ISO27001 LA学习纪录

0x00 背景说明

  自2005年国际标准化组织(简称:ISO)将BS 7799转化为ISO 27001：2005发布出来，在国际上获得了空前的认可，相当数量的组织采纳并进行了信息安全管理体系的认证。近几年，IT领域和通信行业发生了非常大的变革，大数据进入商业应用、移动互联网蓬勃兴起、智能终端的广泛采用、云计算技术的风起云涌，信息安全风险也发生了深刻的变化。

为了应对新趋势和新要求，ISO于2013年发布了新版ISO 27001:2013信息安全管理体系 (Information Security Management Systems)标准，新版标准在ISO27001:2005的基础上做了大量的更新，充分反映了当前信息安全管理领域的巨大变化和新的信息安全风险的处置要求。

内部审核是管理体系成功运作的必须项，也是寻求内部改进的重要驱动因素，担负着内部审核责任的人士，需要一套系统化的方法来策划和执行有效的内部审核。同时，内审团队也肩负着组织内按照标准新要求进行体系提升的职责。本课程正是基于此目的而设立。

0x01 课程目标   

l   理解信息安全管理体系标准的新版要求

l   理解新版信息安全管理体系标准的内审要求

l   了解信息安全管理体系认证转换的安排和要求

0x02 课程对象

l   IT经理、信息安全负责人

l   组织中执行信息安全管理体系内审及IT审计人士

l   信息安全管理领域专业从业人士

0x03 课程大纲

l   ISO 27001:2013新版进展

l   新版信息安全管理体系标准架构

l   新版信息安全管理体系关键内容

l   掌握信息安全管理体系审核的策划、执行、报告和关闭过程

l  认证相关要求

0x04 上课安排

第一天 时间安排
9:00 ~ 9:40  课程介绍
9:40 ~11:00  信息安全管理体系-是什么和为什么
11:00~12:00  信息风险管理过程
12:00~13:30  午餐
13:30~14:30  ISO 27001:2013 目标和要求
14:30~15:30  ISO 27001: 2013 控制目标和控制措施

15:30~17:30  什么是审核和为什么要审核

=====================第一天结束==============================

第二天  时间安排
9:00~9:30  第一天学习及练习回顾
9:30~11:00  计划审核&审核计划练习
11:00~12:00  执行审核
12:00~13:30  午餐
13:30~15:15  执行审核-继续
15: 15~17:00  报告，沟通和追踪
17:00~17:30  考试

=====================第二天结束==============================

0x05 参考资料

1 ISO/IEC27000信息安全管理体系概述和词汇 2016 

ISO/IEC27000：2009被等同采用为GB/T29246—2012，具体信息为：GB/T29246—2012/ISO/IEC27000：2009《信息技术安全技术信息安全管理体系概述和词汇》

2 ISO/IEC27001信息安全管理体系要求 2013 

ISO/IEC27001被等同采用为国家标准：GB/T22080—2016/ISO/IEC27001：2013《信息技术安全技术信息安全管理体系要求》

3 ISO/IEC27002信息安全控制实践指南 2013

ISO/IEC27002被等同采用为国家标准：GB/T22081—2016/ISO/IEC27002：2013《信息技术安全技术信息安全控制实践指南》

4 ISO/IEC27003信息安全管理体系实施指南 2017

ISO/IEC27003主要是描述如何在组织内实施ISO/IEC27001，于2017年3月1日发布第二版的ISO/IEC 27003取消并取代第二版（ISO/IEC27003：2010），这是一个较小的修订。

5 ISO/IEC27004信息安全管理测量  2016

ISO/IEC27004是提供了信息安全管理测量的方法，当然，主要是针对ISO/IEC27001，最新版本为：ISO/IEC27004：2009Informationtechnology—Securitytechniques—Informationsecuritymanagement—Measurement（《信息技术安全技术信息安全管理测量》）尚无国家标准与之对应。

6 ISO/IEC27005信息安全风险管理 2011

ISO/IEC27005是专门讨论信息安全风险管理的，基本与通用的风险管理标准ISO31000保持了一致。现在的版本是第2版且被等同采用为GB/T31722—2015

7ISO/IEC27006认证机构要求

8 ISO/IEC27007通用的审核

9ISO/IECTR27008控制措施审核

0x06 资料下载

https://github.com/ym2011/SecurityManagement/tree/master/ISO27001

欢迎大家分享更好的思路，热切期待^^_^^ !