ISMS（信息安全管理体系）的两个基础标准ISO/IEC 27001和ISO/IEC 27002持续改版。到目前为止，ISO/IEC 27002已经发布至第3版，信息安全领域发生了重大改变。本书将指引读者理解信息安全控制的标准应用和部署。《信息安全管理体系实施案例——基于ISO/IEC 27002：2022的部署（第3版）》是信息安全管理体系丛书中的一本，主要依据ISO/IEC 27002:2022和GB/T 22080-2016/ ISO/IEC 27001:2013，讨论具体控制措施的实施。本书以大都商业银行实际工作为案例，以具体的工作计划实施过程为主线，拆分讲解每一个过程中涉及信息安全管理实施的步骤，同时对在实施信息安全管理中所依据的标准条款进行全面解读。书中案例鲜活、解读全面、技术实用、指导性强。

大都商业银行（DaDu Comercial Bank，DCB）
项目开始一年前
步骤（-2）：开始考虑ISMS
事件（-1）：了解ISMS并申请项目
项目开始第1周
事件（0）：ISMS项目启动大会
事件（1）：确定项目推进组并初步制定推进计划
事件（1+）：提前考虑信息安全组织
事件（2A）：调研/分析现状
项目开始第2周
事件（2B）：调研/分析现状（续）
事件（3）：建立信息安全方针
事件（4）：设计文件层级与文件格式
事件（5）：调研阶段总结会
项目开始第3周
事件（6）：设计资产分类/分级规范
事件（7A）：开始统计资产
事件（8）：设计风险评估程序
事件（9）：设计风险处置程序
项目开始第4周
事件（7B）：统计资产（续）
事件（10）：评估威胁、脆弱性与控制
项目开始第5周
事件（11）：分析并评价风险
事件（12）：准备风险评估报告
项目开始第6周
事件（13）：准备风险处置计划
事件（14）：风险管理总结会
事件（15）：获得实施ISMS的授权
事件（16A）：开始准备适用性声明
项目开始第7周
事件（17）：确定文件个数与目录
事件（18）：确定正式的文件编写计划
项目开始第8～12周
事件（19）：编写体系文件
项目开始第13～20周
事件（16B）：准备适用性声明（续）
事件（20）：体系文件发布会
事件（21）：开始体系试运行
事件（22）：信息安全意识培训
事件（23）：信息安全制度培训
项目开始第21～22周
事件（24）：组织第一次内部审核
项目开始第23周
事件（25）：组织第一次管理评审
项目开始第24周
事件（26）：部署纠正及持续改进
项目开始第25～26周
事件（27）：申请及实施外审
项目开始第27～28周
事件（28）：外审后整改及项目总结会
附录 改版前后控制映射表