南京ISO27001内审员课程背景

ISO 27001是国际标准化组织（ISO）制定的信息安全管理体系标准，新版本为2022年发布，该标准提供了一套管理信息安全风险的框架，旨在帮助组织保护其信息资产免受各种威胁。ISO27001:2022信息安全管理体系内审员是负责确保组织的信息安全管理体系符合ISO 27001:2022标准要求，并能够有效保护组织关键信息不受未经授权访问、修改或泄露的专业人员。

南京ISO27001内审员适合人群

1、从事ISMS及ItSMS认证的审核人员；建立和实施ISMS及ItSMS的企事业单位主管人员；从事ISMS及ItSMS建设和实施咨询的人员。

2、CTO、CIO等企事业信息安全负责人；IT服务管理项目经理、IT经理、系统经理；建立和实施ISMS及ItSMS的企事业单位的内部审核员。

南京ISO27001内审员课程目标

使学员了解信息安全管理体系基础知识，熟悉信息安全管理体系内审的基本内容，掌握内审的流程和方法，从而培养其具备企业内审员和管理骨干的需求才能。

南京ISO27001内审员课程大纲

信息记录

7.5.1概述

组织的信息安全管理体系应包括:

a)本标准所要求的信息记录;以及

b)组织确定的对信息安全管理体系有效性必要的文件信息。

备注:不同组织信息安全管理体系文件的详略程度取决于:

1)组织的规模和活动的类型、过程、产品和服务;

2)过程的复杂程度以和相互之间的作用;以及

3)人员的能力。

7.5.2创建与更新

创建与更新信息文件时,组织应确保恰当的:

a)标识与描述(例如:标题、日期、作者或文号);

b)格式(例如:语言、软件版本、图表)和媒介(例如:纸质、电子);

以及

c)评审和批准文件的适宜性和充分性。

7.5.3文件信息的控制

信息安全管理体系以及本标准所要求的文件应被控制以确保:

a)何地何时需要,都是可用和适宜的;且

b)充分的保护(例如:防止丧失保密性、可用性和完整性)。

为了控制信息文件,组织应识别下列适用的活动:

c)分发、访问、检索与使用;

d)存储和保存,包括保存的易读性;

e)更改控制(例如:版本控制);以及

f)保留与处置。

组织确定的对信息安全管理体系计划和运行的必要的来自外部的信息文件,应被恰当的识别并控制。

备注:访问意味着关于仅批准查看信息文件或批准与授权查看与更改信息文件等决定。

审核计划的内容

1)对于初次审核和随后的审核,审核计划的内容和详略程度可以有所不同。

审核计划应具有充分的灵活性,以允许其随着审核活动的进展进行必要的调整。

审核计划应包括或涉及下列内容:

①审核目标。

②审核范围,包括受审核的组织单元、职能单元以及过程。

③审核准则和引用文件。

④实施审核活动的地点、日期、预期的时问和期限,包括与受审核方管理者的会议。

⑤使用的审核方法,包括所需的审核抽样的范围,以获得足够的审核证据,

适用时还包括抽样方案的设计。

⑥审核组成员、向导的作用和职责。

⑦为审核的关键区域配置适当的资源。

2)适当时,审核计划还可包括:

①明确受审核方本次审核的代表。

②当审核员和(或)受审核方的语言不同时,审核工作和审核报告所用的语言。

③审核报告的主题。

④后勤和沟通安排,包括受审核现场的特定安排。

⑤针对实现审核目标的不确定因素而采取的特定措施。

⑥保密和信息安全的相关事宜。

⑦来自以往审核的后续措施。

⑧审核跟踪验证活动的安排。

审核计划可由审核委托方评审和接受,并应提交受审核方。受审核方对审核计划的反对意见应在审核组长、受审核方和审核委托方之问得到解决。

在编制审核实施计划、审核检查表时,应该明确在哪个部门审核哪些ISO9001过程。这是根据组织的职能分配矩阵表确定的。

 南京ISO27001内审员培训须知

培训费用

RMB2600元/人，含了培训费用、教材费、内审员证书费及税费。

培训时间

培训2天，共12课时。

考试发证

完成课程培训并通过考试，颁发ISO27001内审员资格证书。

培训地址

南京市秦淮区中山东路136号

培训特色

通过小组活动、审核演练、互动讨论和教练式课程等方式深入理解审核原则和如何应用ISO 27001：2022标准来执行有效的内审。