認證機構
APM Group(APMG) 代表英國商務部(OGC)在全球進行ISO 27001 Foundation,PRINCE2(受控環境下的項目管理),P3O項目組合、項目群和項目辦公室(P3O-Portfolio, Programme and Project Offices) MSP(管理成功的項目群),M_o_R (風險管理)和ITIL(IT基礎架構庫)的資質認證工作,業務遍布全球,分別在英國,美國,荷蘭,丹麥,澳大利亞和中國設有分公司。APMG中國是英國APMG公司在中國的全資機構及唯一代表機構。
信息安全管理髮展至今,人們越來越認識到安全管理在整個企業運營管理中的重要性,而作為信息安全管理方面最著名的國際標準—ISO/IEC 27001(簡稱ISMS),則成為可以指導我們現實工作的最好的參照。ISO27001目前作為國際標準,正迅速被全球所接受。依據ISO27001標準進行信息安全管理體系建設,是當前各行業組織在推動信息安全保護方面最普遍的思路和正確的先進決策。
ISO27001Foundation和ISO27001LA的區別
培訓目的
ISO 27001LA主要是為了培養ISO27001標準審計人員所開設的課程,比較注重信息安全管理體系審計方面;
ISO 27001Foundation是為了培養並提高信息安全管理體系(ISO 27001)建設者所開設的課程,更注重信息安全管理體系的實施、維護與最佳化方面。
培訓對象
ISO 27001LA的培訓對象為在企業內部做信息安全審計的人員參加;
ISO 27001Foundation培訓除信息安全審計人員適合參加外,信息安全主管、信息安全工作人員、信息安全管理體系的維護者、信息安全諮詢顧問更適合參加。
培訓內容
ISO 27001LA培訓內容偏重於對ISO27001標準的解讀,以及如何針對標準條款進行審計,以及審計過程方法與技巧,類似於信息安全管理體系建設過程中“裁判員”的培訓。
ISO 27001Foundation培訓內容偏重於實施信息安全管理體系(ISO 27001)的過程與方法,更多的是講解如何運用好ISO 27001標準,以及對於信息安全管理在各行業、企業的實施方法思路與最佳實踐,類似於信息安全管理體系建設過程中“教練員”的培訓。
證書權威
ISO 27001LA證書為培訓機構所頒發的證書,不是由專業考試認證機構頒發,等同於培訓機構自己頒發的培訓結業證書。
ISO 27001 Foundation是由培訓機構進行培訓,並通過考試認證機構(APMG)考試合格後所頒發的證書,證書更具有專業性、權威性。
ISO 27001 Foundation課程大綱
課程大綱
一、ISMS概述
二、ISO 27001標準簡介
1、信息安全面臨的風險與挑戰
2、信息安全工作的誤區
3、如何實現信息安全
4、信息安全管理體系的收益
5、IT風險與信息安全的關係
1、 信息安全基本定義與概念
2、 ISO 27000標準族
3、 ISO 27001標準發展歷史
4、 信息安全管理體系基本要素
5、 ISO 27001標準內容條款
三、信息安全風險評估
四、信息安全管理體系實施過程
1、 風險管理概述與基本概念
2、 信息安全風險管理框架
3、 信息資產分類與分級
4、 風險識別、風險分析
5、 風險評價、風險處置
6、 風險評估案例與實操
1、 信息安全管理體系建立
2、 信息安全管理體系運行
3、 信息安全管理體系內部審核
4、 信息安全管理體系有效性測量
5、 信息安全管理體系管理評審
6、 信息安全管理體系案例
五、信息安全控制措施-1
六、信息安全控制措施-2
1、 信息安全方針、策略與目標
2、 信息安全組織架構與職責
3、 信息資產保護與信息分級
4、 人力資源安全管理
5、 物理環境與設備安全
6、 關鍵控制措施實施案例
7、
1、 通信與操作管理
2、 訪問控制
3、 信息系統獲取、開發與維護
4、 信息安全事故管理
5、 業務連續性管理
6、 符合性
7、 關鍵控制措施實施案例
七、總結
八、ISO 27001 Foundation應試輔導
1、基本概念總結
2、風險評估總結
3、控制措施總結
4、體系實施總結
5、安全審計總結
1、考試重點提示
2、考試樣題講解
3、模擬考試
新版ISO27001:2013 預計今年10月公布
現版的信息安全管理系統ISO 27001:2005標準已經使用了8年,日前ISO組織(國際標準化組織)終於將新版ISO 27001:2013 DIS版(國際標準草案Draft International Standard)草稿向公眾開放並徵求意見,預計在今年6-7月會發布DIS最終版。目前ISO組織公布的正式版本的頒布時間為2013年10月19日,在新版公布後的18至24個月內是轉換緩衝期,即原有已取得證書的企業最遲需要在2015年10月19日前轉換到新版標準。
安言諮詢表示,此次改版與舊版相比主要有三大差異:一、管理體系更容易整合;二、融入企業面臨的新挑戰;三、更多指引延伸參考。說明如下:
(1) 易整合:以前各管理系統對管理制度面的要求有不太一致的描述方式,且章節不一。例如管理制度的PDCA(Plan,Do,Check,Act)、政策與高級支持等管理制度面要求不同。在新版當中採取Annex SL做結構性要求,讓不同管理系統易於接軌、整合。Annex SL的高級結構是ISO組織未來所有管理制度制定時的重要依據,目前已經有ISO 22301(前BS 25999營運持續管理系統)和這次的ISO 27001新版都已采此結構進行調整。預計已頒布的標準如ISO9000/ ISO20000未來的改版也將以相同的思路進行調整。
(2) 新要求:ISO 27001:2005原本有11個領域(domain)、133項控制措施,新版DIS目前調整為14個領域(A.5-A.18)、113個控制措施(未來仍可能有改動)。新增的領域是將原分散在各領域中的部分控制目標級別提升,組成新領域,如加密與供應鏈管理因其重要性而被獨立出來成為新領域;或是將原有領域分拆,如將通訊與作業管理分開成兩個獨立的領域,以反映目前信息安全的發展趨勢。而控制措施的減少則是通過合併重複的項目來進行,像變更管理在不同的領域中有重複就予以合併。也有新增的控制項目比如對智慧型型裝置的管理、強化ICT供應鏈的委外管理、以及系統開發項目管理的信息安全要求等。
(3) 更多參考:此次ISO也新增許多指引供企業參考,組織可以通過不同的面以及風險進行深度的強化,通過ISO 27001驗證只是基本要求。目前ISO 27000系列指引編號已超過44號(001-044),例如金融服務、數字鑑識、供應鏈管理(4本)、軟體開發測試等,主管機關可參考這些指引做升級的要求。
對於目前正在準備ISO 27001的企業,建議無須等待新版,按照原訂進度先取得27001:2005驗證,在緩衝期結束前轉到新版即可,新版會向下兼容接軌。