你的位置: 首页 > 内训课首页 > 其它 > 课程详情
课程介绍 评价详情(0)
课程大纲
第一单元 ISO27001:2013信息安全管理体系介绍
ISO27001发展的过程、产生背景及发展历程
认证与应用、规范要求结构
策划-实施-检查-改进循环
基于风险的思维
信息安全法律法规
典型的信息安全大事件
信息安全技术应用情况
信息安全的重要性
信息安全框架
信息安全体系搭建的思路方法
第二单元ISO27001:2013信息安全管理体系标准的要求与理解
组织环境——
理解组织及其环境
理解相关方的需求和期望
确定信息安全管理体系的范围
信息安全管理体系
--结合案例,讲解--思考或练习
领导作用——
领导作用和承诺;方针;组织的岗位、职责和权限
策划——
风险和机遇和应对措施
信息安全目标及其实现的计划
支持——
资源、能力、意识、沟通
形成文件的信息
运行——
运行的策划和控制
信息安全风险评估
信息安全风险处置
绩效评价——
监视、测量、分析和评价
内部审核
管理评审
持续改进——
不合格和纠正措施
持续改进
第三单元ISO27001:2013附录A的要求与理解
(A.5-A.8)A.5 安全方针
A.6 信息安全组织
A.7 人力资源安全
A.8 资产管理
--结合案例,讲解落地方法--思考或练习
A.9 访问控制
A.10 密码学
A.11 物理和环境安全--针对企业实际情况,主要讲解落地方法
--思考或练习
A.12 操作安全
A.13 通信安全
A.14 系统获取,开发和维护--结合案例,讲解落地方法
A.15 供应关系
A.16 信息安全事件管理
A.17 信息安全方面的业务连续性管理
A.18 符合性--结合案例,讲解落地方法
第四单元 资产及风险开展的思路及方法
- 风险管理概述与基本概念;
- 信息资产分类与分级;
- 风险识别、风险分析;
- 风险评价、风险处置;
- 风险评估案例与实操;
结合案例及研讨,讲解落地方法
第五单元ISO27001:2013内部审核方法与技巧
——以小组研讨方式进行
1、内部审核的方法
(1)提问和交谈的方法;
(2)查阅文件和记录的方法;
(3)现场观察的方法。
2、内部审核的方式
(1)按部门进行;
(2)按要素进行。
3、内部审核的技巧
(1)少讲、多看、多听、多问;
(2)选择正确的对象提问;
(3)正确地提出问题,注意提问的技巧;
(4)封闭式问题和开放式问题相结合;
(5)提问与观察相结合;
(6)要学会联想和追溯;
(7)创造一个良好的审核气氛。
4、内部审核时要注意的问题
(1)内审和外审一样,不是专门找岔子,是寻找符合的证据;
(2)作审核记录时不符合的要记录下来,符合的情况也应该记录下来;
(3)审核时各抽样的方式
5、审核中发现不符合的原因
(1)文件不符合标准和法规等(符合性);
(2)没有按文件执行(实施性);
(3)实施过程或具体工作没有效果(有效性)。
6、不符合项的三种类型
(1)严重不符合项
(2)一般不符合项
(3)观察项
7、编写审核报告
(1)审核的目的和范围;
(2)审核组成人员和受审部门及其负责人;
(3)审核日期;
(4)审核所依据的文件;
(5)不合格项的观察结果;
(6)体系运行有效性的结论性意见;
(7)审核报告的分发清单。
8、审核员的要求和职责
(1)正直诚实;
(2)客观公正;
(3)尊重对方;
(4)冷静坚毅(不是固执);
(5)反应迅速;
(6)丰富的联想力;
(7)准确的判断力;
(8)灵活的把握尺度。
本课程名称: ISO27001信息安全+内审员培训
查看更多:其它内训课
我要找内训供应商
授课内容与课纲相符0低0%
讲师授课水平0低0%
服务态度0低0%
课程介绍 评价详情(0)
课程收益:
◆通过培训学员掌握ISO27001审核的方法和技巧。
◆掌握ISO27001:2013新版标准要求在体系推行过程中的应用方法和技巧
