77869288
ISO 27001 LA 信息安全管理體系主任審核師
課程大綱
認證須知
開課計劃
學習QQ群
常見問題
信息安全在企業風險管理ERM中極為重要,強調對一個組織運行所必需的IT系統和信息的保密性、完整性、可用性的保護,提高投資回報率,降低由信息安全事故造成的損失及業務中斷的風險。ISO27001體系自國際標準化組織頒布為國際標準ISO 27001:2005,成為“信息安全管理”之國際通用語言,于2013年9月27日更新改版為ISO27001: 2013,與ISO 9000和ISO 20000結合更加緊密。ISO27001已被全球一萬八千多家政府機構和知名企業所采用。其方法是通過“風險評估”、“風險管理”切入企業的信息安全需求,有效降低企業面臨的風險。在ISO27001:2005中有11個領域133個控制點,而在ISO27001:2013中有14個領域114個控制點(刪除了舊版中39個控制點,新增了20個控制點)。建立信息安全管理體系(ISMS)已成為各種組織,特別是高科技產業、金融機構等管理運營風險不可缺少的重要機制。在某些行業,如軟件外包,ISO27001認證已經成為客戶要求必備條件。
IRCA:International Register of Certificated Auditors.國際注冊審計師協會,為獨立的國際組織,總部設在英國,管理著世界范圍內120國家的超過13500名審計師,提供審計師注冊。
IRCA是獨立機構,若得到IRCA認可,那就意味著個人不只是某個審核機構或單位的審核員,還是IRCA國際認可的審核員,受到所有審核機構和審核單位的認可,價值更高。個人成為IRCA注冊審核員需要參加IRCA認可的培訓課程并積累審核經驗:這個審核經驗可以是第二方,也可以是第三方的審核經驗。
課程價值
為組織帶來價值:
培養組織合格的審計工作者
科學評估組織信息資產,提高安全工作效率,為組織商業運作提供更有效的服務;
保護信息不受各種威脅,建立縝密的災難恢復計劃,確保業務連續性和減少業務損失;
評估與安全相關的管理政策、程序、實務,形成“信息安全、人人有責”的企業文化;
表征組織信息安全管理能力,做好注冊準備工作,獲得客戶充分信任。
個人收益:
深入理解ISO27001\ISO27002等相關條文;
掌握建立和實施ISMS的過程和方法;
掌握審核和監控ISMS的知識和技巧;
獲得IRCA認可的ISO27001LA證書;
加入SITC校友圈,優先參與校友活動。
課程內容
本課程是ISO 27001 ISMS主任審核員課程,采用講師授課、案例作業、情景模擬、課堂討論多種方式結合教學,能夠幫助學員理解ISO27001的要求,掌握建立ISMS信息安全管理體系的步驟及審核和監控ISMS的知識和技巧。
