信息安全管理體系

ISO 27001內部審核員課程

課程日期&地點：

‘2014年10月27~28日                   北京

‘2014年10月9~10日            重慶

‘2014年11月24~25日                   上海

‘2014年11月20~21日                   青島

‘2014年12月29~30日                   深圳

課時  2天

費用  人民幣3,710元/人（含6%發票稅點，教材、證書、午餐、茶點等費用）

課程說明    

ISO/IEC 27001是信息安全管理體系標準系列，ISO/IEC 27001是用于認證審核的信息安全管理體系要求，而ISO 27002是信息安全管理實踐指南。

目前越來越多的國家已經將ISO 27001采納為國家標準。截止2007年9月已經有超過4000家組織通過了ISO 27001的認證審核，獲得了信息安全管理體系認證證書。

內部審核是管理體系成功運作的必須項，也是尋求內部改進的驅動因素，擔負著內部審核責任的人士，需要一套系統化的方法來策劃和執行有效的內部審核。本課程正是基于此目的而設立。

課程目標   

l   理解ISO/IEC 27001/17799對組織的意義

l   熟悉ISO 27001標準要求，包括管理體系的PDCA和控制措施

l   掌握信息安全管理體系審核的策劃、執行、報告和關閉審核發現點

l   了解如何進行有效的溝通和訪談

課程教授方法

l   基本理念和要求講解；

l   企業實際案例分析

l   小組討論

課程對象

l   組織中將要執行內審的人士

l   IT經理、系統經理、IT安全經理

l   其他想把信息安全管理體系引入組織的人員

課程大綱

第一部分：ISO27001：2005信息安全概述、標準條款講解

 ◆ 信息安全概述：信息及信息安全，CIA目標，信息安全需求來源，信息安全管理。

 ◆ 風險評估與管理：風險管理要素，過程，定量與定性風險評估方法，風險消減。

 ◆ ISO/IEC 27001簡介：ISO27001標準發展歷史、現狀和主要內容，ISO27001標準認證。

 ◆ 信息安全管理實施細則：從十個方面介紹ISO27001的各項控制目標和控制措施。

 ◆ 信息安全管理體系規范：ISO/IEC27001-2005標準要求內容，PDCA管理模型，ISMS建設方法和過程。

 第二部分：ISO27001：2005信息安全管理體系文件建立（ISO27001與ISO9001、ISO14001管理體系如何整合）

◆ ISO27001與ISO9001、ISO14001的異同

◆ ISO27001與ISO9001、ISO14001可以共用的程序文件和三級文件

◆ 如何將三體系整合降低公司的體系運行成本

◆ ISO9001、ISO14001、ISO27001體系三合一整合案例分析

 第三部分：信息安全管理體系內部審核技巧和認證應對案例分析

◆ ISO27001：2005標準對內審員的新要求

◆ 信息安全管理體系認證現場審核的流程、技巧及溝通方法

◆ 如何應對認證公司的認證審核、監督審核、案例分析

◆ 考試 （1個小時），老師會現場發試卷。

講師介紹

姓名:楊老師

中企聯 高級講師

【講師特色】：理論與實際緊密結合，深入淺出地引導學員

【講師資質】

√  國際業務連續性協會(BCI)會員資格(MBCI  No.018164)            √  EXIN注冊講師/ISO 20000 Foundation

√  Prince2 Foundation/Practitioner                                          √  itSMF ISO 20000審核員

√  ISACA CRISC (Certified in Risk and Information System Control)

√  ISACA CISA (Certified Information System  Auditor)         √ ISACA COBIT foundation

√  IRCA ISO 27001主任審核員                                      √  IRCA/CCAA ISO 9001主任審核員     

√  標準化工程師                                                                             √  注冊信息安全專業人員（CISP）

√  ITIL v3 Foundation                                                                  √  計算機系統集成項目經理

√  2011年BSI全球優秀講師

【講師介紹】

      楊老師曾在某大型國有企業擔任項目工程師、項目經理，在專業信息安全公司歷任高級研發工程師、研發經理、高級信息安全顧問、戰略市場經理等職務。管理、參與實施多項信息安全、IT服務系統集成、管理體系建立項目，以及多項國家級重點科研項目。有豐富的管理經驗、實施方法和實操案例。在管理體系建設及運作、客戶溝通、業務流程和績效改進等方面具有豐富的實戰和培訓經驗。具有多年IT工作經驗及十余年信息安全/IT服務技術、管理、咨詢經驗，參加多項國家863信息安全、IT服務專項系統的開發，在專業刊物發表多篇技術論文。

【授課特點】

      楊老師的授課特點強調理論與實踐相結合，深入淺出地引導學員理解，尤其在信息安全、IT管理技術和審計研究方面具有扎實的基礎；能夠結合實際案例進行分析，提高學員的信息安全、IT管理和審計意識與實戰能力。

【論文/著作】

1.《信息安全風險評估——探索與實踐》（2005年出版）

2.“風險評估定量與定性的分析方法”（2004年中國計算機安全論壇年會論文集）

3. “安全策略在主動防御中的應用”（2004年12期《信息安全與通信保密》）

4. “數據融合技術在信息系統安全檢測與分析中的應用”（2005年11期《信息網絡安全》）

5. “異構環境下安全數據交換技術初探”（2006年1期《信息網絡安全》）

“基于自動推選機制的智能代理技術”（2006年11期《信息網絡安全》）