课程介绍
ISO/IEC 27000 标准家族是面向组织的信息安全管理体系国际标准,也是国际范围内最受推崇和关注的信息安全管理框架、认证准则和实施指南。 ISO/IEC 27001 是用于认证审核的信息安全管理体系要求,ISO 27002 是指导信息安全管理的实践指南。
目前越来越多的国家已经将 ISO 27001 采纳为国家标准。截止 2014 年 12 月已经有超过20000家组织通过了 ISO 27001 的认证审核,获得了信息安全管理体系认证证书。
管理体系强调指标测量和自我控制,内部审核是信息安全管理体系成功运作的重要环节和寻求改进的驱动因素,同时也是通过外部认证的必须要求。担负内部审核责仸的人士,需要具备从事信息安全内审工作的知识和能力,并通过系统化的方法来策划和执行有效的内部审核。
作为 ISO 27001 标准的最初缔造者和权威认证机构,在标准解读和审核实践方面积累了丰富的经验。信息安全管理体系内审员课程,旨在通过知识讲解、案例分享、分组练习和模拟审核等方式,帮助学员了解企业信息安全管理的核心思想和体系审核的重点,熟悉审核流程和技巧,提高审核能力,让内审员成为企业信息安全的"体检官"和"保健师"。
课程目标
• 让学员系统了解信息安全管理体系标准的背景、目的、价值及要求;
• 让学员准确理解和把握控制措施的含义及审核方法;
• 让学员系统掌握审核生命周期流程(PERC),包括策划、执行、报告及关闭的方法和技能,以驱动持续改进。
课程对象
• 企业管理人员
• 企业信息安全管理体系审核人员
• IT 经理、系统经理、IT 安全经理
• IT 咨询顾问、管理体系咨询顾问
• 其他希望学习信息安全管理体系的人士
课程大纲
一、信息安全管理体系基础
1、信息安全基础
信息安全相关概念
信息安全管理体系综述
ISO 27001 标准家族
2、管理体系通用要求
过程方法与体系思维
PDCA 循环
管理体系高层次结构
二、ISO 27001 标准解析
1、正文标准条款解析
组织情境分析与领导力
体系策划、实施与支持
绩效评价与持续改进
2、附录 A 标准条款解析
信息安全策略、信息安全组织
人力资源安全、资产管理与物理安全
访问控制、密码学
操作安全、通信安全与系统安全
供应商管理、信息安全事件管理、信息安全连续性、合规性
三、审核 (Audit)
1、审核基本概念(Overview)
审核的概念与术语
信息安全管理体系审核综述
2、策划(Plan)
审核方案
审核计划
审核检查表
3、执行(Execution)
首次会议
审核过程
寻找证据
末次会议
4、报告(Reporting)
不符合项报告(NCR)
审核总结报告
典型审核报告内容及展示
5、跟踪关闭(Closing)
纠正措施计划(CAP)
根本原因分析(RCA)
效果验证
考试
燕飞老师
√ 北京理工大学 计算机科学与技术 学士 √ 英国莱斯特大学 信息与通信工程 硕士
√ (ISC)² CISSP 注册信息系统安全专家 √ ISACA CISA 注册信息系统审计师
√ PMI PMP 项目管理专家 √ PeopleCert ITIL V3 Foundation IT服务国际认证
8年的IT服务及信息安全相关工作经验,从事IT服务交付和运维的内控合规管理,项目安全管理和解决方案开发的工作。
熟悉IT服务交付和系统运维过程中的风险和关键控制点以及优秀实践,在主持或参与IT管理服务项目的安全交付,内部审计,解决方案的开发和优化工作中,积累了丰富的实践经验,注重可落地性。
【曾实施的服务项目类型】
-IT服务内控合规建设项目;
-IT服务质量与安全内审项目;
-IT管理服务的安全投标和交付项目;
-IT管理服务的安全解决方案开发项目。
【曾服务的知名企业】
-IT通信:澳大利亚电信,沃达丰,法国电信,西班牙电信,卡塔尔电信等
-金融业:星展银行、西太平洋银行等
-运输业:澳洲航空,国泰航空,新加坡航空等
