信息安全管理体系标准

一、课程简介
           信息安全是当前各类组织共同关注的话题，如何保障组织的信息安全，在技术手段之上，还可以用什么样的方法来强化安全运营？
           ISO/IEC 27000标准家族是面向组织的信息安全管理体系国际标准，也是国际范围内最受推崇和关注的信息安全管理框架、认证准则和实施指南。 其中ISO/IEC 27001是用于认证审核的信息安全管理体系要求，ISO 27002是指导信息安全管理的实践指南。
           管理体系强调指标测量和自我控制，内部审核是信息安全管理体系成功运作的重要环节和寻求改进的驱动因素，同时也是通过外部认证的必须要求。担负内部审核责任的人士，需要具备从事信息安全内审工作的知识和能力，并通过系统化的方法来策划和执行有效的内部审核。

二、培训对象
           企业信息安全管理体系审核人员
           IT经理、系统经理、IT安全经理
           IT咨询顾问、管理体系咨询顾问
           其他希望学习信息安全管理体系的人士

三、课程收益
让学员系统了解信息安全管理体系标准的背景、目的、价值及要求；
让学员准确理解和把握控制措施的含义及审核方法；
让学员系统掌握审核生命周期流程(PERC)，包括策划、执行、报告及关闭的方法和技能，以驱动持续改进。

四、课程大纲
信息安全管理体系基础
信息安全基础
信息安全相关概念
信息安全管理体系综述
ISO 27001标准家族
管理体系通用要求
过程方法与体系思维
PDCA循环
管理体系高层次结构

ISO 27001标准解析
正文标准条款解析
组织情境分析与领导力
体系策划、实施与支持
绩效评价与持续改进
附录A标准条款解析
信息安全策略、信息安全组织
人力资源安全、资产管理与物理安全
访问控制、密码学
操作安全、通信安全与系统安全
供应商管理、信息安全事件管理、信息安全连续性、合规性

审核 （Audit）
审核基本概念（Overview）
审核的概念与术语
信息安全管理体系审核综述
策划 （Plan）
审核方案
审核计划
审核检查表
执行 （Execution）
首次会议
审核过程
寻找证据
末次会议

报告 （Reporting）
不符合项报告（NCR）
审核总结报告
典型审核报告内容及展示?
跟踪关闭 （Closing）
纠正措施计划（CAP）
根本原因分析（RCA）
效果验证

信息安全管理体系标准