|
ISO/IEC27001 信息安全管理体系(ISMS) 主讲:张铭 1 课程背景 信息作为企业的重要资产,需要科学管理和保护才可以为企业的可持续发展提供源源不断的动力。目前企业普遍采用现代通信、计算机、网络技术来构建企业的信息安全管理体系(ISMS),但大多数企业的管理者对信息资产所面临的威胁的严重性认识不足,缺乏系统的管理思维,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,已经造成极大的信息安全隐患。本课程旨在确保企业信息安全管理人员熟悉信息安全管理体系,增强管理人员信息安全意识,掌握信息安全管理体系建设过程,具备信息安全管理体系的监视和审核能力,满足第二方审核和认证审核的要求。 我们相信您能从课程积极的讨论和学习中获得最大的收益。积极的参与会带来更好的理解,为您进一步发展专业知识奠定良好的基础。 2 课程收益 ü 帮助您全面深刻理解信息安全、信息安全管理体系和业务经营的关系 ü 深入理解ISO/IEC 27001标准要求 ü 掌握建立和实施ISMS的过程和方法 ü 确保选择充分和适宜的安全控制措施,有效保护贵公司和客户以及相关方的信息资产和核心业务 ü 掌握监控和审核ISMS的知识和技巧 3 课程时间 3天, 6小时/天 4 授课对象 信息部门负责人、系统管理员、信息安全管理体系(ISMS)的负责人、IT中高级经理、IT审计主管、ISMS内审员等 5 授课方式 启发式讲授+互动式教学+小组练习+角色扮演+案例分析 6 课程大纲 | 时间 | | | | | 第一部分 信息安全管理基础知识 1 信息与信息安全 1.1 信息安全案例分析 1.2 信息分类与分级 1.3 信息安全属性CIA 2 信息安全管理 2.1 信息安全风险 2.2 信息安全风险识别 2.3 信息安全风险分析 2.4 信息安全风险评价 2.5 信息安全风险处置 | | 第二部分 信息安全管理体系 1 信息安全管理体系框架 2 SWOT分析 3 相关方需求确定 4 领导作用及承诺 5 体系策划 【案例练习】ISMS手册,程序文件和作业指导书的编制要求 6 监视、测量、分析和评价 7 不符合、纠正措施和持续改进 | | | 上午9:00 - 12:00 下午13:30 - 16:30 | 第三部分 信息安全控制措施 【案例分析】 1 SOA与控制域框架 2 信息安全策略 3 信息安全组织 4 人力资源信息安全管理 5 资产管理 6 访问控制 7 物理环境安全 8 密码控制 9 运行信息安全 10 通信安全 11 信息系统开发信息安全 12 获取与维护 13 供应商关系 14 信息安全事件管理 15 业务连续性的信息安全管理 16 符合性管理 | | | 上午9:00 - 12:00 下午13:30 - 16:30 | 第四部分 信息安全管理体系审核 1 审核概述 2 审核方法 【演练】正向审核;反向审核 3 审核策划 【分组练习】编制审核计划;编制检查表 4 现场审核 【分组练习】 ü 现场审核思路; ü 审核员素质与能力; ü 访谈、观察与检查; ü 高层访谈; ü 分组模拟审核 5 总结汇报 【分组练习】 ü 审核发现; ü 小组内部沟通; ü 汇报; ü 末次会议 第五部分 总结 1 分组发言 2 课程总结 3 考试 |
7 课程总结 书面考试 + 学习心得
| 
