【课程描述】

ISO27001:2013版于2013年10月19日正式颁布实施，ISO/IEC27001信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。
本课程将详述ISO27001:2013标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。 掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。

【课程对象】

信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。

【课程大纲】

第一部分：ISO27001：2013信息安全概述、标准条款讲解
◆ 信息安全概述：信息安全，CIA目标，信息安全需求来源，信息安全管理。
◆ 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。
◆ ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。
◆ 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。
◆ 信息安全管理体系规范：ISO/IEC27001-2013标准要求内容，PDCA管理模型，ISMS建设方法和过程。
◆ ISO/IEC27001-2013标准要求与ISO27001:2005的差异归纳。

第二部分：ISO27001：2013信息安全管理体系文件建立（ISO27001与ISO9001、ISO14001管理体系如何整合）
◆ ISO27001与ISO9001、ISO14001;异同
◆ ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件
◆ 如何将三体系整合降低公司的体系运行成本
◆ ISO9001、ISO14001、ISO27001体系三合一整合案例分析

第三部分：信息安全管理体S内部审核技巧和认证应对案例分析
◆ ISO27001：2013标准对内审员的新要求
◆ 信息安全管理体系认证现场审核的流程、技巧及沟通方法
◆ 如何应对认证公司的认证审核、监督审核、案例分析