中小企業信息安全管理體系最佳實踐

《中小企業信息安全管理體系最佳實踐》以範例的形式，藉助一個虛擬組織——創新科技發展有限公司，詳細闡述了中小企業如何在組織內建立和有效實施信息安全管理體系，為中小企業建立和實施信息安全管理體系提供一個有益的思路及最佳實踐路徑。主要內容包括：ISMS的建立及實施、風險評估、ISMS管理手冊、適用性聲明、信息安全策略以及ISMS常見管理流程等。《中小企業信息安全管理體系最佳實踐》對已建立和即將建立信息安全管理體系的中小企業極具參考和借鑑價值，適用於企業信息安全管理人員、實施人員以及信息安全研究、諮詢、認證及測試人員。

第1章 實施企業背景

1.1 公司簡介

1.2 組織結構及各部門職責

1.3 主要設備及拓撲結構

1.4 公司物理環境

1.5 安全要求

1.6 ISMS實施需求

第2章 ISMS的建立及實施

2.1 建立及實施ISMS主要過程

2.2 各過程說明

第3章 風險評估

3.1 相關概念

3.2 要素關係

3.3 實施流程

3.4 風險評估準備

3.5 資產識別

3.6 威脅識別

3.7 脆弱性識別及賦值

3.8 控制措施識別

3.9 風險分析

3.10 風險處理

3.11 風險評估報告

第4章 ISMS管理手冊

4.1 制定ISMS手冊的必要性

4.2 確定ISMS的範圍

4.3 定義ISMS的方針和目標

4.4 手冊內容

第5章 適用性聲明(SoA)

5.1 概述

5.2 安全方針

5.3 信息安全組織

5.4 資產管理

5.5 人力資源安全

5.6 實物與環境安全

5.7 通信和操作管理

5.8 訪問控制

5.9 信息系統獲取、開發和維護

5.10 信息安全事件管理

5.1 1業務持續性管理

5.1 2符合性

第6章 信息安全策略

6.1 概述

6.2 備份策略(A.1 0.5.1 )

6.3 信息交換策略(A.1 0.8.1 )

6.4 業務信息系統使用策略(A.1 0.8.5 )

6.5 訪問控制策略(A.1 1.1.1 )

6.6 清除桌面及螢幕策略(A.1 1.3.3 )

6.7 網路服務使用策略(A.1 1.4.1 )

6.8 移動計算和通訊策略(A.1 1.7.1 )

6.9 遠程工作策略(A.1 1.7.2 )

6.1 0加密控制策略(A.1 2.3.1 )

第7章 ISMS常見管理流程

7.1 體系建立及持續改進涉及流程

7.2 資產管理涉及流程

7.3 人力資源涉及管理流程

7.4 物理和環境安全涉及管理流程

7.5 通信與操作安全涉及管理流程

7.6 訪問控制涉及管理流程

7.7 信息系統的獲取、開發和維護管理程式

7.8 信息安全事件管理涉及流程

7.9 業務持續性管理程式

7.10 法律法規、相關方要求識別與符合性評估管理程式

參考文獻