ISO/IEC 27001:2013管理体系标准及内审员

推荐

【课程纲要】

一、信息安全管理的重要性

0、引子：信息安全管理问题的讨论

1、什么是信息

2、企业信息安全管理关注的信息类型

3、什么是信息安全？

Ø  信息安全面临的威胁

Ø  我国网络信息安全入侵事件态势严竣          

Ø  “重要信息系统”安全态势与深层隐患

Ø  企业重大泄密事件屡屡发生

Ø  敏感信息遭受篡改也会导致恶劣后果

Ø  破坏导致系统瘫痪后果非常严重

Ø  信息安全的发展历史     

4、信息安全基本目标CIA          

5、从什么方面考虑信息安全？           

6、信息安全保障工作要点           

7、常规的信息安全技术措施

Ø  信息安全技术领域

Ø  信息网络安全域纵深防御框架

Ø  主流的信息安全产品

Ø  信息安全基础设施的支撑

8、信息安全理念上的误区

Ø  企业在信息安全管理上面临的困惑

Ø  通常的信息安全建设方法

二、信息安全风险管理

1、ISMS信息安全管理概念

与风险管理相关的概念

2、基于风险分析的安全管理方法

3、 ISMS必须明确的内容

4、信息风险评估流程

5、风险管理过程的 5 个步骤

6、风险管理要素关系图

7、风险评估和管理的目标

8、信息安全体系结构

9、信息安全防护手段

Ø  边界防护

Ø  区域防护

Ø  节点防护

Ø  核心防护

10、风险分析流程

Ø  风险评估原理图

Ø  风险评估基本公式

Ø  风险评估准备

Ø  风险因素识别

Ø  风险程度分析

Ø  风险等级评价

10、风险评估实施十一步

Ø 风险分析  STEP1、资产识别

Ø 风险分析  STEP2、初评重要信息资产

Ø 风险分析  STEP3、识别威胁

Ø 风险分析  STEP4、评价薄弱点

Ø 风险分析  STEP5、已有安全控制的识别

Ø 风险分析  STEP6、可能性评价

Ø 风险分析  STEP7、后果评价

Ø 风险分析  STEP8、风险评价及风险等级的确定

Ø 风险分析  STEP9、控制措施选择

Ø 风险分析  STEP10、残余风险评价

Ø 风险分析  STEP11、残余风险批准

12、威胁的识别与评价

Ø 威胁例子

Ø 威胁发生的可能性分析

Ø 影响威胁发生的可能性的因素

Ø 评价威胁分级标准

Ø 脆弱性识别与评价

Ø 典型薄弱点

Ø 薄弱点例子

Ø 有关实物和环境安全方面的薄弱点

Ø 可能性评价

Ø 后果评价

Ø 风险评价及风险等级的确定

Ø 控制措施选择

Ø 残余风险的评估

13、风险处置

14、 风险评估案例与实操

三、构建ISO27001信息安全管理体系

1、 ISO 27000标准族

2、 ISO 27001标准发展历史

3、 信息安全管理体系基本要素

4、ISMS信息安全管理体系框架

5、信息安全组织和相关标准

6、信息安全保障体系建设的目标

7、信息安全的管理模型 —— PDCA

8、信息安全体系建设

Ø  4、組織環境

Ø  信息安全与法规融入

Ø  组织环境识别和评价的例子

Ø  5、領導

Ø  信息安全相关人员的职责

Ø  信息安全方针和承诺举例

Ø  6、規劃

Ø  例子：资产评估表

Ø  例子：风险评价举例表

Ø  信息安全风险处置

Ø  信息安全目标

Ø  7、支持

Ø  能力和意识的要求

Ø  文件化信息的控制

Ø  8、運行

Ø  安全风险的控制

Ø  安全风险的处置

Ø  9、績效評价

Ø  监视和测量

Ø  10、改善

9、 信息安全管理体系建立与运行

10、 信息安全管理体系内部审核

11、 信息安全管理体系有效性测量

12、 信息安全管理体系管理评审

四、生产系统信息安全管理

1、MRPII、ERP、MES信息化生产管理系统

2、生产日常信息化管理

3、信息的保密与安全

4、如何建立信息化销售生产信息平台

5、信息化工厂实例

6、信息中心

7、数据录入与查询权限

8、信息的共享

9、信息的及时更新与处理

10、网上OA权限