目录

前言

引言

1 范围

2 术语和定义

2. 1 信息安全

2. 2 风险评估

2.3 风险管理

3 安全策略

3. 1 信息安全策略

4 组织的安全

4.1 信息安全基础设施

4.2 第三方访问的安全

4. 3 外包

5 资产分类和控制

5. 1 资产的可核查性

5. 2 信息分类

6 人员安全

6. 1 岗位设定和人力资源的安全

6. 2 用户培训

6. 3 对安全事故和故障的响应

7 物理和环境的安全

7. 1 安全区域

7. 2 设备安全

7. 3 一般控制

8 通信和操作管理

8. 1 操作规程和职责

8. 2 系统规划和验收

8.3 防范恶意软件

8.4 内务处理

8. 5 网络管理

8.6 媒体处置和安全

8. 7 信息和软件的交换

9 访问控制

9. 1 访问控制的业务要求

9.2 用户访问管理

9. 3 用户职责

9. 4 网络访问控制

9. 5 操作系统访问控制

9. 6 应用访问控制

9.7 对系统访问和使用的监督

9.8 移动计算和远程工作

10 系统开发和维护

10. 1 系统的安全要求

10.2 应用系统的安全

10.3 密码控制

10.4 系统文件的安全

10.5 开发和支持过程的安全

11 业务连续性管理

11. 1 业务连续性管理的各方面

12 符合性

12. 1 符合法律要求

12.2 安全策略和技术符合性的评审

12.3 系统审核考虑

参考文献

(责任编辑：)