ISO 27001 LA 信息安全管理体系主任审核师
课程大纲
认证须知
开课计划
学习QQ群
常见问题
信息安全在企业风险管理ERM中极为重要,强调对一个组织运行所必需的IT系统和信息的保密性、完整性、可用性的保护,提高投资回报率,降低由信息安全事故造成的损失及业务中断的风险。ISO27001体系自国际标准化组织颁布为国际标准ISO 27001:2005,成为“信息安全管理”之国际通用语言,于2013年9月27日更新改版为ISO27001: 2013,与ISO 9000和ISO 20000结合更加紧密。ISO27001已被全球一万八千多家政府机构和知名企业所采用。其方法是通过“风险评估”、“风险管理”切入企业的信息安全需求,有效降低企业面临的风险。在ISO27001:2005中有11个领域133个控制点,而在ISO27001:2013中有14个领域114个控制点(删除了旧版中39个控制点,新增了20个控制点)。建立信息安全管理体系(ISMS)已成为各种组织,特别是高科技产业、金融机构等管理运营风险不可缺少的重要机制。在某些行业,如软件外包,ISO27001认证已经成为客户要求必备条件。
IRCA:International Register of Certificated Auditors.国际注册审计师协会,为独立的国际组织,总部设在英国,管理着世界范围内120国家的超过13500名审计师,提供审计师注册。
IRCA是独立机构,若得到IRCA认可,那就意味着个人不只是某个审核机构或单位的审核员,还是IRCA国际认可的审核员,受到所有审核机构和审核单位的认可,价值更高。个人成为IRCA注册审核员需要参加IRCA认可的培训课程并积累审核经验:这个审核经验可以是第二方,也可以是第三方的审核经验。
课程价值
为组织带来价值:
培养组织合格的审计工作者
科学评估组织信息资产,提高安全工作效率,为组织商业运作提供更有效的服务;
保护信息不受各种威胁,建立缜密的灾难恢复计划,确保业务连续性和减少业务损失;
评估与安全相关的管理政策、程序、实务,形成“信息安全、人人有责”的企业文化;
表征组织信息安全管理能力,做好注册准备工作,获得客户充分信任。
个人收益:
深入理解ISO27001\ISO27002等相关条文;
掌握建立和实施ISMS的过程和方法;
掌握审核和监控ISMS的知识和技巧;
获得IRCA认可的ISO27001LA证书;
加入SITC校友圈,优先参与校友活动。
课程内容
本课程是ISO 27001 ISMS主任审核员课程,采用讲师授课、案例作业、情景模拟、课堂讨论多种方式结合教学,能够帮助学员理解ISO27001的要求,掌握建立ISMS信息安全管理体系的步骤及审核和监控ISMS的知识和技巧。
