|
这也该算是有关ISO/IEC 27001: 2013标准,最全面、最详尽、最清晰、最精准的中文解读资料。 我想用“四个最”来描述本解读资料,可能有人会觉得太过了。但至少从我目前接触的资料来说,这样描述是不为过的。 当初,为了深入钻研ISO/IEC 27001: 2013标准,可以说把市面上的相关的书籍全部购买了,并阅读过多次。可惜的是,很多书籍写的太浅,无法帮助深入的理解ISO/IEC 27001: 2013标准。后来在互联网上,也在不断查找有关ISO/IEC 27001: 2013的资料,无奈相关的资料是寥寥无几,并且都是千遍一律的,以至于后来,干脆到知网这类网站去查找硕士和博士论文,作为参考资料。 本解读资料的详尽度、精确性、清晰性,都已经远远超越了我之前看过的资料,关于这一点,很多阅读过本解读资料的网友也都有反馈过类似看法。我想这也是本解读资料存在的价值,否则无法做到超越,也许就没有存在的必要了吧。 (01)引言 (02)1 范围 (03)4 组织环境/4.1 理解组织及其环境 (04)4 组织环境/4.2 理解相关方的需求和期望 (05)4 组织环境/4.3 确定信息安全管理体系范围 (06)4 组织环境/4.4 信息安全管理体系 (07)5 领导/5.1 领导和承诺 (08)5 领导/5.2 方针 (09)5 领导/5.3 组织的角色,责任和权限 (10)6 规划/6.1 应对风险和机会的措施/6.1.1 总则 (11)6 规划/6.1 应对风险和机会的措施/6.1.2 信息安全风险评估 (12)6 规划/6.1 应对风险和机会的措施/6.1.3 信息安全风险处置 (13)6 规划/6.2 信息安全目标及其实现规划 (14)7 支持/7.1 资源 (15)7 支持/7.2 能力 (16)7 支持/7.3 意识 (17) 7 支持/7.4 沟通 (18)7 支持/7.5 文件化信息 (19)8 运行 (20)9 绩效评价 (21)10 改进/10.1 不符合及纠正措施 (22)10 改进/10.2 持续改进 (23)附录 A.5 信息安全策略 (24)附录 A.6 信息安全组织 (25)附录 A.7 人力资源安全 (26)附录 A.8 资产管理/A.8.1 有关资产的责任 (27)附录 A.8 资产管理/A.8.2 信息分级 (28)附录 A.8 资产管理/A.8.3 介质处理 (29)附录 A.9 访问控制/A.9.1 访问控制的业务要求 (30)附录 A.9 访问控制/A.9.2 用户访问管理 (31)附录 A.9 访问控制/A.9.3 用户责任 & A.9.4 系统和应用访问控制 (32)附录 A.10 密码 (33)附录 A.11 物理和环境安全/A.11.1 安全区域 (34)附录 A.11 物理和环境安全/A.11.2 设备 (35)附录 A.12 运行安全/A.12.1 运行规程和责任 (36)附录 A.12 运行安全/A.12.2 恶意软件防范 & A.12.3 备份 (37)附录 A.12 运行安全/A.12.4 日志和监视 (38)附录 A.12 运行安全/A.12.5 运行软件控制 & A.12.6 技术方面的脆弱性管理 & A.12.7 信息系统审计的考虑 (39)附录 A.13 通信安全/A.13.1 网络安全管理 (40)附录 A.13 通信安全/A.13.2 信息传输 (41)附录 A.14 系统获取、开发和维护/A.14.1 信息系统的安全要求 (42)附录 A.14 系统获取、开发和维护/A.14.2 开发和支持过程中的安全 & A.14.3 测试数据 (43)附录 A.15 供应商关系 (44)附录 A.16 信息安全事件管理 (45)附录 A.17 业务连续性管理的信息安全方面 (46)附录 A.18 符合性/A.18.1 符合法律和合同要求 (47)附录 A.18 符合性/A.18.2 信息安全评审
| 
