B.2.1 Password quality-manual口令質量 人工

B.2.2 Password quality-automated口令質量B.3 ISMS review process評審過程

B.4 ISMS continual improvement information 信息安全事件管理

B.4.1 Effectiveness有效性

自動

B.4.2 Corrective action implementation糾正措施應用B.5 Management commitment管理者承諾

B.6 Protection against malicious code惡意代碼防護B.7 Physical entry controls物理入口控制

B.8 I.og files review日志文件評審

B.9 Management of periodic maintenance維護管理

B.10 Security in third party agreements第三方協議安全

Bibliography參考文獻

[1] IS0 9000: 2005, Quality management systems - Fundamentals and vocabulary。 本項文獻與本標準其實聯系不大，在“術語和定義”中引用一個術語verification。

[2] ISO/IEC 27002: 2005, Information technology-Security techniques-Code of practice for information security management。

[3] ISO/IEC 15504 -3:2004, Information technology-Process assessment-Part 3: Guidance on performing an assessment，信息技術 過程評估 評估實施指南。該標準共有9個部分，為軟件過程評估提供了框架。

[4] IS(_)/IEC 15939: 2007, Systems and software engineering-Measurement process。本項文獻跟本標準聯系緊密，從術語到整個模型，本標準都進行了大量的引用， 而且ISO/IEC 15939: 2002已經被等同采用為GB/T 20917-2007，讀一下該中文版的國家標準對理解本標準會大有幫助。

[5] ISO/IEC 27005: 2008, Information technology-Security techniques-Informa- tion security risk management。

[6] ISO/TR 10017: 2003, Guidance on statistical techniques for IS0 9001: 2000, IS0 9001: 2000統計技術指南。在9.2中討論數據分析時，有一處注釋，統計分析的指南可以參考ISO/TR 10017：2003。