　　《国家“十二五”重点规划图书·信息安全管理体系丛书：ISO/IEC 27001与等级保护的整合应用指南》从整合ISMS与信息系统安全等级保护实施角度出发，分8章进行对其描述。
　　《国家“十二五”重点规划图书·信息安全管理体系丛书：ISO/IEC 27001与等级保护的整合应用指南》非常适宜于对ISMS与等级保护感兴趣、想了解ISMS或等级保护、想深入理解ISMS和等级保护基本要求、想进阶高级咨询师做复合型人才的读者，以及从事ISMS咨询或等级保护咨询、从事信息安全管理等的相关人员。

内页插图

第1章了解“二标”系列标准
信息安全管理体系系列标准
了解信息安全管理体系发展史
了解信息安全管理体系系列标准
需重点阅读、理解信息安全管理体系标准
信息系统安全等级保护系列标准
了解信息系统安全等级保护历程
了解信息系统安全等级保护系列法规
了解信息系统安全等级保护系列标准
需重点阅读、理解的等级保护标准

第2章分析“二标”异同点
分析“二标”的相同点
相同点一：“二标”为了保护信息安全
相同点二：“二标”都采用过程方法
相同点三：“二标”都采用PDCA的模型
相同点四：“二标”都发布了基本要求
相同点五：“二标”在安全要求上存在共同点
分析“二标”的不同点
不同点一：“二标”的立足点不同
不同点二：“二标”确定安全需求的方法不同
不同点三：“二标”实施流程不同
不同点四：“二标”基本要求分类不同

第3章风险评估与等保测评
风险评估与等保测评活动内容比较
比较一：建立风险评估和等保测评的方法和准则
比较二：风险评估与等保测评的范围和边界
比较三：风险评估或等保测评的对象
比较四：风险识别与不符合项识别
比较五：风险分析及评价
比较六：测评结论
比较七：风险处理与整改建议
比较八：编写报告
风险评估与等级测评实施建议

第4章 “二标”整合分析
ISMS要求与等级保护基本要求整合分析
从整合角度理解ISO/IEC2700l正文
从整合角度理解ISO/IEC27001附录A
从整合角度理解GB/T22239-2008
整合“二标”的要求
整合ISO/IEC27001的附录A与GB/T22239-2008
SMS实施指南与等级保护实施指南整合分析
从整合角度理解ISO/IEC
从整合角度理解GB/T25058-2010
ISO/IEC27003与GB/T25058-2010整合

第5章项目整体设计
开始考虑实施“二标”
步骤5-1 为什么要实施“二标”？“二标”要实现什么目标？
步骤5-2 实施“二标”是否满足组织的安全要求？
步骤5-3 组织业务、组织规模、组织结构等是否合适？
获得批准并启动项目
步骤5-4 获得管理者支持
步骤5-5 指定项目负责人及推进方式
步骤5-6 确定“二标”的初步范围
步骤5-7 确定初步推进计划并组织项目启动会
建立信息安全方针
步骤5-8 建立安全方针
识别“二标”安全要求
步骤5-9 分析等级保护安全要求
步骤5-10 分析ISMs安全要求
进行安全风险评估及处置
步骤5-11 进行等保评估
步骤5-12 安全管理差异分析
步骤5-13 风险评估
步骤5-14 整合等保测评和风险评估结果
步骤5-15 风险处理计划及控制措施
步骤5-16 获得实施及运行“二标”的授权
步骤5-17 准备适用性声明（SOA）
规划设计
步骤5-18 规划管理类安全措施
步骤5-19 设计技术和物理安全措施
步骤5-20 设计管理体系要素
确定正式的项目计划

第6章文件体系设计及编写指南
设计文件的架构
步骤6-1 纵向设计：文件的层级（文件形式的规范化及标准化）
步骤6-2 横向设计：文件的目录（文件内容的合规性与完整性）
文件的过程控制
文件编写注意要点
要点6-1 语言风格要适应组织文化
要点6-2 如何判断文档的质量
要点6-3 应尽量选择通用的格式
确定文件目录
步骤6-3 精读标准，找出关键控制点
步骤6-4 确定文件
步骤6-5 确定文件大纲
步骤6-6 合并文件，直至确定文件目录
确定文件编写及发布计划
编写文件
步骤6-7 根据文件大纲确定关键控制措施
步骤6-8 成文

第7章体系运行管理（Do-Check-Act）
进行监视与评审
组织内部审核
步骤7-1 启动审核
步骤7-2 进行审核
步骤7-3 编制审核报告
组织管理评审
步骤7-4 编制策划管理评审
步骤7-5 进行管理评审
申请外部审核（可选项）

第8章 “二标”整合实施案例
项目开始一年前
事件（-2）开始考虑等级保护制度
事件（-1）了解“二标整合”并申请项目
项目开始第（1）周
事件（0）“二标”整合实施准备
事件（1）“二标”整合实施项目启动大会
事件（2）确定项目推进组并初步制定推进计划
事件（3）调研／分析现状
项目开始第（2）周
事件（4）调研／分析现状（续）
事件（5）建立安全方针
事件（6）设计文件层级与文件格式
事件（7）调研阶段总结会
项目开始第（3）周
事件（8）创建信息系统清单
事件（9）信息系统安全保护定级
事件（10）确定等级保护安全要求
事件（11）设计资产分类／分级标准
事件（12）开始统计资产
事件（13）设计等级保护测评方案
事件（14）设计风险评估程序
事件（15）设计风险处置程序
项目开始第（4）周
事件（16）统计资产（续）
事件（17）进行等保测评
项目开始第（5）周
事件（18）实施风险评估
事件（19）编写等保测评报告
事件（20）编写风险评估报告
项目开始第（6）周
事件（21）准备风险处置计划和控制措施
事件（22）风险管理总结会
事件（23）获得实施“二标”的授权
项目开始第（7）周
事件（24）设计安全技术措施和物理安全
事件（25）分析等级保护要求与ISO/IEC27001对应关系
项目开始第（8）周
事件（26）确定文件个数与目录
事件（27）确定正式的文件编写计划
事件（28）开始编写体系文件
项目开始第（9～12）周
事件（29）编写体系文件（续）
事件（30）准备适用性声明
事件（31）体系文件发布会
项目开始第（13～20）周
事件（32）体系试运行
事件（33）信息安全意识培训
事件（34）信息安全制度培训
项目开始第（21）周
事件（35）组织第一次内部审核
项目开始第（22）周
事件（36）组织第一次内部审核（续）
项目开始第（23）周
事件（37）组织第一次管理评审
事件（38）部署纠正／预防措施
项目开始第（24）周
事件（39）部署纠正／预防措施（续）
项目开始第（25、26）周
事件（40）申请外事
项目开始第（27、28）周
事件（41）项目总结会

附录 “二标”整合的建立和运作及与重要标准和规定的对应关系
参考文献