课程大纲
课程大纲
第一单元 ISO27001:2013信息安全管理体系介绍
ISO27001发展的过程、产生背景及发展历程
认证与应用、规范要求结构
策划-实施-检查-改进循环
基于风险的思维
信息安全法律法规
典型的信息安全大事件
信息安全技术应用情况
信息安全的重要性
信息安全框架
信息安全体系搭建的思路方法
第二单元ISO27001:2013信息安全管理体系标准的要求与理解
组织环境——
理解组织及其环境
理解相关方的需求和期望
确定信息安全管理体系的范围
信息安全管理体系
--结合案例,讲解--思考或练习
领导作用——
领导作用和承诺;方针;组织的岗位、职责和权限
--结合案例,讲解--思考或练习
策划——
风险和机遇和应对措施
信息安全目标及其实现的计划
--结合案例,讲解--思考或练习
支持——
资源、能力、意识、沟通
形成文件的信息
--结合案例,讲解--思考或练习
运行——
运行的策划和控制
信息安全风险评估
信息安全风险处置
--结合案例,讲解--思考或练习
绩效评价——
监视、测量、分析和评价
--结合案例,讲解--思考或练习
内部审核
管理评审
--结合案例,讲解--思考或练习
持续改进——
不合格和纠正措施
持续改进
--结合案例,讲解--思考或练习
第三单元ISO27001:2013附录A的要求与理解
(A.5-A.8)A.5 安全方针
A.6 信息安全组织
A.7 人力资源安全
A.8 资产管理
--结合案例,讲解落地方法--思考或练习
A.9 访问控制
A.10 密码学
A.11 物理和环境安全--针对企业实际情况,主要讲解落地方法
--思考或练习
A.12 操作安全
A.13 通信安全
A.14 系统获取,开发和维护--结合案例,讲解落地方法
--思考或练习
A.15 供应关系
A.16 信息安全事件管理
A.17 信息安全方面的业务连续性管理
A.18 符合性--结合案例,讲解落地方法
--思考或练习
第四单元 资产及风险开展的思路及方法
- 风险管理概述与基本概念;
- 信息资产分类与分级;
- 风险识别、风险分析;
- 风险评价、风险处置;
- 风险评估案例与实操;
结合案例及研讨,讲解落地方法
第五单元ISO27001:2013内部审核方法与技巧
——以小组研讨方式进行
1、内部审核的方法
(1)提问和交谈的方法;
(2)查阅文件和记录的方法;
(3)现场观察的方法。
2、内部审核的方式
(1)按部门进行;
(2)按要素进行。
3、内部审核的技巧
(1)少讲、多看、多听、多问;
(2)选择正确的对象提问;
(3)正确地提出问题,注意提问的技巧;
(4)封闭式问题和开放式问题相结合;
(5)提问与观察相结合;
(6)要学会联想和追溯;
(7)创造一个良好的审核气氛。
4、内部审核时要注意的问题
(1)内审和外审一样,不是专门找岔子,是寻找符合的证据;
(2)作审核记录时不符合的要记录下来,符合的情况也应该记录下来;
(3)审核时各抽样的方式
5、审核中发现不符合的原因
(1)文件不符合标准和法规等(符合性);
(2)没有按文件执行(实施性);
(3)实施过程或具体工作没有效果(有效性)。
6、不符合项的三种类型
(1)严重不符合项
(2)一般不符合项
(3)观察项
7、编写审核报告
(1)审核的目的和范围;
(2)审核组成人员和受审部门及其负责人;
(3)审核日期;
(4)审核所依据的文件;
(5)不合格项的观察结果;
(6)体系运行有效性的结论性意见;
(7)审核报告的分发清单。
8、审核员的要求和职责
(1)正直诚实;
(2)客观公正;
(3)尊重对方;
(4)冷静坚毅(不是固执);
(5)反应迅速;
(6)丰富的联想力;
(7)准确的判断力;
(8)灵活的把握尺度。
本课程名称: ISO27001信息安全+内审员培训
查看更多:其它内训课