Password quality-manual口令质量

B.2.1 Password quality-manual口令质量 人工

B.2.2 Password quality-automated口令质量B.3 ISMS review process评审过程

B.4 ISMS continual improvement information 信息安全事件管理

B.4.1 Effectiveness有效性

自动

B.4.2 Corrective action implementation纠正措施应用B.5 Management commitment管理者承诺

B.6 Protection against malicious code恶意代码防护B.7 Physical entry controls物理入口控制

B.8 I.og files review日志文件评审

B.9 Management of periodic maintenance维护管理

B.10 Security in third party agreements第三方协议安全

Bibliography参考文献

[1] IS0 9000: 2005, Quality management systems - Fundamentals and vocabulary。 本项文献与本标准其实联系不大，在“术语和定义”中引用一个术语verification。

[2] ISO/IEC 27002: 2005, Information technology-Security techniques-Code of practice for information security management。

[3] ISO/IEC 15504 -3:2004, Information technology-Process assessment-Part 3: Guidance on performing an assessment，信息技术 过程评估 评估实施指南。该标准共有9个部分，为软件过程评估提供了框架。

[4] IS(_)/IEC 15939: 2007, Systems and software engineering-Measurement process。本项文献跟本标准联系紧密，从术语到整个模型，本标准都进行了大量的引用， 而且ISO/IEC 15939: 2002已经被等同采用为GB/T 20917-2007，读一下该中文版的国家标准对理解本标准会大有帮助。

[5] ISO/IEC 27005: 2008, Information technology-Security techniques-Informa- tion security risk management。

[6] ISO/TR 10017: 2003, Guidance on statistical techniques for IS0 9001: 2000, IS0 9001: 2000统计技术指南。在9.2中讨论数据分析时，有一处注释，统计分析的指南可以参考ISO/TR 10017：2003。