iso27001主任审核员培训

什么叫ISMS信息安全管理体系
Information 信息
信息是一种重要资产，对组 织的业务非常关键。 信息可 以以各种形式存在，可以印 刷或写在纸上，以电子形式 存储、邮寄或使用电子手段 传输，以影片播放或对话。
Information Security信息安全
对信息的保密性、完整性和 可用性的保护，同时涉及真 实性、责任区分、防止抵赖 和可靠性等其他特性。
对信息技术依赖度高的行业： 钢铁、半导体、物流 电力、能源 外包（ITO或BPO）：IT、软件、 电信IDC、Call Center等
工艺技术要求高、竞争对手渴望得 到的： 医药、精细化工 研究机构
ISO27001, 20000 & CMMI
Optimize
Requirement
ISO27001
其他行业
ISO22000（食品行业） TL9000（通讯业） ISO20000（可称为IT业的服务质量标准） CMMI（适合软件研发和新技术开发）
信息安全的3要素
Confidentiality – the property that information is made available or disclosed to unauthorized individuals, entities or processes 保密性 – 信息被获取或泄漏给未经授权的个人、实体或 流程
ISO27001 Lead Auditor Training Course
Neil Yu Shanghai Feb. 18-22, 2008 Version 1.6
Updated on June 19, 2008
ISO27001 LA Training Course Day 1
Shanghai Feb. 18, 2008
典型的信息安全事件
HW事件
HW到中东某国投标，５、６人住当地一家酒店。辛苦了很 长时间，开标时却发现竞争对手的标书中多了很多HW特有 的东西，报价也较自己低
经调阅酒店录像，发现投标前一晚上当他们离开房间去吃饭 时，有人到其中一个房间取走了笔记本电脑中的硬盘……
LM事件
LM一直与中国军方关系密切，承接过国家级信息安全项目 骨干中一人离职出国，带出很多涉密文件，结果LM被封杀
系统地工作 – 为保证工作效率，事情必须按合适的/可行的方法进 行组织，并以一定的顺序完成
Management System – System to establish policy and objectives and to achieve those objectives
管理体系 – 建立方针和目标，并实现目标的体系
艳照门
很傻很天真
什么叫管理体系
System – Set of interrelated or interacting elements
体系 – 一系列相关关联相互作用的元素
Work systematically – To be effective ,things have to be organized in a suitable/practical way and should be done in a certain sequence
联系
所有管理体系的共性 （需要分析的5大要 素）：人、机、料、 法、环
区别
ISMS：
%5的人：做95%的 工作
%95的人：执行（需 要接受培训）
本页及下页图片来源于BSI中国网站
ISMS适用的行业
以信息为生命线的行业： 金融行业：银行、保险、证券、 基金、期货等 通信行业：电信、网通、移动、 联通等 皮包公司：外贸、进出口、HR、 猎头、会计师事务所等
Integrity – the property of safeguarding the accuracy and completeness 完整性 – 保护资产准确和完整
Availability – the property of being accessible and useable upon demand by an authorized entity 可用性 – 资产仅对授权人员在需要的时候是可访问的或 可用的
Information Security Management System信息安 全管理体系
是管理体系的一部分，基于 业务风险的方法，建立、实 施、运行、监控、评审、维 护和改进信息安全。
简单地说，是为了确保组织 信息的“三性”，设立的组 织机构、程序、过程和资源。
如果
step1
ISMS和其他体系的联系和区别
管理体系的4大要素
组织机构：
明确职责、权限
程序：
告诉相关人员怎么做
过程：
具体的执行情况，如 何做的？比如执行人 是否每周2次检查了某 个应用程序的日志？
资源：
可调配、使用的人员、 设备等
培训
组织结构
资源
管理wk.baidu.com系
程序
过程
常见的管理体系
质量管理：ISO9001 环境管理：ISO14001 职业安全：OHSAS18001 社会责任：SA8000 信息安全：ISO27001
注意：
后两项经验需分别从3个新的、不同的客户中获取 上述每一段经验，均需在2年内获得 DNV可以帮助进行IRCA注册
Operate
ISO20000
CMMI
Design
ISO27001
Deploy
Build
如何成为LA主任审核员？
要成为LA，必须经过：
2 MD observer -> Junior Auditor 20MD junior auditor -> Auditor 15MD auditor -> Lead Auditor
什么是质量
质量3要素QCT
符合客户的要求（Q）
Quality
不能导致成本上升（C）
时间（T）
以上三个方面的平衡 的结果就是质量
Time
Cost
质量管理体系一览
国际标准
ISO9001
汽车行业（比ISO9001多了项目管理方面的要求）
TS16949（汽车行业的质量管理体系） QS9000（美国的汽车行业标准） VDA6.1（德国大众的质量管理体系）