ISO27001信息安全+内审员培训

课程大纲

第一单元 ISO27001：2013信息安全管理体系介绍

ISO27001发展的过程、产生背景及发展历程

认证与应用、规范要求结构

策划-实施-检查-改进循环

基于风险的思维

信息安全法律法规

典型的信息安全大事件

信息安全技术应用情况

信息安全的重要性

信息安全框架

信息安全体系搭建的思路方法

第二单元ISO27001：2013信息安全管理体系标准的要求与理解

组织环境——

理解组织及其环境

理解相关方的需求和期望

确定信息安全管理体系的范围

信息安全管理体系

--结合案例，讲解--思考或练习

领导作用——

领导作用和承诺；方针；组织的岗位、职责和权限

--结合案例，讲解--思考或练习

策划——

风险和机遇和应对措施

信息安全目标及其实现的计划

--结合案例，讲解--思考或练习

支持——

资源、能力、意识、沟通

形成文件的信息

--结合案例，讲解--思考或练习

运行——

运行的策划和控制

信息安全风险评估

信息安全风险处置

--结合案例，讲解--思考或练习

绩效评价——

监视、测量、分析和评价

--结合案例，讲解--思考或练习

内部审核

管理评审

--结合案例，讲解--思考或练习

持续改进——

不合格和纠正措施

持续改进

--结合案例，讲解--思考或练习

第三单元ISO27001：2013附录A的要求与理解

（A.5-A.8）A.5 安全方针

A.6 信息安全组织

A.7 人力资源安全

A.8 资产管理

--结合案例，讲解落地方法--思考或练习

A.9 访问控制

A.10 密码学

A.11 物理和环境安全--针对企业实际情况，主要讲解落地方法

--思考或练习

A.12 操作安全

A.13 通信安全

A.14 系统获取，开发和维护--结合案例，讲解落地方法

--思考或练习

A.15 供应关系

A.16 信息安全事件管理

A.17 信息安全方面的业务连续性管理

A.18 符合性--结合案例，讲解落地方法

--思考或练习

第四单元 资产及风险开展的思路及方法

- 风险管理概述与基本概念；

- 信息资产分类与分级；

- 风险识别、风险分析；

- 风险评价、风险处置；

- 风险评估案例与实操；

结合案例及研讨，讲解落地方法

第五单元ISO27001：2013内部审核方法与技巧

——以小组研讨方式进行

1、内部审核的方法

（1）提问和交谈的方法；

（2）查阅文件和记录的方法；

（3）现场观察的方法。

2、内部审核的方式

（1）按部门进行；

（2）按要素进行。

3、内部审核的技巧

（1）少讲、多看、多听、多问；

（2）选择正确的对象提问；

（3）正确地提出问题，注意提问的技巧；

（4）封闭式问题和开放式问题相结合；

（5）提问与观察相结合；

（6）要学会联想和追溯；

（7）创造一个良好的审核气氛。

4、内部审核时要注意的问题

（1）内审和外审一样，不是专门找岔子，是寻找符合的证据；

（2）作审核记录时不符合的要记录下来，符合的情况也应该记录下来；

（3）审核时各抽样的方式

5、审核中发现不符合的原因

（1）文件不符合标准和法规等(符合性)；

（2）没有按文件执行(实施性)；

（3）实施过程或具体工作没有效果(有效性)。

6、不符合项的三种类型

（1）严重不符合项

（2）一般不符合项

（3）观察项

7、编写审核报告

（1）审核的目的和范围;

（2）审核组成人员和受审部门及其负责人;

（3）审核日期;

（4）审核所依据的文件;

（5）不合格项的观察结果;

（6）体系运行有效性的结论性意见;

（7）审核报告的分发清单。

8、审核员的要求和职责

（1）正直诚实；

（2）客观公正；

（3）尊重对方；

（4）冷静坚毅(不是固执)；

（5）反应迅速；

（6）丰富的联想力；

（7）准确的判断力；

（8）灵活的把握尺度。