中小企业信息安全管理体系最佳实践

第1章 实施企业背景

1.1 公司简介

1.2 组织结构及各部门职责

1.3 主要设备及拓扑结构

1.4 公司物理环境

1.5 安全要求

1.6 ISMS实施需求

第2章 ISMS的建立及实施

2.1 建立及实施ISMS主要过程

2.2 各过程说明

第3章 风险评估

3.1 相关概念

3.2 要素关系

3.3 实施流程

3.4 风险评估准备

3.5 资产识别

3.6 威胁识别

3.7 脆弱性识别及赋值

3.8 控制措施识别

3.9 风险分析

3.10 风险处理

3.11 风险评估报告

第4章 ISMS管理手册

4.1 制定ISMS手册的必要性

4.2 确定ISMS的范围

4.3 定义ISMS的方针和目标

4.4 手册内容

第5章 适用性声明（SoA）

5.1 概述

5.2 安全方针

5.3 信息安全组织

5.4 资产管理

5.5 人力资源安全

5.6 实物与环境安全

5.7 通信和操作管理

5.8 访问控制

5.9 信息系统获取、开发和维护

5.10 信息安全事件管理

5.11 业务持续性管理

5.12 符合性

第6章 信息安全策略

6.1 概述

6.2 备份策略（A.10.5.1）

6.3 信息交换策略（A.10.8.1）

6.4 业务信息系统使用策略（A.10.8.5）

6.5 访问控制策略（A.11.1.1）

6.6 清除桌面及屏幕策略（A.11.3.3）

6.7 网络服务使用策略（A.11.4.1）

6.8 移动计算和通讯策略（A.11.7.1）

6.9 远程工作策略（A.11.7.2）

6.10 加密控制策略（A.12.3.1）

第7章 ISMS常见管理流程

7.1 体系建立及持续改进涉及流程

7.2 资产管理涉及流程

7.3 人力资源涉及管理流程

7.4 物理和环境安全涉及管理流程

7.5 通信与操作安全涉及管理流程

7.6 访问控制涉及管理流程

7.7 信息系统的获取、开发和维护管理程序

7.8 信息安全事件管理涉及流程

7.9 业务持续性管理程序

7.10 法律法规、相关方要求识别与符合性评估管理程序

参考文献

《中小企业信息安全管理体系最佳实践》以范例的形式，借助一个虚拟组织——创新科技发展有限公司，详细阐述了中小企业如何在组织内建立和有效实施信息安全管理体系，为中小企业建立和实施信息安全管理体系提供一个有益的思路及最佳实践路径。主要内容包括：ISMS的建立及实施、风险评估、ISMS管理手册、适用性声明、信息安全策略以及ISMS常见管理流程等。
《中小企业信息安全管理体系最佳实践》对已建立和即将建立信息安全管理体系的中小企业极具参考和借鉴价值，适用于企业信息安全管理人员、实施人员以及信息安全研究、咨询、认证及测试人员。