參考文獻

[1] GB/T 22080-2008，信息技術　安全技術　信息安全管理系統　要求（ISO/IEC 27001:2005，IDT）
[2] GB/T 22081-2008，信息技術　安全技術　信息安全管理實用規則（ISO/IEC 27002:2005，IDT）
[3] GB/T xxxxx-xxxx，信息技術　安全技術　信息安全風險管理（ISO/IEC 27005:2011，IDT）
[4] GB/T 25067-2010，信息技術　安全技術　信息安全管理體系審核認證機構的要求（ISO/IEC 27006:2007，IDT）
[5] GB/T xxxxx-xxxx，信息技術　安全技術　信息安全管理體系審核指南（ISO/IEC 27007:2011，IDT）
[6] GB/T 19011-2003，質量和（或）環境管理體系審核指南（ISO 19011:2002，IDT）
[7] ISO 指南 73:2009，風險管理 — 詞匯
[8] NIST特定出版物（SP）800-53A，聯邦信息系統控制措施評審指南，2008年7月，http://csrc.nist.gov/publications/PubsSPs.html
[9] 安全與開放方法研究會（ISECOM），開源安全測試方法手冊，http://www.isecom.org/osstmm/
[10] 聯邦信息安全辦公室（BSI），德國，標準100-1，信息安全管理系統（ISMS）；100-2，IT-Grundschutz方法；100-3，基于IT-Grundschutz和IT-Grundschutz目錄的風險分析（德語版和英語版）,https://www.bsi.bund.de/cln_174/EN/Publications/publications_node.html
[11] 信息安全論壇（ISF），信息安全最佳實踐標準，2007，https://www.securityforum.org/services/publicresearch/