|
|
|
标准的起源和发展
信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:
BS7799-1,信息安全管理实施规则
BS7799-2,信息安全管理体系规范。
第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订,BS7799-2也于2005年被采用为ISO27001:2005。
标准的主要内容
ISO/IEC17799-2000(BS7799-1)对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任。
标准指出“象其他重要业务资产一样,信息也是一种资产”。它对一个组织具有价值,因此需要加以合适地保护。信息安全防止信息受到的各种威胁,确保信息的可用性、机密性和完整性,确保业务的连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。
信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制,以确保满足该组织的特定安全目标。
|
|
ISO27001信息安全管理体系内部审核员报考对象、报考条件
|
|
|
凡从事或准备从事相关质量管理工作的人员,均可参加本系列课程的学习和考试,取得相关从业资格证书。
中专或高中以上文化程度,本系列证书适用于一般的高校毕业生及参加工作不久的人员。增加相关技能,胜任相关工作。此类证书属专职证书,毕业生中持证人数不多,增强了持证人员的就业竞争力和证书的含金量。
|
|
|
1) 提高企业的安全管理和综合管理水平,促进企业管理的规范化、标准化、现代化;
2) 减少因工伤事故和职业病所造成的经济损失的因此所产生的负面影响,提高企业的经济效益;
3) 提高企业的信誉、形象和凝聚力;
4) 提到职工的安全素质、安全意识和操作技能,使员工再生产、经营活动中自觉防范安全健康风险;
5) 增强企业在国内外市场中的竞争力;
6) 为企业在国际生产经营活动中吸引投资者和合作伙伴创造条件;
7) 通过提高安全生产水平改善政府—企业—员工以及相关方之间的关系;
8) 促进企业的安全管理与国际接轨,消除技术壁垒,是企业进入国际市场的通行证。
一个现代化企业除了它的经济实力和技术能力外,还应具有强烈的社会关注力和责任感,优秀的环境保护业绩和保证职工安全与健康的良好记录,这三个方面的品质正是优秀的现代化企业与普通企业的主要区别。现代企业在市场竞争不仅是资本和技术的竞争,也是品质和形象的竞争。因此,建立职业健康安全、质量、环境三大管理体系并将他们有机地融合在一起,正逐渐成为现代企业的普遍需求,实施职业健康安全管理体系已成为现代优秀企业的显著标志。
|
|
ISO27001信息安全管理体系内部审核员培训内容
|
|
|
| ISO27001信息安全管理体系标准的主要框架;质量管理八项原则讲解; 2007版标准术语介绍;OHSAS18001:2007质量管理体系要求详细讲解;质量管理体系审核总论和审核准备和实施;内审知识;内审员具备的基本技能和技巧;案例练习和讨论;现场模拟内审。 |
|
ISO27001信息安全管理体系内部审核员考试题型
|
|
|
选择题:10分,其中:1分/题×10题
判断题:10分,其中:1分/题×10题
填空题:5分,其中:1分/题×5题
问答题:45分,其中:5分/题×03题 15分/题×2题
案例分析题:30分.其中:6分/题×5题
|
|
OHSAS18001和ISO9001\ISO14001标准的异同点
|
|
|
|
ISO/IEC17799-2000包含了127个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。国际标准化组织(ISO)在2005年对ISO 17799进行了修订,修订后的标准作为ISO 27000标准族的第一部分——ISO/IEC 27001,新标准去掉9点控制措施,新增17点控制措施,并重组部分控制措施而新增一章,重组部分控制措施,关联性逻辑性更好,更适合应用;并修改了部分控制措施措辞。修改后的标准包括11个章节:
1)安全策略
2)信息安全的组织
3)资产管理
4)人力资源安全
5)物理和环境安全
6)通信和操作管理
7)访问控制
8)系统采集、开发和维护
9)信息安全事故管理
10)业务连续性管理
11)符合性
ISO27001的效益
1、通过定义、评估和控制风险,确保经营的持续性和能力
2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任
3、通过遵守国际标准提高企业竞争能力,提升企业形象
4、明确定义所有组织的内部和外部的信息接口目标:谨防数据的误用和丢失
5、建立安全工具使用方针
6、谨防技术诀窍的丢失
7、在组织内部增强安全意识
8、可作为公共会计审计的证据
|
|
ISO27001信息安全管理体系内部审核员培训课程结构
|
|
|
认识ISO27001国际标准
ISO27001(BS7799/ISO17799)国际标准究竟是什么?它如何帮助一个组织更加有效地管理信息安全?BS7799/ISO27001和ISO9001之间有什么联系?初次涉猎信息安全管理领域应该掌握哪些内容,以便组织发起信息安全管理项目?如何获得BS7799国际标准认证?
