ISMS内部审核员培训(ISO27001)信息安全

信息安全管理体系,内审员培训。

TWB

信息安全管理体系内部审核信息安全管理体系内部审核培训课程

此报告仅供客户内部使用。未经诺恒公司的书面许可，其它任何机构不得擅自传阅、引用或复制。

信息安全管理体系,内审员培训。

培训目的 了解信息安全管理体系审核基本程序 掌握信息安全管理体系审核计划及检查表编制方法 掌握信息安全管理体系内部审核基本技巧 掌握信息安全管理体系审核报告及跟踪方法

V2.0

信息安全管理体系,内审员培训。

培训内容 审核总论 审核策划与准备

审核实施 审核报告、纠正与跟踪

V2.0

信息安全管理体系,内审员培训。

审核总论

审核的基本定义

审核的基本程序

V2.0

信息安全管理体系,内审员培训。

什么是审核？

审核证据

审核结论

客观评价

满足程度审核准则

系统的、独立的、并形成文件的过程

V2.0

信息安全管理体系,内审员培训。

信息安全管理体系审核定义为获得与信息安全相关的审核证据并对其进行客观评价，以确定满足是否符合信息安全审核准则的程度所进行的系统的、独立的并形成文件的过程。–评价的对象是与信息安全相关审核证据–评价的依据是信息安全审核准则–系统的、独立的、客观的评价过程

–形成文件

V2.0

信息安全管理体系,内审员培训。

信息安全审核准则用作依据的一组方针、程序或要求。–信息安全管理方针– SOA(适用性声明书)–风险评估报告及管理计划–信息安全相关法规要求– ISO27001-2:2002标准要求

–客户合同要求–相关方(合作伙伴、股东等)明确的信息安全要求–内部管理程序、工作程序、指南、安全规范要求

V2.0

信息安全管理体系,内审员培训。

审核证据

与审核准则有关的并且能够证实的：–记录–事实陈述

–或其他信息 审核准则可以是定性的或定量的

V2.0

信息安全管理体系,内审员培训。

审核类型第一方审核/内审第二方审核

组织第三方审核

顾客

第三方机构/认证机构

V2.0

信息安全管理体系,内审员培训。

内部审核的作用 验证组织ISMS体系符合ISO27001标准的程度。 审查组织的ISMS体系符合安全方针和目标的有效性和适宜性 通过内部审核，达到持续改进ISMS的目的。 通过内部审核，发现信息安全漏洞和薄弱环节。

通过内部审核，调查重大安全事件发生原因。 提高员工信息安全意识，促进全员参与信息安全管理。 在第二、三方审核前纠正不足。V2.0 10

信息安全管理体系,内审员培训。

审核总论

审核的基本定义

审核的基本程序

V2.0

信息安全管理体系,内审员培训。

第三方审核过程

第一阶段审核–文件审查

第二阶段审核– ISMS实施结果审查

V2.0

信息安全管理体系,内审员培训。

第一阶段审核在现场进行，主要活动包括： 审查ISMS管理框架

评估ISMS范围 风险评估和风险处置计划 适用性声明(SOA) 信息安全方针和主要支持性程序 正式报告审核发现

解释第二阶段审核要求

V2.0

信息安全管理体系,内审员培训。

第二阶段审核第二阶段对ISMS

执行情况进行验证，主要活动包括： 与ISMS相关人员面谈 审查高、中和/或低风险区域 审查信息安全管理目标

ISMS内审和管理评审 ISMS相关要求执行情况 报告审核发现并给出最终注册推荐意见

V2.0

信息安全管理体系,内审员培训。

审核基本程序

审核策划与准备

审核实施

审核报告

审核后跟踪V2.0 15

信息安全管理体系,内审员培训。

培训内容 审核总论 审核策划与准备

审核实施 审核报告、纠正与跟踪

V2.0