信息安全管理体系

ISO 27001内部审核员课程

课程日期&地点：

‘2014年10月27~28日                   北京

‘2014年10月9~10日            重庆

‘2014年11月24~25日                   上海

‘2014年11月20~21日                   青岛

‘2014年12月29~30日                   深圳

课时  2天

费用  人民币3,710元/人（含6%发票税点，教材、证书、午餐、茶点等费用）

课程说明    

ISO/IEC 27001是信息安全管理体系标准系列，ISO/IEC 27001是用于认证审核的信息安全管理体系要求，而ISO 27002是信息安全管理实践指南。

目前越来越多的国家已经将ISO 27001采纳为国家标准。截止2007年9月已经有超过4000家组织通过了ISO 27001的认证审核，获得了信息安全管理体系认证证书。

内部审核是管理体系成功运作的必须项，也是寻求内部改进的驱动因素，担负着内部审核责任的人士，需要一套系统化的方法来策划和执行有效的内部审核。本课程正是基于此目的而设立。

课程目标   

l   理解ISO/IEC 27001/17799对组织的意义

l   熟悉ISO 27001标准要求，包括管理体系的PDCA和控制措施

l   掌握信息安全管理体系审核的策划、执行、报告和关闭审核发现点

l   了解如何进行有效的沟通和访谈

课程教授方法

l   基本理念和要求讲解；

l   企业实际案例分析

l   小组讨论

课程对象

l   组织中将要执行内审的人士

l   IT经理、系统经理、IT安全经理

l   其他想把信息安全管理体系引入组织的人员

课程大纲

第一部分：ISO27001：2005信息安全概述、标准条款讲解

 ◆ 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。

 ◆ 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。

 ◆ ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。

 ◆ 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。

 ◆ 信息安全管理体系规范：ISO/IEC27001-2005标准要求内容，PDCA管理模型，ISMS建设方法和过程。

 第二部分：ISO27001：2005信息安全管理体系文件建立（ISO27001与ISO9001、ISO14001管理体系如何整合）

◆ ISO27001与ISO9001、ISO14001的异同

◆ ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件

◆ 如何将三体系整合降低公司的体系运行成本

◆ ISO9001、ISO14001、ISO27001体系三合一整合案例分析

 第三部分：信息安全管理体系内部审核技巧和认证应对案例分析

◆ ISO27001：2005标准对内审员的新要求

◆ 信息安全管理体系认证现场审核的流程、技巧及沟通方法

◆ 如何应对认证公司的认证审核、监督审核、案例分析

◆ 考试 （1个小时），老师会现场发试卷。

讲师介绍

姓名:杨老师

中企联 高级讲师

【讲师特色】：理论与实际紧密结合，深入浅出地引导学员

【讲师资质】

√  国际业务连续性协会(BCI)会员资格(MBCI  No.018164)            √  EXIN注册讲师/ISO 20000 Foundation

√  Prince2 Foundation/Practitioner                                          √  itSMF ISO 20000审核员

√  ISACA CRISC (Certified in Risk and Information System Control)

√  ISACA CISA (Certified Information System  Auditor)         √ ISACA COBIT foundation

√  IRCA ISO 27001主任审核员                                      √  IRCA/CCAA ISO 9001主任审核员     

√  标准化工程师                                                                             √  注册信息安全专业人员（CISP）

√  ITIL v3 Foundation                                                                  √  计算机系统集成项目经理

√  2011年BSI全球优秀讲师

【讲师介绍】

      杨老师曾在某大型国有企业担任项目工程师、项目经理，在专业信息安全公司历任高级研发工程师、研发经理、高级信息安全顾问、战略市场经理等职务。管理、参与实施多项信息安全、IT服务系统集成、管理体系建立项目，以及多项国家级重点科研项目。有丰富的管理经验、实施方法和实操案例。在管理体系建设及运作、客户沟通、业务流程和绩效改进等方面具有丰富的实战和培训经验。具有多年IT工作经验及十余年信息安全/IT服务技术、管理、咨询经验，参加多项国家863信息安全、IT服务专项系统的开发，在专业刊物发表多篇技术论文。

【授课特点】

      杨老师的授课特点强调理论与实践相结合，深入浅出地引导学员理解，尤其在信息安全、IT管理技术和审计研究方面具有扎实的基础；能够结合实际案例进行分析，提高学员的信息安全、IT管理和审计意识与实战能力。

【论文/著作】

1.《信息安全风险评估——探索与实践》（2005年出版）

2.“风险评估定量与定性的分析方法”（2004年中国计算机安全论坛年会论文集）

3. “安全策略在主动防御中的应用”（2004年12期《信息安全与通信保密》）

4. “数据融合技术在信息系统安全检测与分析中的应用”（2005年11期《信息网络安全》）

5. “异构环境下安全数据交换技术初探”（2006年1期《信息网络安全》）

“基于自动推选机制的智能代理技术”（2006年11期《信息网络安全》）