信息安全的体系化管理

第1章海淀区电子政务的现状

1.1概述

1.1.1电子政务建设概况

1.1.2“数字海淀”建设内容

1.2业务信息化应用

1.2.1政府管理体系应用情况

1.2.2政府服务体系应用情况

1.3信息化应用效果

1.3.1信息化成果

1.3.2服务与应用效果

1.3.3信息化的依赖性

第2章海淀区电子政务的信息安全需求与思考

2.1信息安全需求

2.2已开展的信息安全工作

2.2.1安全技术方面

2.2.2安全管理方面

2.3存在的问题

2.4安全建设的思考

2.5国外实践

2.5.1实例西澳大利亚政府电子政务的信息安全管理

2.5.2信息安全管理体系在国外电子政务中的应用

第3章信息安全管理体系的建设和管理

3.1信息安全管理体系（ISMS）

3.1.1从信息安全说起

3.1.2管理体系

3.1.3信息安全管理体系

3.2ISMS的产生与发展

3.2.1信息安全手段及其发展

3.2.2制度化浪潮下的ISMS

3.2.3标准的产生和发展简介

3.3ISMS标准和认证

3.3.1国际标准化组织ISMS相关工作组

3.3.2已经发布的ISMS标准

3.3.3ISMS标准的类型

3.3.4制定中的ISO/IEC27000系列标准介绍

3.3.5其它可以参考的相关标准

3.3.6ISMS认证

3.4过程方法和PDCA循环

3.5项目的准备

3.5.1建立ISMS管理机构

3.5.2基础调查

3.5.3制定工作计划

3.5.4其它活动

3.6建立ISMSP阶段

3.6.1确定ISMS范围

3.6.2确定ISMS方针和目标

3.6.3实施风险评估

3.6.4选择控制措施

3.6.5编写体系文件

3.7实施与运行ISMSD阶段

3.7.1批准体系文件并发布

3.7.2为员工培训体系文件的应用

3.7.3确保体系文件得以实施

3.8监视与评审ISMSC阶段

3.8.1日常监视和检查

3.8.2内部审核

3.8.3管理评审

3.9保持和改进ISMSA阶段

3.9.1纠正和预防措施

3.9.2持续改进

第4章海淀区政府ISMS的建设和管理

4.1海淀区政府ISMS的规划和设计

4.2海淀区政府ISMS的建立

4.2.1准备

4.2.2确定ISMS范围

4.2.3确定ISMS方针和目标

4.2.4实施风险评估

4.2.5选择控制措施

4.2.6形成体系文件

4.3海淀区政府ISMS的实施和运行

4.4海淀区政府ISMS的监视和评审

4.4.1内部审核

4.4.2管理评审

4.5海淀区政府ISMS的保持和改进

第5章ISMS在海淀区政府的应用效果

5.1海淀区政府ISMS的价值体现

5.2相关方对海淀区政府ISMS的评价

第6章ISMS在电子政务中应用的思考

6.1ISMS与其它管理体系的整合

6.1.1同时运行多个管理体系的问题

6.1.2ISMS与QMS整合的思路

6.1.3ISMS与QMS整合的分析

6.2ISMS与等级保护制度

6.2.1ISMS与等级保护制度的联系

6.2.2ISMS与等级保护制度的区别

6.2.3两者的融合

6.3ISMS在电子政务应用中的展望

附录海淀区政府ISMS大事记

　　本书以海淀区建立信息安全管理体系的具体实践为基础，作者结合实际讲述了如何理解标准、如何按照标准要求在政府部门建立ISMS、如何与信息安全等级保护相结合、如何与区政府已建立的ISO9001质量管理体系相融合的经验，是一本源于实践的创新之作，相信对广大致力于科学建立信息安全管理体系的读者一定会有所启迪，书中的方法和经验对政府部门的实践者将很有参考价值。　　随着信息网络技术的发展，信息安全问题显得越来越重要。而传统的网络与信息安全方法和手段多以采购和使用安全产品为主，往往是“事件驱动型的”，或者是“产品导向型的”，其结果常常是“头痛医头，脚痛医脚”。安全问题不仅仅是技术问题，有了技术和设备，如果没有强有力的管理措施作为支撑，安全是得不到保障的，很多情况下甚至仅仅是安全设备的堆集，用户得到的是一个“安全”的假象而已。而信息安全管理体系则以预防为主，防患于未然，体系化地解决信息安全问题。本书是国内第一部以案例方式介绍信息安全管理体系（ISMS）建设的书籍。它通过北京市海淀区的电子政务发展现状及其安全需求出发，介绍信息安全管理体系的建设方法，然后用大量篇幅，以实际案例的形式分析电子政务机构进行信息安全管理体系建设的流程、方法以及需要注意的一些问题。　　本书面向信息安全从业人员、信息安全管理体系的建设单位，是进行信息安全管理体系建设的组织机构、从事相关咨询服务的工程师和关心、重视信息安全管理的人士不可多得的参考书。