMS。 紧跟前沿，内容更新。 作为第2版，本书在整合了ISO/IEC 27001:2022最新标准要求的基础上，融入了近年来信息安全领域的新趋势和新挑战，例如数据隐私保护、云安全、物联网安全等，使其内容更具前瞻性和时效性。 适用性广，普适性强。 本书的指导原则和方法论适用于各种规模和类型的组织，无论是大型企业、中小型公司，还是政府机构、非营利组织，都能从中获益。对于信息安全专业人士、IT管理者、合规官以及对信息安全管理感兴趣的读者，本书都将是一个宝贵的参考。 语言清晰，逻辑严谨。 我们力求使用清晰、准确、易懂的语言来阐述复杂的概念，避免技术术语的滥用。全书结构层次分明，逻辑关系严密，便于读者循序渐进地学习和理解。 关注细节，预见挑战。 在介绍各项内容时，本书不仅给出“做什么”，更会探讨“如何做”，并预见实施过程中可能遇到的挑战，并提供相应的解决方案，帮助读者规避风险，提高成功率。 四、 结语：通往信息安全卓越之路 《信息安全管理体系实施指南（第2版）》不仅仅是一本书，更是一份通往信息安全卓越之路的行动指南。通过系统地学习和实践本书中的内容，组织将能够建立起一套 robust（稳健）的信息安全管理体系，有效应对日益严峻的安全威胁，保护宝贵的信息资产，赢得客户和合作伙伴的信任，最终在激烈的市场竞争中立于不败之地。我们相信，本书将是您在信息安全管理旅程中的一位可靠的伙伴，陪伴您克服挑战，迈向成功。

评分☆☆☆☆☆

从一个资深从业者的角度来看，这本书的深度和广度都达到了一个令人尊敬的水平，尤其是在体系的“持续改进”和“度量衡”方面。很多指南在建立了基础框架后就戛然而止，但这本书非常强调PDCA循环在信息安全管理中的持续价值，并提供了量化评估的指标体系建议，这对于那些想要向管理层汇报安全投入产出比的同仁来说，是非常关键的工具。作者对于如何将技术指标（如漏洞密度、响应时间）转化为业务指标（如业务中断风险降低百分比）的论述，逻辑严密，论据充分，非常有启发性。它不是简单地告诉你“要衡量”，而是告诉你“应该如何衡量才能被业务理解和认可”。总而言之，这本书并非快餐式的知识获取，而是一次系统性的、对信息安全管理理念的重塑过程，值得反复研读和在实践中对照参考。

评分☆☆☆☆☆

这本书的语言风格可以说是一种“老派的严谨”，它没有过多花哨的辞藻，每一句话都像是经过深思熟虑的，直指核心。阅读过程中，我发现作者在阐述每一个管理框架和控制措施时，都会辅以大量的现实案例或者行业标准解读，这极大地增强了内容的说服力和实用性。比如，在讲解风险评估模块时，它不仅仅是告诉你“要做风险评估”，而是详细拆解了不同行业在评估侧重点上的差异，以及如何根据自身业务特点来定制评估模型，这种深入骨髓的实操指导，是市面上很多理论书籍所欠缺的。我记得有一章专门讲合规性要求，它把不同国际标准（比如ISO、NIST等）之间的交叉点和冲突点讲得非常透彻，对于那些需要同时应对多重监管压力的企业来说，简直就是福音。读完之后，我感觉自己对“体系建设”这个概念有了全新的认识，它不再是冰冷的文档堆砌，而是一个动态的、与业务紧密结合的有机生命体。

评分☆☆☆☆☆

这本书的封面设计挺有意思的，那种深沉的蓝色配上金色的字体，一下子就让人感觉这不是一本轻松的读物，而是那种能让人沉下心来琢磨的专业书籍。我拿到手的时候，首先关注的是它的排版和印刷质量，说实话，作为一本技术类图书，这个质量是相当不错的，纸张摸起来挺厚实，字迹清晰，阅读起来眼睛不会太累。尤其是那些图表和流程图，画得非常直观，即便是复杂的技术概念，也能通过这些视觉化的呈现方式快速抓住重点。翻开目录，就能感受到作者的用心，内容的编排逻辑性非常强，从宏观的体系建立，到具体的实施步骤，再到后期的持续改进，形成了一个完整的闭环。这不像有些书只是罗列知识点，而是真正提供了一套可操作的“方法论”。我个人尤其欣赏它在章节安排上的过渡自然，能引导读者一步步深入理解信息安全管理体系的精髓，而不是一开始就抛出过多的专业术语，让人望而却步。整体来看，这本书的“体感”非常专业和可靠，让人有信心把它当作案头工具书来使用。

评分☆☆☆☆☆

我最近一直在为我们部门的安管体系升级做准备，手上翻过不少资料，但很多都停留在概念层面。这本书给我的最大感受是它的“落地性”极强，它不是在空中楼阁里谈管理，而是像一个经验丰富的老项目经理在手把手教你干活。特别是关于“人员培训与意识提升”的那一节，它没有简单地建议“定期做培训”，而是提供了一套详细的、分层级的培训内容设计和效果评估机制，甚至细化到了不同层级员工的KPI如何与安全意识挂钩。这种对细节的把控，体现了作者深厚的实战经验。对我这种需要直接面对一线执行的人来说，最大的价值在于，我可以直接从书中提取出可复用的模板和检查清单，大大缩短了我们从“知道要做”到“知道怎么做”的转化周期。如果说很多书是提供地图，那么这本书更像是一份带有精确坐标和详细路况的高清导航。

评分☆☆☆☆☆

这本书的阅读体验非常“沉浸”，我甚至在某些关键章节不得不放慢速度，反复咀嚼。它在处理那些容易引起争议或者理解困难的概念时，展现出一种惊人的克制和平衡。举个例子，在描述安全策略的制定过程中，它非常巧妙地平衡了“严苛性”与“业务连续性”之间的矛盾。很多企业在推行安全政策时，往往因为过于强调控制而导致效率低下，这本书则清晰地指出了如何在风险可接受范围内，设计出既能保障安全又不会过度阻碍日常运营的策略。这种对商业现实的深刻理解，让这本书的价值超越了一般的教科书范畴，更像是一部企业风险管理的“兵法”。我发现自己不仅仅是在学习安全管理，同时也在学习如何在高压的商业环境下进行合理的资源分配和博弈，视角被极大地拓宽了。

评分☆☆☆☆☆

有0分吗？我要给0分！没塑封就算了 我写的代收点收你给我放丰巢快递柜，里面是湿的不看的吗？差评

评分☆☆☆☆☆

这是本好书，值得一读

评分☆☆☆☆☆

很实用

评分☆☆☆☆☆

好书，内容不错

评分☆☆☆☆☆

质量也不错。

评分☆☆☆☆☆

看着书有点旧。

评分☆☆☆☆☆

有0分吗？我要给0分！没塑封就算了 我写的代收点收你给我放丰巢快递柜，里面是湿的不看的吗？差评

评分☆☆☆☆☆

好书，内容不错

评分☆☆☆☆☆

质量也不错。