泰州27001内审员课程背景：

组织对信息安全的要求是随着组织业务对信息技术尤其是网络技术的应用而来的。人们在解决信息安全问题以满足信息安全要求的过程中，经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。

当信息安全问题开始出现的初期，人们解决信息安全问题的主要途径就是安装和使用信息安全产品，如加密机、防火墙、入侵检测设备等。信息安全技术和产品的应用，一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够，即使采购和使用了足够先进、足够多的信息安全产品，仍然无法避免一些信息安全事件的发生。与组织中个人有关的信息安全问题、信息安全成本和效益的平衡、信息安全目标、业务连续性、信息安全相关法规符合性等，这些问题与信息安全的要求都密切相关，而仅仅通过产品和技术是无法解决的。

泰州27001内审员培训目的：

ISO27001标准和风险评估有深层次的理解

掌握信息安全管理体系内审方法、流程和技巧

有能力领导、策划、实施和管理信息安全管理体系审核活动信息安全管理体系基础知识。

泰州27001内审员适合对象：

组织内部从事信息安全管理体系工作的人员主管、信息安全管理体系（ISMS）的部门负责人系统管理员、骨干和对信息安全管理有兴趣的学员等。

泰州27001内审员课程大纲：

信息安全风险处置

组织应确定并应用一个信息安全风险评估过程:

a)考虑风险评估的结果,选择合适信息安全风险处置选项;

b)确定对应用所选择的信息安全风险处置选项必要的所有控制措施;

备注:组织能够按要求设计控制措施,或从任何来源中识别;

c)比较上面6.1.3b)中确定的控制措施和附录A中所列的控制措施,以

核实没有必要的控制措施被遗漏。

备注1:附录A包含了一份全面的控制目标和控制措施列表,本标准用户可以作为指导以确保不会遗漏必要的控制措施。

备注2:控制目标被隐含在所选择的控制措施中。附录A中所列的控制目标和控制措施并不是所有的控制目标和控制措施,组织也可能需要选择另外的控制目标和控制措施。

d)产生适用性声明,其中包括必要的控制措施[见6.1.3b)和c)]以及选择或不选择的理由。

e)规划信息安全风险处置计划,以及

f)得到风险负责人对信息安全风险处置计划的批准以及对残余信息安全风险的接受。

组织应将信息安全风险处置过程保留文件化信息。

备注:本标准中信息安全风险评估和处置过程与IS0310005提供的原则和通用指导保持了校准"。

检查表的作用

1)明确与审核目标有关的样本。审核采用的主要方法足抽样检查。抽什么样本、每种样本应抽多少数量、如何抽样等问题都要通过编写检查表解决,而且这一切都要为达到审核目标服务。因此明确与审核目标有关的样本是检查表的首要作用。

2)使审核员保持明确的审核目标。现场审核中会出现各种各样的问题,这些问题会影响审核员的注意力,使其偏离审核方向。借助检查表,审核员可以保持审核主题方向。即使有些偏离审核方向时,检查表也可起到提醒和警示的作用。

3)确保审核工作的系统性和完整性。在审核组内,审核任务各有分工,只有结合起来才构成系统和完整的审核。审核组长正是通过对检查表的审查,来把握审核的总体情况。现场审核时,审核员则依据检查表审核,保证审核内容没有遗漏,从而确保审核[[作的系统性和完整性。

4)保证审核的节奏和连续性。现场审核是一项高节奏而紧张的活动,由于审核时间有限,不允许在某个问题上或某个区域逗留时间过长,依据检查表的安排,审核员可以控制时间,掌握节奏,使审核连续进行, 而不是跳跃式审核。

5)确保审核的正规化。依据检查表提问题,易于使审核保持连续性和系统化,使所提问题有的放矢,且使受审核方感到审核员的审核有针对性和有充分的准备,体现出审核员的专业性和正规性。

6)作为审核记录存档。检查表中一般都设有“审核记录”栏,以供审核员现场审核记录有关事实。通过检查表可以反映审核员审核的内容、审核的证据。检查表是审核档案中的重要原始资料。

泰州27001内审员培训安排

培训方式

ISO27001信息安全管理体系内审员培训班采用大量实践案例，辅以审核场景模拟练习、小组讨论、故障排除等教学方法。教学气氛活跃，教学效果良好。

培训时间

12学时，共2天。

培训地点

泰州市海陵区济川东路101号（近鼓楼南路）

培训费用

共计2400元/人，包括培训费、教材费及内审员证书费；交通食宿费自理。

考核发证

经考试合格，将获颁"ISO27001：2022信息安全管理体系内审员"资格证书。