解决企业信息安全问题的有效途径-ISO27001

课程背景：

国际标准化组织（ISO）和国际电工委员会（IEC）于2022年10月25日联合发布了国际标准ISO/IEC 27001《信息安全 网络安全 隐私保护 信息安全管理体系 要求》（第三版），旨在为所有类型的组织，包括政府、银行、电信、研究机构、软件服务、制造企业等，在建立、实施、运行、监视、评审、保持和改进信息安全管理体系时提供模型，通过一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作，并规定了为适应不同组织或其部门的需要而制定安全控制措施的实施要求。ISO/IEC 27001标准涉及了最广泛意义上的信息安全，为组织实施、维护和管理信息安全提供了最好的商业操作指南和原则，并可以用作第三方认证的依据。

课程收益：

      1、了解信息安全及信息安全管理基本概念

2、理解ISO/IEC 270001标准

      3、在组织内部增强安全意识、规范员工信息安全行为

      4、通过遵守国际标准提高企业竞争能力，提升企业形象

课程对象：

ISO27001适用于任何行业、各种规模的企业，包括各种类型的大、中、小企业及各类组织，高管，行政、IT、技术、工程人员等。例如：

企业：IT经理、信息中心主任、信息安全经理、资深IT人员

厂商：信息安全厂商技术、研发人员、信息安全厂商售前、服务人员

审计：风险管理人员、IT审计人员、 信息安全体系建设与维护人员

咨询：资深IT人员、信息安全顾问、 有意学习信息安全管理的人员

课程大纲

第一讲：信息安全概述和信息安全管理体系的作用

1.信息的定义

2.信息安全的定义

3.信息安全的层次和分类

4.信息安全的现状

5.ISO 27001（ISMS）的作用

第二讲：术语和定义

1.ISO 27000简介

2.ISO 27001相关标准

3.主要的术语和定义

第三讲：ISO 27001目录

1. 正文和附录A

2. PDCA戴明环

3. 范围、规范性应用文件和术语

第四讲：组织环境

1. 理解组织及其环境

2. 理解相关方的需求和期望

3. 信息安全管理体系范围

4. ISO27001的过程

第五讲：领导作用

       1.领导作用和承诺

       2.信息安全管理体系的方针

       3.组织的角色、职责和权限

       4.案例解读

第六讲：策划

1.风险和机遇 

2.信息安全风险评估

3．信息安全风险处置

4．信息安全目标及其实现

5.变更的策划

第七讲：支持

1. 所需的资源

2. 必须的能力

3. 应有的意识

4. 全面的沟通

5. 文件化信息

第八讲：运行

1. 运行的策划和控制

2. 信息安全风险评估和处置

3. 案例分析

 第九讲：绩效评价和改进

1. 监视、测量、分析和评价

2. 内部审核

3. 管理评审

4. 不符合和纠正措施、持续改进

  第十讲：信息安全控制措施

1. ISO27002简介

2. 附录A解读

讲师简介： 

长期从事信息安全工作和管理体系理论研究

ISO 27001 CCAA正式注册审核员

ISO 20000 CCAA正式注册审核员

曾任：某军事院校通信实验室负责人

国内某著名军事院校通信工程专业毕业

国内某军事院校通信实验室负责人

曾参与军队多项信息系统项目的研发

三六五区块链科技有限公司创始人

信息安全管理体系实战经验：

长期从事信息安全工作和管理体系理论研究，亲自参与多家企业的ISO 27001体系认证工作，具有丰富信息安全管理体系项目实施经验。

先后为中铁十一局集团电务工程有限公司，普华基础软件股份有限公司、索尔集团股份有限公司、天筑科技股份有限公司、中科九洲科技股份有限公司、河南省地图院，河南省地理信息院，河南交通发展研究院有限公司、河南信息化集团有限公司、河南能源集团信息技术有限公司、河南产业互联网联合发展有限公司、河南投资集团下属多家企业进行认证服务。