iso27001主任审核员培训
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
什么叫ISMS信息安全管理体系
Information 信息
信息是一种重要资产,对组 织的业务非常关键。 信息可 以以各种形式存在,可以印 刷或写在纸上,以电子形式 存储、邮寄或使用电子手段 传输,以影片播放或对话。
Information Security信息安全
对信息的保密性、完整性和 可用性的保护,同时涉及真 实性、责任区分、防止抵赖 和可靠性等其他特性。
对信息技术依赖度高的行业: 钢铁、半导体、物流 电力、能源 外包(ITO或BPO):IT、软件、 电信IDC、Call Center等
工艺技术要求高、竞争对手渴望得 到的: 医药、精细化工 研究机构
ISO27001, 20000 & CMMI
Optimize
Requirement
ISO27001
其他行业
ISO22000(食品行业) TL9000(通讯业) ISO20000(可称为IT业的服务质量标准) CMMI(适合软件研发和新技术开发)
信息安全的3要素
Confidentiality – the property that information is made available or disclosed to unauthorized individuals, entities or processes 保密性 – 信息被获取或泄漏给未经授权的个人、实体或 流程
ISO27001 Lead Auditor Training Course
Neil Yu Shanghai Feb. 18-22, 2008 Version 1.6
Updated on June 19, 2008
ISO27001 LA Training Course Day 1
Shanghai Feb. 18, 2008
典型的信息安全事件
HW事件
HW到中东某国投标,5、6人住当地一家酒店。辛苦了很 长时间,开标时却发现竞争对手的标书中多了很多HW特有 的东西,报价也较自己低
经调阅酒店录像,发现投标前一晚上当他们离开房间去吃饭 时,有人到其中一个房间取走了笔记本电脑中的硬盘……
LM事件
LM一直与中国军方关系密切,承接过国家级信息安全项目 骨干中一人离职出国,带出很多涉密文件,结果LM被封杀
系统地工作 – 为保证工作效率,事情必须按合适的/可行的方法进 行组织,并以一定的顺序完成
Management System – System to establish policy and objectives and to achieve those objectives
管理体系 – 建立方针和目标,并实现目标的体系
艳照门
很傻很天真
什么叫管理体系
System – Set of interrelated or interacting elements
体系 – 一系列相关关联相互作用的元素
Work systematically – To be effective ,things have to be organized in a suitable/practical way and should be done in a certain sequence
联系
所有管理体系的共性 (需要分析的5大要 素):人、机、料、 法、环
区别
ISMS:
%5的人:做95%的 工作
%95的人:执行(需 要接受培训)
本页及下页图片来源于BSI中国网站
ISMS适用的行业
以信息为生命线的行业: 金融行业:银行、保险、证券、 基金、期货等 通信行业:电信、网通、移动、 联通等 皮包公司:外贸、进出口、HR、 猎头、会计师事务所等
Integrity – the property of safeguarding the accuracy and completeness 完整性 – 保护资产准确和完整
Availability – the property of being accessible and useable upon demand by an authorized entity 可用性 – 资产仅对授权人员在需要的时候是可访问的或 可用的
Information Security Management System信息安 全管理体系
是管理体系的一部分,基于 业务风险的方法,建立、实 施、运行、监控、评审、维 护和改进信息安全。
简单地说,是为了确保组织 信息的“三性”,设立的组 织机构、程序、过程和资源。
如果
step1
ISMS和其他体系的联系和区别
管理体系的4大要素
组织机构:
明确职责、权限
程序:
告诉相关人员怎么做
过程:
具体的执行情况,如 何做的?比如执行人 是否每周2次检查了某 个应用程序的日志?
资源:
可调配、使用的人员、 设备等
培训
组织结构
资源
管理wk.baidu.com系
程序
过程
常见的管理体系
质量管理:ISO9001 环境管理:ISO14001 职业安全:OHSAS18001 社会责任:SA8000 信息安全:ISO27001
注意:
后两项经验需分别从3个新的、不同的客户中获取 上述每一段经验,均需在2年内获得 DNV可以帮助进行IRCA注册
Operate
ISO20000
CMMI
Design
ISO27001
Deploy
Build
如何成为LA主任审核员?
要成为LA,必须经过:
2 MD observer -> Junior Auditor 20MD junior auditor -> Auditor 15MD auditor -> Lead Auditor
什么是质量
质量3要素QCT
符合客户的要求(Q)
Quality
不能导致成本上升(C)
时间(T)
以上三个方面的平衡 的结果就是质量
Time
Cost
质量管理体系一览
国际标准
ISO9001
汽车行业(比ISO9001多了项目管理方面的要求)
TS16949(汽车行业的质量管理体系) QS9000(美国的汽车行业标准) VDA6.1(德国大众的质量管理体系)