ISCCC教程案例练习册.docVIP

中国信息安全认证中心 ISMS审核员培训教程 目 录 第一部分 案例 2 1 博文公司介绍 2 2 博文公司ISMS文件 3 第二部分 练习 27 1 练习一：确定审核范围 27 2 练习二：编制审核方案和审核计划 28 3 练习三：风险评估评审 29 4 练习四：编制检查表 30 5 练习五：判断不符合项 31 第一部分 案例 博文公司介绍 位于北京上地信息产业园区的数据成立于200年8月，总投资00万元为用户提供数据加工服务 大批量纸介质数据的电子化 加工制作数字化报刊和电子图书ISMS方针 适用声明（SOA） 信息安全风险评估程序 信息安全事件管理程序 岗位信息安全职责  第二部分 练习 练习一：确定审核范围 要求：根据案例资料，各学习小组分组讨论委托方的认证审核范围，最后由各小组组长写出审核范围。 练习二：编制审核方案和审核计划 要求：根据案例资料，各学习小组分组讨论编制一个证书周期内的审核方案和初次认证审核的审核计划。 练习三：风险评估评审 要求：根据案例资料中的《信息安全风险评估程序》，各学习小组分组讨论评审该程序，并由小组组长写出评审报告。 练习四：编制检查表 要求：根据案例资料中的《适用声明》文件，各学习小组任意选择其中一章要求，编制检查表。 练习五：判断不符合项 要求：根据以下情形判断不符合项，并作出相应描述。 1、在审核公司的信息安全方针和目标时，发现总经理曾发布过信息安全方针：“积极预防、整体控制，减少业务风险 解释：术语“责任人”是被认可，具有控制生产、开发、保持、使用和资产安全的个人或实体。术语“责任人”不指实际上对资产具有财产权的人。 信息安全管理体系审核员培训教程－学员案例练习册 49 编制风险评估报告 分析和评价 风险 识别风险 建立风险评估工作组 确定风险评估范围