滿額折
商品簡介
目次
書摘/試閱
商品簡介
信息化是世界經濟和社會發展的必然趨勢。近年來,在黨中央、國務院的高度重視和正確領導下,我國信息化建設取得了積極進展,信息技術對提升工業技術水平、創新產業形態、推動經濟社會發展發揮了重要作用。信息技術已成為經濟增長的“倍增器”、發展方式的“轉換器”、產業升級的“助推器”。
作者在2000年參與航天航空領域利用BS7799標準提出供應鏈信息安全要求的評審,自此信息安全管理體系像打開了一扇門,把以往從事有關信息技術工作中遇到的零散的信息安全的要求,以相互關聯、又獨自成域的形式展現在面前。2005年,IS027001的面世,又將該標準提到了全球的高度。越來越多的企業為了保護核心信息資產的安全,開始把該標準作為約束供應鏈過程中信息安全保護的管理要求。同時合格評定領域也將該標準作為認證認可的標準之一,從業人員在獲得信息安全審核員資格的同時也更愿意關注到標準的本質,進行信息安全技術的學習和研究。《信息安全管理體系理解與實施:基于ISO/IEC 27000系列標準》適用于愿意通過系統培訓,扎實掌握信息安全相關技術和管理知識的從業人員,以及對信息安全感興趣的人員。
作者在2000年參與航天航空領域利用BS7799標準提出供應鏈信息安全要求的評審,自此信息安全管理體系像打開了一扇門,把以往從事有關信息技術工作中遇到的零散的信息安全的要求,以相互關聯、又獨自成域的形式展現在面前。2005年,IS027001的面世,又將該標準提到了全球的高度。越來越多的企業為了保護核心信息資產的安全,開始把該標準作為約束供應鏈過程中信息安全保護的管理要求。同時合格評定領域也將該標準作為認證認可的標準之一,從業人員在獲得信息安全審核員資格的同時也更愿意關注到標準的本質,進行信息安全技術的學習和研究。《信息安全管理體系理解與實施:基于ISO/IEC 27000系列標準》適用于愿意通過系統培訓,扎實掌握信息安全相關技術和管理知識的從業人員,以及對信息安全感興趣的人員。
目次
第一章 概述
第一節 引言
第二節 信息安全管理體系標準的產生和發展
第三節 信息安全管理體系標準族
第四節 信息安全管理體系要求的內容結構
本章練習題
第二章 術語和定義
第一節 與對象相關的術語和定義
第二節 與信息安全屬性相關的術語和定義
第三節 與信息安全管理相關的術語和定義
第四節 與風險管理有關的術語和定義
本章練習題
第三章 GB/T22080-2016標準主體條款的理解與應用
第一節 引言
第二節 范圍
第三節 引用文件和術語定義說明
第四節 組織環境
第五節 領導
第六節 規劃
第七節 支持
第八節 運行
第九節 績效評價
第十節 改進
本章練習題
第四章 GB/f22080-2016標準附錄A條款的理解與應用
第一節 信息安全控制要求
第二節 信息安全控制選擇
第三節 信息安全控制結構
第四節 信息安全控制的理解與應用
本章練習題
第五章 信息安全風險管理
第一節 風險
第二節 信息安全風險
第三節 風險管理
第四節 典型的風險評估方法
第五節 典型的風險處理方法
本章練習題
第六章 信息安全管理體系審核指南
第一節 審核概述
第二節 規范性引用文件
第三節 術語和定義
第四節 審核原則
第五節 審核方案的管理
第六節 審核過程控制
第七節 審核員的能力和評價
第八節 審核員行為規范要求
本章練習題
第七章 認證認可基本知識
第一節 認證認可的基本概念
第二節 認證過程
附錄
第一節 引言
第二節 信息安全管理體系標準的產生和發展
第三節 信息安全管理體系標準族
第四節 信息安全管理體系要求的內容結構
本章練習題
第二章 術語和定義
第一節 與對象相關的術語和定義
第二節 與信息安全屬性相關的術語和定義
第三節 與信息安全管理相關的術語和定義
第四節 與風險管理有關的術語和定義
本章練習題
第三章 GB/T22080-2016標準主體條款的理解與應用
第一節 引言
第二節 范圍
第三節 引用文件和術語定義說明
第四節 組織環境
第五節 領導
第六節 規劃
第七節 支持
第八節 運行
第九節 績效評價
第十節 改進
本章練習題
第四章 GB/f22080-2016標準附錄A條款的理解與應用
第一節 信息安全控制要求
第二節 信息安全控制選擇
第三節 信息安全控制結構
第四節 信息安全控制的理解與應用
本章練習題
第五章 信息安全風險管理
第一節 風險
第二節 信息安全風險
第三節 風險管理
第四節 典型的風險評估方法