第一天
简报: 介绍/信息安全管理系统概要 / ISO/IEC 27001管理议题
小组讨论: ISMS (ISO/IEC 27001) 架构
简报: 信息安全管理系统之控制措施
小组讨论: ISO/IEC 27001 管理系统条文的意图
ISO/IEC 27001 控制措施 / 檔要求
第二天
简报: 风险管理. / 稽核类别与层次
小组讨论: 风险鉴别、评鉴与管理
简报: 稽核规划与第一阶段稽核/稽核计划
小组讨论: 稽核规划、稽核小组组成、档审查、稽核计划
第三天
简报: 稽核查检表与提问 / 过程与过程稽核
小组讨论: 稽核查检表
简报: 第二阶段稽核概述 /会议
小组讨论: 过程与过程稽核 / 准备起始会议 / 执行起始会议
第四天
简报: 收集信息与稽核技巧
小组讨论: 准备现场稽核/执行稽核
简报: 稽核发现点与不符合报告 / 撰写不符合报告
小组讨论: 稽核发现点分级 / 撰写不符合报告
第五天
简报: 准备稽核总结与闭幕会议
小组讨论: 稽核审查、小组会议与准备闭幕会议/执行闭幕会议
简报: 稽核报告与矫正 /预防行动 / 信息安全管理系统验证稽核
最终讨论与重点回顾
笔试: ISMS 主导稽核员笔试
考试形式
时间:2小时
题型:选择题、判断题、问答题
通过:30%平时成绩,70%笔试成绩,两部分分别通过则通过考试
获得证书
参加培训者通过考试后将IRCA认可的ISO27001 Lead Auditor证书
1. ISO 27001最新版是什么?
在ISO 27001: 2005发布8年后,最新的ISO 27001: 2013正式版于2013年9月25日发布。
2. ISO 27001:2013相对于ISO 27001: 2005的主要变化?
ISO 27001:2013相对于ISO 27001: 2005从结构到细节都有很多变化,兼容性和灵活性都有所增强,比较引人注目的包括如下几点:
a.篇章结构: 在篇章结构上与ISO管理体系标准模板Annex SL (previously ISO Guide 83) 保持一致,在风险管理原则上与ISO31000风险管理标准保持一致。这样在实践上与ISO9000, ISO20000,ISO22301等标准体系更容易集成整合。
0 Introduction
1 Scope
2 Normative references
3 Terms and definitions
4 Context of the organization
5 Leadership
6 Planning
7 Support
8 Operation
9 Performance evaluation
10 Improvement
b. 域和控制项:从2005版11个域133个控制项优化调整为14个域114个控制项。使用的控制项根据风险处置流程来确定,不在要求一定从附录A中选。附录A罗列的114个控制项的意义在提供cross-check 确保不遗漏必要的控制措施。
c. 风险评估和处置方法论:资产、脆弱点和威胁(Assets, vulnerabilities and threats)不再要求为风险评估的基础。无论哪种风险识别方法,只要能识别风险相关的 CIA(confidentiality, integrity and availability)。asset owner 被“risk owners” 概念取代,责任相应上移。
d. 持续改进方法论:可以使用PDCA之外的方法论
3. ISO27001体系的核心理念是什么?
通过“风险评估”、“风险管理”切入企业的信息安全需求,经由完整的控制方法选择及落实,有效降低企业面临的风险。
4. 企业通过ISO27001信息安全管理体系认证情况如何?
ISO 27001:2005发布后,短短三年时间里全球已经有5000家企事业单位通过审核获得认证。从统计数字来看,这一数字还在迅速增加。到了2013年,更是有18000家左右取得ISO27001:2005认证。
5. 经常看到媒体报道某组织通过ISO27001国际信息系统安全体系,这代表什么?
代表组织在信息安全管理运行方面符合国际标准ISO 27001的规定,有完善的体系可以持续改进,在同行处于领先地位。
6. 学习实施ISO27001的原因?
合规要求 客户要求 自身进步需求。
7. 经常看到业内专家的名片印有ISO 27001 LA主任审核师代表什么?
ISO 27001 LA即ISO 27001 Lead Auditor,是ISO 27001主任审核员,是基于ISO 27001标准的一种资质注册,是信息安全管理体系领域最高级别的个人资质,表明持有人ISO 27001信息安全管理体系标准的理解程度以及审核能力达到国际公认的水准。目前,越来越多的审核员、信息安全专家、咨询顾问以及企业IT人员取得了权威的ISO 27001 LA资质注册。
8. 哪些人员适合进行ISO 27001的培训及学习?
信息部门负责人、系统管理员、信息安全管理体系(ISMS)的负责人、IT中高级经理、IT审计主管、信息安全专家、安全服务咨询顾问等。
9. ISO 27001 LA主任审核师考试难易程度如何?
ISO 27001 LA注册考试成绩由两部分组成,平时成绩和笔试成绩。其中平时成绩占总成绩的30%,根据学员的出勤、作业完成情况、小组讨论表现等,由老师给出。笔试成绩占总成绩的70%,笔试由选择题,辨析题和问答题组成。
ISO 27001是一套管理体系,强调的是管理的方法,因此,学习过程中,理解标准含义及实施、审核方法非常重要。5天学习过程中,保证出勤,确保复习及完成作业,积极参与课堂讨论,一定能够取得较好的成绩。
10. ISO 27001 LA主任审核师证书的含金量如何?
ISO 27001 LA证书在全球范围内均可得到认可。
11. 拥有ISO27001 LA证书就可以当审计员么?
拥有证书即可注册为审计员最低级别见习审计员,需要40小时实习审计,并获得一定经验才可以成为正式审计员。对于有实际审核经验者可晋升初阶审核员 主任审核员 直至首席审核员 参考IRCA802文件。