谢宗晓、刘斌主编的《ISO\\IEC27001与等级保护的整合应用指南》从整合ISMS与信息系统安全等级保护实施角度出发，分8章进行对其描述。

本书非常适宜于对ISMS与等级保护感兴趣、想了解ISMS或等级保护、想深入理解ISMS和等级保护基本要求、想进阶高级咨询师做复合型人才的读者，以及从事ISMS咨询或等级保护咨询、从事信息安全管理等的相关人员。

第1章 了解“二标”系列标准

 信息安全管理体系系列标准

了解信息安全管理体系发展史

了解信息安全管理体系系列标准

需重点阅读、理解信息安全管理体系标准

 信息系统安全等级保护系列标准

了解信息系统安全等级保护历程

了解信息系统安全等级保护系列法规

了解信息系统安全等级保护系列标准

需重点阅读、理解的等级保护标准

第2章 分析“二标”异同点

 分析“二标”的相同点

相同点一：“二标”为了保护信息安全

相同点二：“二标”都采用过程方法

相同点三：“二标”都采用PDCA的模型

相同点四：“二标”都发布了基本要求

相同点五：“二标”在安全要求上存在共同点

 分析“二标”的不同点

不同点一：“二标”的立足点不同

不同点二：“二标”确定安全需求的方法不同

不同点三：“二标”实施流程不同

不同点四：“二标”基本要求分类不同

第3章 风险评估与等保测评

 风险评估与等保测评活动内容比较

比较一：建立风险评估和等保测评的方法和准则

比较二：风险评估与等保测评的范围和边界

比较三：风险评估或等保测评的对象

比较四：风险识别与不符合项识别

比较五：风险分析及评价

比较六：测评结论

比较七：风险处理与整改建议

比较八：编写报告

 风险评估与等级测评实施建议

第4章 “二标”整合分析

 ISMS要求与等级保护基本要求整合分析

从整合角度理解ISO/IEC 2700l正文

从整合角度理解ISO/IEC 27001附录A

从整合角度理解GB/T 22239-2008

整合“二标”的要求

整合ISO/IEC 27001的附录A与GB/T 22239-2008

 SMS实施指南与等级保护实施指南整合分析

从整合角度理解ISO/IEC 27003 

从整合角度理解GB/T 25058-2010

ISO/IEC 27003与GB/T 25058-2010整合

第5章 项目整体设计

 开始考虑实施“二标”

步骤5-1为什么要实施“二标”？“二标”要实现什么目标？

步骤5-2实施“二标”是否满足组织的安全要求？

步骤5-3组织业务、组织规模、组织结构等是否合适？

 获得批准并启动项目

步骤5-4获得管理者支持

步骤5—5指定项目负责人及推进方式

步骤5-6确定“二标”的初步范围

步骤5-7确定初步推进计划并组织项目启动会

 建立信息安全方针

步骤5-8建立安全方针

 识别“二标”安全要求

步骤5-9分析等级保护安全要求

步骤5-10分析ISMs安全要求

 进行安全风险评估及处置

步骤5-11进行等保评估

步骤5-12安全管理差异分析

步骤5-13风险评估

步骤5-14整合等保测评和风险评估结果

步骤5-15风险处理计划及控制措施

步骤5-16获得实施及运行“二标”的授权

步骤5-17准备适用性声明(SOA)

 规划设计

步骤5-18规划管理类安全措施

步骤5-19设计技术和物理安全措施

步骤5-20设计管理体系要素

 确定正式的项目计划

第6章 文件体系设计及编写指南

 设计文件的架构

步骤6-1纵向设计：文件的层级(文件形式的规范化及标准化)

步骤6-2横向设计：文件的目录(文件内容的合规性与完整性)

 文件的过程控制

 文件编写注意要点

要点6-1语言风格要适应组织文化

要点6-2如何判断文档的质量

要点6-3应尽量选择通用的格式

 确定文件目录

步骤6-3精读标准，找出关键控制点

步骤6-4确定文件

步骤6-5确定文件大纲

步骤6-6合并文件，直至确定文件目录

 确定文件编写及发布计划

 编写文件

步骤6-7根据文件大纲确定关键控制措施

步骤6-8成文

第7章 体系运行管理(Do-Check-Act)

 进行监视与评审

 组织内部审核

步骤7-1启动审核

步骤7-2进行审核

步骤7-3编制审核报告

 组织管理评审

步骤7-4编制策划管理评审

步骤7-5进行管理评审

 申请外部审核(可选项)

第8章 “二标”整合实施案例

 项目开始一年前

事件(-2)开始考虑等级保护制度

事件(-1)了解“二标整合”并申请项目

 项目开始第(1)周

事件(0)“二标”整合实施准备

事件(1)“二标”整合实施项目启动大会

事件(2)确定项目推进组并初步制定推进计划

事件(3)调研／分析现状

 项目开始第(2)周

事件(4)调研／分析现状(续) 

事件(5)建立安全方针

事件(6)设计文件层级与文件格式

事件(7)调研阶段总结会

 项目开始第(3)周

事件(8)创建信息系统清单

事件(9)信息系统安全保护定级

事件(10)确定等级保护安全要求

事件(11)设计资产分类／分级标准

事件(12)开始统计资产

事件(13)设计等级保护测评方案

事件(14)设计风险评估程序

事件(15)设计风险处置程序

 项目开始第(4)周

事件(16)统计资产(续) 

事件(17)进行等保测评

 项目开始第(5)周

事件(18)实施风险评估

事件(19)编写等保测评报告

事件(20)编写风险评估报告

 项目开始第(6)周

事件(21)准备风险处置计划和控制措施

事件(22)风险管理总结会

事件(23)获得实施“二标”的授权

 项目开始第(7)周

事件(24)设计安全技术措施和物理安全

事件(25)分析等级保护要求与ISO/IEC 27001对应关系

 项目开始第(8)周

事件(26)确定文件个数与目录

事件(27)确定正式的文件编写计划

事件(28)开始编写体系文件

 项目开始第(9～12)周

事件(29)编写体系文件(续) 

事件(30)准备适用性声明

事件(31)体系文件发布会

 项目开始第(13～20)周

事件(32)体系试运行

事件(33)信息安全意识培训

事件(34)信息安全制度培训

 项目开始第(21)周

事件(35)组织第一次内部审核

 项目开始第(22)周

事件(36)组织第一次内部审核(续) 

 项目开始第(23)周

事件(37)组织第一次管理评审

事件(38)部署纠正／预防措施

 项目开始第(24)周

事件(39)部署纠正／预防措施(续)

 项目开始第(25、26)周

事件(40)申请外事

 项目开始第(27、28)周

事件(41)项目总结会

附录 “二标”整合的建立和运作及与重要标准和规定的对应关系

参考文献