IT治理和信息安全
近年来企业高层对内部治理需求越来越实际而具体。随着信息技术普遍渗透到企业组织中的各个方面,企业越来越依赖IT系统来处理和储存各种信息,以保证业务正常运营,由此IT系统在企业治理中的作用越来越明晰,IT治理也逐渐被大多数企业认可,成为董事会和企业内部共同关注的领域。IT治理的基础部分是信息安全保护——包括确保信息的可用性、机密性和完整性——这是其他IT治理环节实施的前提。
信息安全和法律法规
业内人士对ISO27001认证趋之若鹜,这其中有两个关键性的驱动因素:一是日益严峻的信息安全威胁,二是不断增长的信息保护相关法规的需求。
本质上说,信息安全威胁是全球化的。一般来说,它将毫无差别地辐射到每一个拥有、使用电子信息的机构和个人。这种威胁在因特网的环境中自动生成并释放。更严重的问题是,其他各种形式的危险也在整日威胁数据安全,包括从外部攻击行为到内部破坏、偷盗等一系列危险。
过去的十年内,围绕信息和数据安全问题建立起来的法律法规体系从无到有、不断壮大,其中包括专门针对个人数据保护问题的,也有针对企业财政、运营和风险管理体系建立的法规保障问题的。一套正式规范的信息安全管理体系应当可以提供最佳实践部署指导。目前,建立这样的管理体系逐渐成为诸多合规项目的必要条件,与此同时,针对该管理体系的认证逐渐成为各种组织(包括政府部门)的热门需求,这份认证可以为他们带来重要的潜在商业合同。
信息安全和技术
绝大多数人认为信息安全是一个纯粹的有关技术的话题,只有那些技术人员,尤其是计算机安全技术人员,才能够处理任何保障数据和计算机安全的相关事宜。这固然有一定道理。不过,实际上,恰恰是计算机用户本身需要考虑这样的问题:避免哪些威胁?在信息安全和信息通畅中如何平衡取舍?的确如此,一旦用户给出答案,计算机安全专家就可以设计并执行一个技术方案以达成用户需求。
在组织内部,管理层应当负责决策,而不是IT部门。一个规范的信息安全管理体系必须明确指出,组织机构董事会和管理层应当负责相关信息安全管理体系的决策,同时,这个体系也应当能够反映这种决策,并且在运行过程中能够提供证据证明其有效性。
所以机构组织内部的信息安全管理体系的建立项目不必由一个技术专家来领导。事实上,技术专家在很多情况下起到相反的作用,可能会阻碍项目进程。因此,这个项目应该由质量管理经理、总经理或者其他负责机构内部重大职能的执行主管负责主持。
信息安全标准
1995年,英国标准机构(BSI)发布BS7799标准,即ISMS(信息安全管理体系),旨在规范、引导信息安全管理体系的发展过程和实施情况。BS7799标准被外界认为是一个不偏向任何技术、任何企业和产品供应商的价值中立的管理体系。只要实施得当,BS7799标准将帮助企业检查并确认其信息安全管理手段和实施方案的有效性。
从企业外部来看,BS7799关注信息的可用性、机密性和完整性,至今这仍然是这项标准致力达到的目标。BS7799集中关注企业组织层面上的风险规避(一定程度上主要是商业和金融风险),而不包括避免每一个潜在风险的保护措施——尽管它们至关重要。
BS7799最初仅有一份文档,且具有明显的实践指南性质。也就是说,它为组织提供信息安全指引,但没有形成规范,不能为外部第三方审计和认证等提供依据。随着越来越多的企业开始认识到来自信息安全的威胁波及范围越来越广,影响程度越来越大,并且关于数据和隐私权保护的法律法规不断出台,信息安全标准认证的需求开始不断增加。
这种需求的增加最终促成了该项标准第二部分的出台,即标准规范。实践指南和标准规范之间的关系是这样的:标准规范是认证方案的基础,同时标准规范要求实践者遵从实践指南的指引。
这个实践指南最近被修订为ISO/IEC 17799:2005,标准规范也被修订为ISO/IEC 27001:2005,逐步得到国际认同。
许多国家也已发布了自己的相关标准,比如AS/NZS7799。这些标准的国际化版本可以在世界任何国家得到认可,这促使了本土化标准的消退(除了基于两个标准号码基础上的本土化标准以外)。