第五節 典型的風險處理方法
本章練習題
第六章 信息安全管理體系審核指南
第一節 審核概述
第二節 規范性引用文件
第三節 術語和定義
第四節 審核原則
第五節 審核方案的管理
第六節 審核過程控制
第七節 審核員的能力和評價
第八節 審核員行為規范要求
本章練習題
第七章 認證認可基本知識
第一節 認證認可的基本概念
第二節 認證過程
附錄
書摘/試閱
《信息安全管理體系理解與實施:基于ISO/IEC 27000系列標準》:
【理解與應用】
(1)本條款意圖是為組織提供對內外部因素(包括正面和負面)的最佳理解,這些因素可能會影響到信息安全管理體系達成期望結果的能力。組織應意識到這些內外部因素可能是不斷變化的,因此,應定期進行監控及評審。
(2)應理解在確定信息安全管理體系的關鍵要素時,條款4.1連同其他條款的要求提供了必要的信息基礎。
(3)可以通過多種來源獲取內外部因素的信息,例如國家和國際新聞、網站、國家統計部門和其他政府部門出版物、行業和技術出版物、本地和國家會議、行業協會等。
(4)幾個概念的理解
1)組織環境
組織環境是本版標準的一個新概念,對其的理解至關重要。組織環境是指對組織建立和實現目標的方法有影響的內部和外部因素的組合。它不僅適用于營利性組織,同樣適用于非營利性組織或公共服務組織。
構成組織環境的社會是一個由各個要素有機聯系、功能高度分化的系統。組織要在環境中存在和活動,就必須適應環境特定的功能要求。環境系統決定著不同類型的組織的不同目標,組織與環境的關系狀態還影響到目標的形成,因此組織環境具有綜合性、復雜性和不確定性的特點。
2)組織環境與組織目的
對組織環境的理解是一個過程,這個過程確定了影響組織的目的、目標和可持續性的各種因素。它既需要考慮內部因素——例如:組織的價值觀、文化、知識和績效,也需要考慮外部因素——例如:法律的、技術的、競爭的、市場的、文化的、社會的和經濟的環境。
組織的形成是為了實現某一特定目的,且該目的驅使著組織所做的每一件事。一個組織要想長期生存發展,自然應清楚地定位自己的社會角色和為社會能做的貢獻。組織的目的可被表達為其愿景、使命、方針和目標。
——組織使命:使命是一個企業存在的目的和意義,或企業存在的理由,是企業存續發展對企業自身及社會的價值與意義。
——組織愿景:愿景是企業使命的形象化與具體化,由于社會分工的存在以及特定企業在資源及其稟賦等方面的差異性與局限性,每個企業只能在特定的領域或方面以特定的方式來表達和實現其使命,從而表現為不同的企業愿景。
——企業戰略目標:是企業在一定時期內,為完成企業使命及愿景所要達到的結果,也是衡量企業經營活動的標準。
3)組織環境的構成
組織環境可分為組織的外部環境和內部環境。
①組織外部環境的構成
一經濟環境(包括宏觀經濟和微觀經濟)。組織的宏觀經濟環境就是指在國家和地區的水平上給組織造成市場機會或環境威脅的社會因素;可理解為泛指一個國家的社會制度、執政黨的性質、政府的方針、政策,以及國家制定的有關法律、法規等。組織必須明確其所在國家和政府目前禁止哪些事情,允許哪些事情以及鼓勵哪些事情,從而使組織活動符合全社會利益并受到某些方面的保護和支持。組織的微觀經濟環境主要包括:所在地區消費者水平、消費偏好、就業程度等。微觀經濟環境因素會直接決定企業目前及未來的市場規模。
一一政治環境。政治環境就是指一個國家或地區在一定時期內的政治大背景。政治環境的好壞影響著宏觀經濟形勢,從而也影響著組織的生產經營活動。
政治環境分析的內容,如:我國提出了優化產業結構,轉變經濟增長方式,以信息化帶動工業化,以工業化促進信息化,實施科教興國戰略等。這一切都對企業生產經營活動有著決定性的影響,指導著企業正確地確定自己的經營方向、經營目標、經營方針、經營戰略和策略。
一一技術環境。社會科技的進步促進了組織活動過程中物質條件的改善和技術水平的改進,從而使利用這些物質條件進行活動的組織取得更高的效率。技術環境對組織活動成果有著重要的影響。技術進步了,企業現有產品就可以被采用了新技術的競爭產品所取代。產品更新換代以后,組織現有的生產設施和工藝方法可能顯得落后,生產作業人員的操作技能和知識結構可能不再符合要求。
一一自然環境。通常是指組織所處地區的地理位置、自然資源的狀況。我國地域遼闊,各地區自然條件和資源差異較大,沿海地區與內陸地區的經濟發展條件和水平也完全不同。
……
【理解與應用】
