信息安全管理體系實施案例（第2版）

《信息安全管理體系叢書：信息安全管理體系實施案例（第2版）》按照時間順序描述了大都商業銀行的ISMS項目實施過程，給出了主要的體系檔案，並對這些檔案所涉及的GB/T22081—2008/ISO/IEC27002：2005正文內容進行了詳細的解讀。

大都商業銀行

項目開始1年前

事件（一2）：開始考慮ISMS

事件（一1）：了解ISMS並申請項目

項目開始第1周

事件（0）：ISMS項目啟動大會

事件（1）：確定項目推進組並初步制定推進計畫

事件（2-1）：調研/分析現狀

項目開始第2周

事件（2-2）：調研/分析現狀（續）

事件（3）：建立1SMS方針

事件（4）：設計檔案層級與檔案格式

事件（5）：調研階段總結會

項目開始第3周

事件（6）：設計資產分類/分級規範

事件（7-1）：開始統計資產

事件（8）：設計風險評估程式

事件（9）：設計風險處置程式

項目開始第4周

事件（7-2）：統計資產（續）

事件（10）：評估威脅、脆弱性與控制

項目開始第5周

事件（11）：分析並評價風險

事件（12）：準備風險評估報告

項目開始第6周

事件（13）：準備風險處置計畫

事件（14）：風險管理總結會

事件（15）：獲得實施ISMS的授權

事件（16-1）：開始準備適用性聲明

項目開始第7周

事件（17）：確定檔案個數與

事件（18）：確定正式的檔案編寫計畫

項目開始第8～12周

事件（19）：編寫體系檔案

項目開始第13～20周-

事件（16-2）：準備適用性聲明（續）

事件（20）：體系檔案發布會

事件（21）：開始體系試運行

事件（22）：信息安全意識培訓

事件（23）：信息安全制度培訓

項目開始第21～22周

事件（24）：組織第一次內部審核

項目開始第23周

事件（25）：組織第一次管理評審

項目開始第24周

事件（26）：部署糾正及持續改進

項目開始第25～26周

事件（27）：申請及實施外審

項目開始第27～28周

事件（28）：外審後整改及項目總結會

附錄

參考文獻

後記