认证与遵从
一个组织可以仅遵从ISO17799来建立和发展ISMS(信息安全管理体系),因为实践指南中的内容是普遍适用的。然而,由于ISO17799并非基于认证框架,它不具备关于通过认证所必需的信息安全管理体系的要求。而ISO/EC27001则包含这些具体详尽的管理体系认证要求。在技术层面来讲,这就表明一个正在独立运用ISO17799的机构组织,完全符合实践指南的要求,但是这并不足以让外界认可其已经达到认证框架所制定的认证要求。不同的是,一个正在同时运用ISO27001和ISO17799标准的机构组织,可以建立一个完全符合认证具体要求的ISMS,同时这个ISMS体系也符合实践指南的要求,于是,这一组织就可以获得外界的认同,即获得认证。
ISO27001认证要求与其他管理标准
ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套管理体系:能够在最大程度上融入这个组织正在使用的其他任何管理体系。一般来说,组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是因为这个缘故,在ISMS体系建立的过程中,质量管理的经验举足轻重。
但是有一点需要注意,一个组织如果没有事先拥有并使用任何形式的管理体系,并不意味着该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家鉴定机构的委托授权,才能为认证组织提供认证服务,并发放认证证书。大多数国家都有自己的国家鉴定机构(比如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案。
风险评估和风险应对计划
任何一个ISMS体系的建立和开发都应当满足组织独特的需求。每个组织不仅都有自己独特的业务模式、运营目标、形象特点和内部文化,他们对待风险的态度倾向也大相径庭。换句话说,同一个东西,一个机构组织认为是必须提防的威胁,在另一个组织看来可能是一个必须抓住的机遇。同样地,各个机构组织对于既有风险防护的投入也参差不齐。基于以上或者其他原因,每个运行ISMS的组织,其内部成员必须对风险评估有一个共识,这个风险评估的方法论、结果发现和推荐解决方式都必须得到董事会的首肯。
ISO27001认证诞生时间短,项目复杂,成功的案例也比较少,可能持续若干个月甚至若干年,涉及整个机构组织以及从管理层到收发部门的每个成员。但日益严峻的信息安全威胁和不断增长的信息保护法规需求,已经使ISO27001成为IT企业共同关注和认可的又一个新标准。
|
|
ISO27001信息安全管理体系内部审核员培训费用、发证
|
|
|
面授培训费用合计(2010大优惠)
在校大学生800元/人(其中包括教材费、资料费、考试费、证书费)。
(报名需交一寸免冠照片二张、身份证复印件一份)。
社会在职人员850元/人(其中包括教材费、资料费、考试费、证书费)。
严格按照ISO和国家认监委规定要求进行培训考核。考试合格者颁发国家认证认可监督管理委员会(CNCA)认可的体系内部审核员资格证书,证书认证认可,联网查询,国际通用。 |
|
| ISO27001信息安全管理体系内部审核员培训其他注意事项 |
|
|
报名 交一寸彩照四张,身份证复印件一份
授课教师 CNAT国家注册审核员、资深高级教师
课程大纲 CNAT指定教材和内容
考试在培训结束后立即进行。严格按照ISO和国家认监委规定要求进行培训考核。考试合格者,发国家认可注册证书,证书联网查询,全球范围有效
报名热线: 010-86438180 13021168585 15810798585
联 系 人: 杨老师 邓老师
Q Q:9212611
MSN:ccedu@tom.com
网 址:www.ccedu.org.cn
E-mail:ccedu@vip.163.com |
|
|