(1)本條款意圖是為組織提供對內外部因素(包括正面和負面)的最佳理解,這些因素可能會影響到信息安全管理體系達成期望結果的能力。組織應意識到這些內外部因素可能是不斷變化的,因此,應定期進行監控及評審。
(2)應理解在確定信息安全管理體系的關鍵要素時,條款4.1連同其他條款的要求提供了必要的信息基礎。
(3)可以通過多種來源獲取內外部因素的信息,例如國家和國際新聞、網站、國家統計部門和其他政府部門出版物、行業和技術出版物、本地和國家會議、行業協會等。
(4)幾個概念的理解
1)組織環境
組織環境是本版標準的一個新概念,對其的理解至關重要。組織環境是指對組織建立和實現目標的方法有影響的內部和外部因素的組合。它不僅適用于營利性組織,同樣適用于非營利性組織或公共服務組織。
構成組織環境的社會是一個由各個要素有機聯系、功能高度分化的系統。組織要在環境中存在和活動,就必須適應環境特定的功能要求。環境系統決定著不同類型的組織的不同目標,組織與環境的關系狀態還影響到目標的形成,因此組織環境具有綜合性、復雜性和不確定性的特點。
2)組織環境與組織目的
對組織環境的理解是一個過程,這個過程確定了影響組織的目的、目標和可持續性的各種因素。它既需要考慮內部因素——例如:組織的價值觀、文化、知識和績效,也需要考慮外部因素——例如:法律的、技術的、競爭的、市場的、文化的、社會的和經濟的環境。
組織的形成是為了實現某一特定目的,且該目的驅使著組織所做的每一件事。一個組織要想長期生存發展,自然應清楚地定位自己的社會角色和為社會能做的貢獻。組織的目的可被表達為其愿景、使命、方針和目標。
——組織使命:使命是一個企業存在的目的和意義,或企業存在的理由,是企業存續發展對企業自身及社會的價值與意義。
——組織愿景:愿景是企業使命的形象化與具體化,由于社會分工的存在以及特定企業在資源及其稟賦等方面的差異性與局限性,每個企業只能在特定的領域或方面以特定的方式來表達和實現其使命,從而表現為不同的企業愿景。
——企業戰略目標:是企業在一定時期內,為完成企業使命及愿景所要達到的結果,也是衡量企業經營活動的標準。
3)組織環境的構成
組織環境可分為組織的外部環境和內部環境。
①組織外部環境的構成
一經濟環境(包括宏觀經濟和微觀經濟)。組織的宏觀經濟環境就是指在國家和地區的水平上給組織造成市場機會或環境威脅的社會因素;可理解為泛指一個國家的社會制度、執政黨的性質、政府的方針、政策,以及國家制定的有關法律、法規等。組織必須明確其所在國家和政府目前禁止哪些事情,允許哪些事情以及鼓勵哪些事情,從而使組織活動符合全社會利益并受到某些方面的保護和支持。組織的微觀經濟環境主要包括:所在地區消費者水平、消費偏好、就業程度等。微觀經濟環境因素會直接決定企業目前及未來的市場規模。
一一政治環境。政治環境就是指一個國家或地區在一定時期內的政治大背景。政治環境的好壞影響著宏觀經濟形勢,從而也影響著組織的生產經營活動。
政治環境分析的內容,如:我國提出了優化產業結構,轉變經濟增長方式,以信息化帶動工業化,以工業化促進信息化,實施科教興國戰略等。這一切都對企業生產經營活動有著決定性的影響,指導著企業正確地確定自己的經營方向、經營目標、經營方針、經營戰略和策略。
一一技術環境。社會科技的進步促進了組織活動過程中物質條件的改善和技術水平的改進,從而使利用這些物質條件進行活動的組織取得更高的效率。技術環境對組織活動成果有著重要的影響。技術進步了,企業現有產品就可以被采用了新技術的競爭產品所取代。產品更新換代以后,組織現有的生產設施和工藝方法可能顯得落后,生產作業人員的操作技能和知識結構可能不再符合要求。
一一自然環境。通常是指組織所處地區的地理位置、自然資源的狀況。我國地域遼闊,各地區自然條件和資源差異較大,沿海地區與內陸地區的經濟發展條件和水平也完全不同。
……
購物須知
大陸出版品因裝訂品質及貨運條件與台灣出版品落差甚大,除封面破損、內頁脫落等較嚴重的狀態,其餘商品將正常出貨。
特別提醒:部分書籍附贈之內容(如音頻mp3或影片dvd等)已無實體光碟提供,需以QR CODE 連結至當地網站註冊“並通過驗證程序”,方可下載使用。
無現貨庫存之簡體書,將向海外調貨:
海外有庫存之書籍,等候約45個工作天;
海外無庫存之書籍,平均作業時間約60個工作天,然不保證確定可調到貨,尚請見諒。
為了保護您的權益,「三民網路書店」提供會員七日商品鑑賞期(收到商品為起始日)。
若要辦理退貨,請在商品鑑賞期內寄回,且商品必須是全新狀態與完整包裝(商品、附件、發票、隨貨贈品等)否則恕不接受退貨。