0x00 背景說明
自2005年國際標準化組織(簡稱:ISO)將BS 7799轉化爲ISO 27001:2005發佈出來,在國際上獲得了空前的認可,相當數量的組織採納並進行了信息安全管理體系的認證。近幾年,IT領域和通信行業發生了非常大的變革,大數據進入商業應用、移動互聯網蓬勃興起、智能終端的廣泛採用、雲計算技術的風起雲涌,信息安全風險也發生了深刻的變化。
爲了應對新趨勢和新要求,ISO於2013年發佈了新版ISO 27001:2013信息安全管理體系 (Information Security Management Systems)標準,新版標準在ISO27001:2005的基礎上做了大量的更新,充分反映了當前信息安全管理領域的巨大變化和新的信息安全風險的處置要求。
內部審覈是管理體系成功運作的必須項,也是尋求內部改進的重要驅動因素,擔負着內部審覈責任的人士,需要一套系統化的方法來策劃和執行有效的內部審覈。同時,內審團隊也肩負着組織內按照標準新要求進行體系提升的職責。本課程正是基於此目的而設立。
0x01 課程目標
l 理解信息安全管理體系標準的新版要求
l 理解新版信息安全管理體系標準的內審要求
l 瞭解信息安全管理體系認證轉換的安排和要求
0x02 課程對象
l IT經理、信息安全負責人
l 組織中執行信息安全管理體系內審及IT審計人士
l 信息安全管理領域專業從業人士
0x03 課程大綱
l ISO 27001:2013新版進展
l 新版信息安全管理體系標準架構
l 新版信息安全管理體系關鍵內容
l 掌握信息安全管理體系審覈的策劃、執行、報告和關閉過程
l 認證相關要求
0x04 上課安排
第一天 時間安排
9:00 ~ 9:40 課程介紹
9:40 ~11:00 信息安全管理體系-是什麼和爲什麼
11:00~12:00 信息風險管理過程
12:00~13:30 午餐
13:30~14:30 ISO 27001:2013 目標和要求
14:30~15:30 ISO 27001: 2013 控制目標和控制措施
15:30~17:30 什麼是審覈和爲什麼要審覈
=====================第一天結束==============================
第二天 時間安排
9:00~9:30 第一天學習及練習回顧
9:30~11:00 計劃審覈&審核計劃練習
11:00~12:00 執行審覈
12:00~13:30 午餐
13:30~15:15 執行審覈-繼續
15: 15~17:00 報告,溝通和追蹤
17:00~17:30 考試
=====================第二天結束==============================
0x05 參考資料
1 ISO/IEC27000信息安全管理體系概述和詞彙 2016
ISO/IEC27000:2009被等同採用爲GB/T29246—2012,具體信息爲:GB/T29246—2012/ISO/IEC27000:2009《信息技術安全技術信息安全管理體系概述和詞彙》
2 ISO/IEC27001信息安全管理體系要求 2013
ISO/IEC27001被等同採用爲國家標準:GB/T22080—2016/ISO/IEC27001:2013《信息技術安全技術信息安全管理體系要求》
3 ISO/IEC27002信息安全控制實踐指南 2013
ISO/IEC27002被等同採用爲國家標準:GB/T22081—2016/ISO/IEC27002:2013《信息技術安全技術信息安全控制實踐指南》
4 ISO/IEC27003信息安全管理體系實施指南 2017
ISO/IEC27003主要是描述如何在組織內實施ISO/IEC27001,於2017年3月1日發布第二版的ISO/IEC 27003取消並取代第二版(ISO/IEC27003:2010),這是一個較小的修訂。
5 ISO/IEC27004信息安全管理測量 2016
ISO/IEC27004是提供了信息安全管理測量的方法,當然,主要是針對ISO/IEC27001,最新版本爲:ISO/IEC27004:2009Informationtechnology—Securitytechniques—Informationsecuritymanagement—Measurement(《信息技術安全技術信息安全管理測量》)尚無國家標準與之對應。
6 ISO/IEC27005信息安全風險管理 2011
ISO/IEC27005是專門討論信息安全風險管理的,基本與通用的風險管理標準ISO31000保持了一致。現在的版本是第2版且被等同採用爲GB/T31722—2015
7ISO/IEC27006認證機構要求
8 ISO/IEC27007通用的審覈
9ISO/IECTR27008控制措施審覈
0x06 資料下載
https://github.com/ym2011/SecurityManagement/tree/master/ISO27001歡迎大家分享更好的思路,熱切期待^^_^^ !