ISO27001Foun 27001Foun 27001Foun

認(rèn)證機(jī)構(gòu)

APM Group(APMG) 代表英國商務(wù)部(OGC)在全球進(jìn)行ISO 27001 Foundation,PRINCE2(受控環(huán)境下的項(xiàng)目管理),P3O項(xiàng)目組合、項(xiàng)目群和項(xiàng)目辦公室(P3O-Portfolio, Programme and Project Offices) MSP(管理成功的項(xiàng)目群),M_o_R (風(fēng)險(xiǎn)管理)和ITIL(IT基礎(chǔ)架構(gòu)庫)的資質(zhì)認(rèn)證工作,業(yè)務(wù)遍布全球,分別在英國,美國,荷蘭,丹麥,澳大利亞和中國設(shè)有分公司。APMG中國是英國APMG公司在中國的全資機(jī)構(gòu)及唯一代表機(jī)構(gòu)。

信息安全管理發(fā)展至今,人們越來越認(rèn)識到安全管理在整個(gè)企業(yè)運(yùn)營管理中的重要性,而作為信息安全管理方面最著名的國際標(biāo)準(zhǔn)—ISO/IEC 27001(簡稱ISMS),則成為可以指導(dǎo)我們現(xiàn)實(shí)工作的最好的參照。ISO27001目前作為國際標(biāo)準(zhǔn),正迅速被全球所接受。依據(jù)ISO27001標(biāo)準(zhǔn)進(jìn)行信息安全管理體系建設(shè),是當(dāng)前各行業(yè)組織在推動(dòng)信息安全保護(hù)方面最普遍的思路和正確的先進(jìn)決策。

ISO27001Foundation和ISO27001LA的區(qū)別

培訓(xùn)目的

ISO 27001LA主要是為了培養(yǎng)ISO27001標(biāo)準(zhǔn)審計(jì)人員所開設(shè)的課程,比較注重信息安全管理體系審計(jì)方面;

ISO 27001Foundation是為了培養(yǎng)并提高信息安全管理體系(ISO 27001)建設(shè)者所開設(shè)的課程,更注重信息安全管理體系的實(shí)施、維護(hù)與優(yōu)化方面。

培訓(xùn)對象

ISO 27001LA的培訓(xùn)對象為在企業(yè)內(nèi)部做信息安全審計(jì)的人員參加;

ISO 27001Foundation培訓(xùn)除信息安全審計(jì)人員適合參加外,信息安全主管、信息安全工作人員、信息安全管理體系的維護(hù)者、信息安全咨詢顧問更適合參加。

培訓(xùn)內(nèi)容

ISO 27001LA培訓(xùn)內(nèi)容偏重于對ISO27001標(biāo)準(zhǔn)的解讀,以及如何針對標(biāo)準(zhǔn)條款進(jìn)行審計(jì),以及審計(jì)過程方法與技巧,類似于信息安全管理體系建設(shè)過程中“裁判員”的培訓(xùn)。

ISO 27001Foundation培訓(xùn)內(nèi)容偏重于實(shí)施信息安全管理體系(ISO 27001)的過程與方法,更多的是講解如何運(yùn)用好ISO 27001標(biāo)準(zhǔn),以及對于信息安全管理在各行業(yè)、企業(yè)的實(shí)施方法思路與最佳實(shí)踐,類似于信息安全管理體系建設(shè)過程中“教練員”的培訓(xùn)。

證書權(quán)威

ISO 27001LA證書為培訓(xùn)機(jī)構(gòu)所頒發(fā)的證書,不是由專業(yè)考試認(rèn)證機(jī)構(gòu)頒發(fā),等同于培訓(xùn)機(jī)構(gòu)自己頒發(fā)的培訓(xùn)結(jié)業(yè)證書。

ISO 27001 Foundation是由培訓(xùn)機(jī)構(gòu)進(jìn)行培訓(xùn),并通過考試認(rèn)證機(jī)構(gòu)(APMG)考試合格后所頒發(fā)的證書,證書更具有專業(yè)性、權(quán)威性。

ISO 27001 Foundation課程大綱

課程大綱

一、ISMS概述

二、ISO 27001標(biāo)準(zhǔn)簡介

1、信息安全面臨的風(fēng)險(xiǎn)與挑戰(zhàn)

2、信息安全工作的誤區(qū)

3、如何實(shí)現(xiàn)信息安全

4、信息安全管理體系的收益

5、IT風(fēng)險(xiǎn)與信息安全的關(guān)系

1、信息安全基本定義與概念

2、 ISO 27000標(biāo)準(zhǔn)族

3、 ISO 27001標(biāo)準(zhǔn)發(fā)展歷史

4、信息安全管理體系基本要素

5、 ISO 27001標(biāo)準(zhǔn)內(nèi)容條款

三、信息安全風(fēng)險(xiǎn)評估

四、信息安全管理體系實(shí)施過程

1、風(fēng)險(xiǎn)管理概述與基本概念

2、信息安全風(fēng)險(xiǎn)管理框架

3、信息資產(chǎn)分類與分級

4、風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)分析

5、風(fēng)險(xiǎn)評價(jià)、風(fēng)險(xiǎn)處置

6、風(fēng)險(xiǎn)評估案例與實(shí)操

1、信息安全管理體系建立

2、信息安全管理體系運(yùn)行

3、信息安全管理體系內(nèi)部審核

4、信息安全管理體系有效性測量

5、信息安全管理體系管理評審

6、信息安全管理體系案例

五、信息安全控制措施-1

六、信息安全控制措施-2

1、信息安全方針、策略與目標(biāo)

