南通27001内审员课程背景：

组织对信息安全的要求是随着组织业务对信息技术尤其是网络技术的应用而来的。人们在解决信息安全问题以满足信息安全要求的过程中，经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。

当信息安全问题开始出现的初期，人们解决信息安全问题的主要途径就是安装和使用信息安全产品，如加密机、防火墙、入侵检测设备等。信息安全技术和产品的应用，一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够，即使采购和使用了足够先进、足够多的信息安全产品，仍然无法避免一些信息安全事件的发生。与组织中个人有关的信息安全问题、信息安全成本和效益的平衡、信息安全目标、业务连续性、信息安全相关法规符合性等，这些问题与信息安全的要求都密切相关，而仅仅通过产品和技术是无法解决的。

南通27001内审员培训目的：

ISO27001标准和风险评估有深层次的理解

掌握信息安全管理体系内审方法、流程和技巧

有能力领导、策划、实施和管理信息安全管理体系审核活动信息安全管理体系基础知识。

南通27001内审员适合对象：

组织内部从事信息安全管理体系工作的人员主管、信息安全管理体系（ISMS）的部门负责人系统管理员、骨干和对信息安全管理有兴趣的学员等。

南通27001内审员课程大纲：

信息安全风险评估

组织应确定"并应用一个信息安全风险评估过程:

a)建立并保持信息安全风险准则,包括:

1)风险接受的准则;以及

2)执行信息安全风险评估的准则;

b)确保重复执行的信息安全风险评估产生一致的、有效的和可比较的结果;

c)识别信息安全风险:

1)应用信息安全风险评估识别在信息安全管理体系范围内与信息保密性、完整性和可用性损失相关的风险;并

2)识别风险的负责人;

d)分析信息安全风险:

1)如果6.1.2c)1)具体识别出的风险,评估其可能导致的潜在后果。

2)评估6.1.2c)1)识别出的风险发生的现实可能性;以及

3)确定风险的级别;

e)评价信息安全风险:

1)将风险分析的结果与6.1.2a)中所建立的风险准则进行比较;并

2)为风险处置,将分析得到的风险按优先级排序。

组织应将信息安全风险评估过程保留文件化信息。

检查表设计要点

在编制检查表之前,应认真阅读受审核方的体系文件,了解受审核部门所从事的活动和体系文件对该部门的各项耍求,查阅有关法律法规文件对有关活动的要求。

在编制检查表时,应注意以下要点:

1)要按照标准、法律法规的要求和质量管理体系文件的要求编制检查表。

2)要选择典型的问题。每个部门、每个过程的质量活动常有一些典型的质量问题。例如:销售部门忽视合同评审,采购部门不按满足质量要求选择供应商,设计部门不认真进行设计评审、设计验证和设计确认,等等。所以在检查表中可重点注意这些问题。有的过程(ISO9001条款)在不同部门也有不同的典型问题。例如:文件控制在设计部门常发生的问题是过多地保留己作废但有参考价值的技术资料而未注意做好标志;在生产车问则表现为作废版本的图样文件不撤走,最新的有效版本未获得,等等。这些在编检查表时也是要特别注意的。

3)要结合受审部门(或过程)的特点。检查表的精华就在于突出受审对象的特点。有特点才有必要为每个对象编制一份有特色的检查表。例如:有的生产车问刚刚调整了生产线或采用某种新工艺,则可把工序控制和执行新的工艺规程或作业指导书作为检查重点;有的部门刚刚招收大批新职工,则在检查表中就培训问题应加以重点考虑,等等。

南通27001内审员培训事项

培训教材

专用配套教材

颁发证书

学员经培训考核合格者颁发ISO27001：2022信息安全管理体系内审员资格证书，并予备案，可电话、网上查询。该证书获所有认证机构认可，权威性强，全国通用。

上课时间及地点

12课时，共2天

方普管理目前已在国内多个城市常年设点招生，具体最新的开课时间及地址，请与我们的课程顾问索取。

培训费用

共2400元/人，含培训费、内审员证书费、教材资料费，食宿费学员自理。

报名方式

请确认能够参加后，填写电子版报名表并回发。

注：具体当地开班时间可在线咨询客服。