ISMS内审员培训课程第二部分：ISO-27001标准附录A详解.ppt

ISMS内审员培训课程 课程内容 第一部分 信息安全基础知识及案例介绍 第二部分 ISO27001标准正文部分详解 ISO27001标准附录A详解 第三部分 信息安全风险评估与管理 第四部分 体系文件编写 第五部分 信息安全管理体系内部审核 11大控制域  A.5 安全方针 A.5 安全方针 信息安全方针文件 信息安全方针的评审 A.5.1.1 信息安全方针文件 控制措施：信息安全方针文件应经管理者批准、发布并传达给所有员工和外部相关方。 A.5.1.2信息安全方针评审 控制措施：宜按计划的时间间隔或当重大变化发生时进行信息安全方针评审，以确保它持续的适宜性、充分性和有效性。  A.6 信息安全组织 A.6.1 内部组织 信息安全的管理承诺 信息安全协调 信息安全职责的分配 信息处理设施的授权过程 保密性协议 与政府部门的联系 与特定利益团体的联系 信息安全的独立评审 A.6.2 外部各方 与外部各方相关风险的识别 处理与顾客有关的安全问题 处理第三方协议中的安全问题  A.7 资产管理 A.7.1 对资产负责 资产清单 资产责任人 资产的可接受使用 A.7.2 信息分类 分类指南 信息的标记与处理  A.8 人力资源安全 A.8.1 任用2)前 目标：确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的，以降低设施被窃、欺诈和误用的风险。 A.8.2 任用中 管理职责 信息安全意识、教育和培训 纪律处理过程 A.8.3 任用的终止或变化 终止职责 资产的归还 撤销访问权  A.9 物理和环境安全 A.9.1安全区域 物理安全周边 物理入口控制 办公室、房间和设施的安全保护 外部和环境威胁的安全防护 在安全区域工作 公共访问、交接区安全 A.9.2 设备安全 设备定置和保护 支持性设施 布缆安全 设备维护 组织场所外的设备安全 设备的安全处理或再利用 资产的移动  A.10 通信和操作管理 A.10.1操作规程和职责 文件化的操作规程 变更管理 责任分割 开发、测试和运行设施分离 A.10.2 第三方服务交付管理 服务交付 第三方服务的监视和评审 第三方服务的变更管理 A.10.3 系统规划和验收 容量管理 系统验收 A.10.4 防范恶意和移动代码 控制恶意代码 控制移动代码 A.10.5 备份 信息备份 A.10.6 网络安全管理 网络控制 网络服务安全 A.10.7 介质处置 可移动介质的管理 介质的处置 信息处理规程 系统文件安全 A.10.8 信息的交换 信息交换策略和规程 交换协议 运输中的物理介质 电子信息发送 业务信息系统 A.10.9 电子商务服务 电子商务 在线交易 公共可用信息 A.10.10 监视 审计记录 监视系统的使用 日志信息的保护 管理员和操作员日志 故障日志 时钟同步  A.11 访问控制 A.11.1 访问控制的业务要求 访问控制策略 A.11.2 用户访问管理 用户注册 特殊权限管理 用户口令管理 用户访问权的复查 A.11.3 用户责任 口令使用 无人值守的用户设备 清空桌面和屏幕策略 A.11.4 网络访问控制 使用网络服务的策略 外部连接的用户鉴别 网络上的设备标识 远程诊断和配置端口的保护 网络隔离 网络连接控制 网络路由控制 A.11.5 操作系统访问控制 安全登录规程 用户标识和鉴别 口令管理系统 系统实用工具的使用 会话超时 联机时间的限定 A.11.6 应用和信息访问控制 信息访问限制 敏感系统隔离 A.11.7 移动计算与远程工作 移动计算和通信 远程工作  A.12 信息系统获取、开发和维护 A.12.1 信息系统的安全要求 安全要求分析与规范 A.12.2 应用中的正确处理 输入数据确认 内部处理的控制 消息完整性 输出数据确认 A.12.3 密码控制 使用密码控制的策略 密钥管理 A.12.4 系统文件的安全 运行软件的控制 系统测试数据的保护 对程序源代码的访问控制 A.12.5 开发和支持过程中的安全 变更控制规程 操作系统变更后应用的技术评审 软件包变更的限制 信息泄漏 外包软件开发 A.12.6技术脆弱性管理 技术脆弱性的控制  A.13 信息安全事件管理 A.13.1 报告信息事态和弱点 报告信息安全事态 报告安全弱点 A.13.2 信息安全事件和改进的管理 职责和规程 对信息安全事件的总结 证据的收集  A.14 业务连续性管理 A.14.1 业务连续性管理的信息安全方面 目标：防止业务活动中断，保护关键