2、信息安全組織架構(gòu)與職責(zé)

3、信息資產(chǎn)保護(hù)與信息分級

4、人力資源安全管理

5、物理環(huán)境與設(shè)備安全

6、關(guān)鍵控制措施實(shí)施案例

7、

1、通信與操作管理

2、訪問控制

3、信息系統(tǒng)獲取、開發(fā)與維護(hù)

4、信息安全事故管理

5、業(yè)務(wù)連續(xù)性管理

6、符合性

7、關(guān)鍵控制措施實(shí)施案例

七、總結(jié)

八、ISO 27001 Foundation應(yīng)試輔導(dǎo)

1、基本概念總結(jié)

2、風(fēng)險(xiǎn)評估總結(jié)

3、控制措施總結(jié)

4、體系實(shí)施總結(jié)

5、安全審計(jì)總結(jié)

1、考試重點(diǎn)提示

2、考試樣題講解

3、模擬考試

新版ISO27001:2013 預(yù)計(jì)今年10月公布

現(xiàn)版的信息安全管理系統(tǒng)ISO 27001:2005標(biāo)準(zhǔn)已經(jīng)使用了8年,日前ISO組織(國際標(biāo)準(zhǔn)化組織)終于將新版ISO 27001:2013 DIS版(國際標(biāo)準(zhǔn)草案Draft International Standard)草稿向公眾開放并征求意見,預(yù)計(jì)在今年6-7月會發(fā)布DIS最終版。目前ISO組織公布的正式版本的頒布時(shí)間為2013年10月19日,在新版公布后的18至24個(gè)月內(nèi)是轉(zhuǎn)換緩沖期,即原有已取得證書的企業(yè)最遲需要在2015年10月19日前轉(zhuǎn)換到新版標(biāo)準(zhǔn)。

安言咨詢表示,此次改版與舊版相比主要有三大差異:一、管理體系更容易整合;二、融入企業(yè)面臨的新挑戰(zhàn);三、更多指引延伸參考。說明如下:

(1)易整合:以前各管理系統(tǒng)對管理制度面的要求有不太一致的描述方式,且章節(jié)不一。例如管理制度的PDCA(Plan,Do,Check,Act)、政策與高級支持等管理制度面要求不同。在新版當(dāng)中采取Annex SL做結(jié)構(gòu)性要求,讓不同管理系統(tǒng)易于接軌、整合。Annex SL的高級結(jié)構(gòu)是ISO組織未來所有管理制度制定時(shí)的重要依據(jù),目前已經(jīng)有ISO 22301(前BS 25999營運(yùn)持續(xù)管理系統(tǒng))和這次的ISO 27001新版都已采此結(jié)構(gòu)進(jìn)行調(diào)整。預(yù)計(jì)已頒布的標(biāo)準(zhǔn)如ISO9000/ ISO20000未來的改版也將以相同的思路進(jìn)行調(diào)整。

(2)新要求:ISO 27001:2005原本有11個(gè)領(lǐng)域(domain)、133項(xiàng)控制措施,新版DIS目前調(diào)整為14個(gè)領(lǐng)域(A.5-A.18)、113個(gè)控制措施(未來仍可能有改動(dòng))。新增的領(lǐng)域是將原分散在各領(lǐng)域中的部分控制目標(biāo)級別提升,組成新領(lǐng)域,如加密與供應(yīng)鏈管理因其重要性而被獨(dú)立出來成為新領(lǐng)域;或是將原有領(lǐng)域分拆,如將通訊與作業(yè)管理分開成兩個(gè)獨(dú)立的領(lǐng)域,以反映目前信息安全的發(fā)展趨勢。而控制措施的減少則是通過合并重復(fù)的項(xiàng)目來進(jìn)行,像變更管理在不同的領(lǐng)域中有重復(fù)就予以合并。也有新增的控制項(xiàng)目比如對智能型裝置的管理、強(qiáng)化ICT供應(yīng)鏈的委外管理、以及系統(tǒng)開發(fā)項(xiàng)目管理的信息安全要求等。

(3)更多參考:此次ISO也新增許多指引供企業(yè)參考,組織可以通過不同的面以及風(fēng)險(xiǎn)進(jìn)行深度的強(qiáng)化,通過ISO 27001驗(yàn)證只是基本要求。目前ISO 27000系列指引編號已超過44號(001-044),例如金融服務(wù)、數(shù)字鑒識、供應(yīng)鏈管理(4本)、軟件開發(fā)測試等,主管機(jī)關(guān)可參考這些指引做升級的要求。

對于目前正在準(zhǔn)備ISO 27001的企業(yè),建議無須等待新版,按照原訂進(jìn)度先取得27001:2005驗(yàn)證,在緩沖期結(jié)束前轉(zhuǎn)到新版即可,新版會向下兼容接軌。