培训目的
Ø 理解信息安全管理体系的知识域;
Ø 理解ISO27001标准的演变背景、在知识域中的作用;
Ø 理解ISO27001:2013版较2005版的详细差异;
Ø 掌握信息安全风险评估的基本技能和简单技巧。
Ø 理解内审的关注点和技术,运用简单工具进行有效内审。
培训内容
Ø ISO31000风险管理的基本概念
Ø ISO27001基本原理和内容概述
Ø 新版变更和新增的概念
Ø 实施新版标准的指导思想
Ø 领导在新版标准中的作用
Ø 信息安全绩效度量的办法
Ø 信息安全内审的特点和技巧
建议参加培训的人员
Ø 信息系统运维、开发工程师
Ø 技术档案管理员\配置管理员
Ø 分管招聘和培训的人力资源专员
Ø 管理体系领导小组成员及内审员
Ø 专利、知识产权工程师
Ø 技术研发团队负责人及项目经理
Ø 管理门禁、消防等物理资产工程师
Ø 核心生产部门it协管员\配置管理员
培训大纲:
第一天
时间
内容简介
目的
形式
讨论与练习
上午
9:00-12:00
1、介绍近期发生的重大信息安全事故(如:斯洛登事件)
2、回顾身边发生的信息安全事件(包括工作与生活中)
1、提高内审员对信息安全管理的兴趣
2、理解信息安全的C\I\A三性
授课/分组讨论
小组讨论:
身边的信息安全事件的C\I\A三性
下午
13:00-16:00
1、信息安全知识体、知识域、知识子集
2、信息安全标准体系框架
3、信息安全标准、信息安全管理体系标准的发展
1、理解信息安全管理体系在信息安全过程中的作用
2、扩大内审员的知识域
3、理解信息安全技术与信息安全管理的差异与相互作用关系
授课/小组讨论、集体汇总分析
目前组织都使用了哪些信息安全技术
第二天
1、讲解ISO27001:2013版的变更概要。
2、对照ISO27001:2005版,逐条讲解2013版标准的正文。
3、熟悉新版的名词解释。
4、简要讲解ISO31000风险管理的风险评估技巧
5、讲解ISO27001:2013版的对绩效度量的要求
1、内审员理解新版ISMS的正文内容及变更思路
2、掌握风险评估办法
授课/分组练习
小组练习:
风险评估过程\风险评估报告
第三天
1、对照ISO27001:2005版,讲解2013版标准的附录A
2、讲解ISO27001:2013版的附录新增的12条条款
1、理解适用性声明SOA在管理过程中的作用
2、理解附录的域维调整
授课/小组讨论
组织SOA的删减及删减的合理性
1、讲解适宜于信息安全的内审技巧和基本方法
2、回顾3天的授课内容;讲解内审员考试的基本要点
1、掌握内审方法和技巧
2、掌握目标度量的要求和采用的度量办法
3、熟练持续改善的过程方法
4、对3天的培训绩效做出度量
授课/分组练习、案例讨论
分组练习:
1、编写内审计划或方案
2、编写内审检查表
3、小组讨论:
案例分析题
4、内审员考试(1小时)
