南通ISO27001内审员课程背景

ISO 27001是国际标准化组织（ISO）制定的信息安全管理体系标准，新版本为2022年发布，该标准提供了一套管理信息安全风险的框架，旨在帮助组织保护其信息资产免受各种威胁。ISO27001:2022信息安全管理体系内审员是负责确保组织的信息安全管理体系符合ISO 27001:2022标准要求，并能够有效保护组织关键信息不受未经授权访问、修改或泄露的专业人员。

南通ISO27001内审员适合人群

1、从事ISMS及ItSMS认证的审核人员；建立和实施ISMS及ItSMS的企事业单位主管人员；从事ISMS及ItSMS建设和实施咨询的人员。

2、CTO、CIO等企事业信息安全负责人；IT服务管理项目经理、IT经理、系统经理；建立和实施ISMS及ItSMS的企事业单位的内部审核员。

信息安全管理体系内审员

南通ISO27001内审员课程目标

使学员了解信息安全管理体系基础知识，熟悉信息安全管理体系内审的基本内容，掌握内审的流程和方法，从而培养其具备企业内审员和管理骨干的需求才能。

南通ISO27001内审员课程大纲

监视、测量、分析和评价

组织应评价信息安全绩效以及信息安全管理体系有效性。

组织应确定:

a)需要监视和测量什么,包括信息安全过程和控制;

b)监视、测量和评价的方法,如合适,确保有效的结果。

备注:方法应该产生可比较和可再现的且被认为是有效的结果。

c)什么时候实施监视和测量;

d)谁监视和测量;

e)什么时候监视和测量的结果应被分析和评价;以及

f)谁应分析和评价这些结果。

组织应保留适当的信息文件作为监视和评审结果的证据。

抽样要具有代表性

通常抽3~4个样本,最多以12个为限。样本的种类应有代表性,才能体现出检查的客观性和公正性。例如:审核对象是一个小型电动机厂的采购部门,那么在抽取订单样本时,对产品质量影响较大的原材料和零部件如硅钢片、电磁线、轴承、绝缘材料和铸件等的订单,可以每种选抽5~10张;而对胶木件、紧固件、锻件等订单,因其对产品影响较小,可各选3~5张。这样既有代表性,叉有重点。

5)时间要留有余地。在编制检查表时,应估计所需的审核时间。此估计时间不但不应超过在一个部门的计划审核时间,而且还应留有一定的富裕时间,以便临时发生某些情况而需要增加审核内容或增加审核深度时可利用这些时间。这样不用修改审核计划或延长审核时问。

6)检查表应有可操作性。应有具体的抽样方法和检查方法,如选择什么样本、数量多少、问什么问题、问什么人、观察什么事物等。

7)检查表要注意审核的全面性。按ISO 9001质量管理体系所规定的过程(条款)编制的检查表,要考虑所涉及的部门。按部门编制的检查表,要考虑涉及的ISO9001质量管理体系的过程(条款)。

8)应用过程方法的思路设计检查表。无论是要审核哪一过程,都可以采取以下思路:先查其是否确定过程和规定过程,再查其规定的程序是否得到实施,再查其规定的实施效果是否达到预期规定的目标,最后查证是否识别了改进的机会并予以实施。

 南通ISO27001内审员培训安排

培训方式

ISO27001信息安全管理体系内审员培训班采用大量实践案例，辅以审核场景模拟练习、小组讨论、故障排除等教学方法。教学气氛活跃，教学效果良好。

培训时间

12学时，共2天。

培训地点

南通市崇川区钟秀中路五洲国际广场C座

培训费用

共计2600元/人，包括培训费、教材费及内审员证书费；交通食宿费自理。

考核发证

经考试合格，将获颁"ISO27001：2022信息安全管理体系内审员"资格证书。