这也该算是有关ISO/IEC 27001: 2013标准,最全面、最详尽、最清晰、最精准的中文解读资料。
我想用“四个最”来描述本解读资料,可能有人会觉得太过了。但至少从我目前接触的资料来说,这样描述是不为过的。
当初,为了深入钻研ISO/IEC 27001: 2013标准,可以说把市面上的相关的书籍全部购买了,并阅读过多次。可惜的是,很多书籍写的太浅,无法帮助深入的理解ISO/IEC 27001: 2013标准。后来在互联网上,也在不断查找有关ISO/IEC 27001: 2013的资料,无奈相关的资料是寥寥无几,并且都是千遍一律的,以至于后来,干脆到知网这类网站去查找硕士和博士论文,作为参考资料。
本解读资料的详尽度、精确性、清晰性,都已经远远超越了我之前看过的资料,关于这一点,很多阅读过本解读资料的网友也都有反馈过类似看法。我想这也是本解读资料存在的价值,否则无法做到超越,也许就没有存在的必要了吧。
(01)引言
(02)1 范围
(07)5 领导/5.1 领导和承诺
(08)5 领导/5.2 方针
(10)6 规划/6.1 应对风险和机会的措施/6.1.1 总则
(11)6 规划/6.1 应对风险和机会的措施/6.1.2 信息安全风险评估
(12)6 规划/6.1 应对风险和机会的措施/6.1.3 信息安全风险处置
(14)7 支持/7.1 资源
(15)7 支持/7.2 能力
(16)7 支持/7.3 意识
(17) 7 支持/7.4 沟通
(18)7 支持/7.5 文件化信息
(19)8 运行
(20)9 绩效评价
(22)10 改进/10.2 持续改进
(23)附录 A.5 信息安全策略
(24)附录 A.6 信息安全组织
(25)附录 A.7 人力资源安全
(29)附录 A.9 访问控制/A.9.1 访问控制的业务要求
(31)附录 A.9 访问控制/A.9.3 用户责任 & A.9.4 系统和应用访问控制
(32)附录 A.10 密码
(33)附录 A.11 物理和环境安全/A.11.1 安全区域
(35)附录 A.12 运行安全/A.12.1 运行规程和责任
(36)附录 A.12 运行安全/A.12.2 恶意软件防范 & A.12.3 备份
(38)附录 A.12 运行安全/A.12.5 运行软件控制 & A.12.6 技术方面的脆弱性管理 & A.12.7 信息系统审计的考虑
(39)附录 A.13 通信安全/A.13.1 网络安全管理
(41)附录 A.14 系统获取、开发和维护/A.14.1 信息系统的安全要求
(42)附录 A.14 系统获取、开发和维护/A.14.2 开发和支持过程中的安全 & A.14.3 测试数据
(43)附录 A.15 供应商关系
(44)附录 A.16 信息安全事件管理