第一天
簡報: 介紹/信息安全管理系統概要 / ISO/IEC 27001管理議題
小組討論: ISMS (ISO/IEC 27001) 架構
簡報: 信息安全管理系統之控制措施
小組討論: ISO/IEC 27001 管理系統條文的意圖
ISO/IEC 27001 控制措施 / 檔要求
第二天
簡報: 風險管理. / 稽核類別與層次
小組討論: 風險鑒別、評鑒與管理
簡報: 稽核規劃與第一階段稽核/稽核計劃
小組討論: 稽核規劃、稽核小組組成、檔審查、稽核計劃
第三天
簡報: 稽核查檢表與提問 / 過程與過程稽核
小組討論: 稽核查檢表
簡報: 第二階段稽核概述 /會議
小組討論: 過程與過程稽核 / 準備起始會議 / 執行起始會議
第四天
簡報: 收集信息與稽核技巧
小組討論: 準備現場稽核/執行稽核
簡報: 稽核發現點與不符合報告 / 撰寫不符合報告
小組討論: 稽核發現點分級 / 撰寫不符合報告
第五天
簡報: 準備稽核總結與閉幕會議
小組討論: 稽核審查、小組會議與準備閉幕會議/執行閉幕會議
簡報: 稽核報告與矯正 /預防行動 / 信息安全管理系統驗證稽核
最終討論與重點回顧
筆試: ISMS 主導稽核員筆試
考試形式
時間:2小時
題型:選擇題、判斷題、問答題
通過:30%平時成績,70%筆試成績,兩部分分別通過則通過考試
獲得證書
參加培訓者通過考試后將IRCA認可的ISO27001 Lead Auditor證書
1. ISO 27001最新版是什么?
在ISO 27001: 2005發布8年后,最新的ISO 27001: 2013正式版于2013年9月25日發布。
2. ISO 27001:2013相對于ISO 27001: 2005的主要變化?
ISO 27001:2013相對于ISO 27001: 2005從結構到細節都有很多變化,兼容性和靈活性都有所增強,比較引人注目的包括如下幾點:
a.篇章結構: 在篇章結構上與ISO管理體系標準模板Annex SL (previously ISO Guide 83) 保持一致,在風險管理原則上與ISO31000風險管理標準保持一致。這樣在實踐上與ISO9000, ISO20000,ISO22301等標準體系更容易集成整合。
0 Introduction
1 Scope
2 Normative references
3 Terms and definitions
4 Context of the organization
5 Leadership
6 Planning
7 Support
8 Operation
9 Performance evaluation
10 Improvement
b. 域和控制項:從2005版11個域133個控制項優化調整為14個域114個控制項。使用的控制項根據風險處置流程來確定,不在要求一定從附錄A中選。附錄A羅列的114個控制項的意義在提供cross-check 確保不遺漏必要的控制措施。
c. 風險評估和處置方法論:資產、脆弱點和威脅(Assets, vulnerabilities and threats)不再要求為風險評估的基礎。無論哪種風險識別方法,只要能識別風險相關的 CIA(confidentiality, integrity and availability)。asset owner 被“risk owners” 概念取代,責任相應上移。
d. 持續改進方法論:可以使用PDCA之外的方法論
3. ISO27001體系的核心理念是什么?
通過“風險評估”、“風險管理”切入企業的信息安全需求,經由完整的控制方法選擇及落實,有效降低企業面臨的風險。
4. 企業通過ISO27001信息安全管理體系認證情況如何?
ISO 27001:2005發布后,短短三年時間里全球已經有5000家企事業單位通過審核獲得認證。從統計數字來看,這一數字還在迅速增加。到了2013年,更是有18000家左右取得ISO27001:2005認證。
5. 經常看到媒體報道某組織通過ISO27001國際信息系統安全體系,這代表什么?
代表組織在信息安全管理運行方面符合國際標準ISO 27001的規定,有完善的體系可以持續改進,在同行處于領先地位。
6. 學習實施ISO27001的原因?
合規要求 客戶要求 自身進步需求。
7. 經常看到業內專家的名片印有ISO 27001 LA主任審核師代表什么?
ISO 27001 LA即ISO 27001 Lead Auditor,是ISO 27001主任審核員,是基于ISO 27001標準的一種資質注冊,是信息安全管理體系領域最高級別的個人資質,表明持有人ISO 27001信息安全管理體系標準的理解程度以及審核能力達到國際公認的水準。目前,越來越多的審核員、信息安全專家、咨詢顧問以及企業IT人員取得了權威的ISO 27001 LA資質注冊。
8. 哪些人員適合進行ISO 27001的培訓及學習?
信息部門負責人、系統管理員、信息安全管理體系(ISMS)的負責人、IT中高級經理、IT審計主管、信息安全專家、安全服務咨詢顧問等。
9. ISO 27001 LA主任審核師考試難易程度如何?
ISO 27001 LA注冊考試成績由兩部分組成,平時成績和筆試成績。其中平時成績占總成績的30%,根據學員的出勤、作業完成情況、小組討論表現等,由老師給出。筆試成績占總成績的70%,筆試由選擇題,辨析題和問答題組成。
ISO 27001是一套管理體系,強調的是管理的方法,因此,學習過程中,理解標準含義及實施、審核方法非常重要。5天學習過程中,保證出勤,確保復習及完成作業,積極參與課堂討論,一定能夠取得較好的成績。
10. ISO 27001 LA主任審核師證書的含金量如何?
ISO 27001 LA證書在全球范圍內均可得到認可。
11. 擁有ISO27001 LA證書就可以當審計員么?
擁有證書即可注冊為審計員最低級別見習審計員,需要40小時實習審計,并獲得一定經驗才可以成為正式審計員。對于有實際審核經驗者可晉升初階審核員 主任審核員 直至首席審核員 參考IRCA802文件。
