ISMS信息安全方针.docVIP

PAGE / NUMPAGES ISMS信息安全方针 信息安全方针 目标：为信息安全提供管理指导和支持。 管理者应该制定一套清晰的指导方针，并通过在组织内对信息安全方针的发布和保持来证明对信息安全的支持与承诺。 1. 信息安全方针文件 方针文件应得到管理者批准，并以适当的方式发布、传达到所有员工。该文件应该阐明管理者对实行信息安全的承诺，并陈述组织管理信息安全的方法，它至少应该包括以下几个部分： 信息安全的定义，其总体目标和范围，以及其作为信息共享的安全机制的重要性（见引言）； 申明支持信息安全目标和原则的管理意向； 对组织有重大意义的安全方针、原则、标准和符合性要求的简要说明，例如：符合法规和合同的要求； 安全教育的要求； 对计算机病毒和其他恶意软件的防范和检测； 可持续运营的管理； 违反安全方针的后果； 对信息安全管理的总体和具体责任的定义，包括汇报安全事故； 提及支持安全方针的文件，如：特定信息系统的更加详细的安全方针和程序，或用户应该遵守的安全规定。 本方针应以恰当、易得、易懂的方式向单位的预期使用者进行传达。 评审与鉴定 方针应有专人按照既定的评审程序负责它的保持和评审。该程序应确保任何影响原始风险评估根据的变化都会得到相应的评审，如：重大的安全事故、新的脆弱性、组织基础结构或技术基础设施的变化。同样应对以下各项进行有计划的、定期的评审： 方针的有效性，可通过记录在案的安全事故的性质、数量和所造成的影响来论证； 对运营效率进行控制的成本和效果； 技术变化所造成的影响； ISO27001信息安全管理标准理解及内审员培训 培训热线：075525936264 李小姐??客服QQ：1484093445、675978375 ? ISO27001信息安全管理标准理解及内审员培训 ?? 下载报名表?? 内训调查表 【课程描述】 ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助】 如果你想对本课程有更深入的了解，请参考 德信诚ISO27001内审员相关资料手册 【课程对象】 信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。 【课程大纲】 第一部分：ISO27001：2005信息安全概述、标准条款讲解◆ 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。◆ 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。◆ ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。◆ 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。◆ 信息安全管理体系规范：ISO/IEC27001-2005标准要求内容，PDCA管理模型，ISMS建设方法和过程。第二部分：ISO27001：2005信息安全管理体系文件建立（ISO27001与ISO9001、ISO14001管理体系如何整合）◆ ISO27001与ISO9001、ISO14001的异同◆ ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件◆ 如何将三体系整合降低公司的体系运行成本◆ ISO9001、ISO14001、ISO27001体系三合一整合案例分析第三部分：信息安全管理体系内部审核技巧和认证应对案例分析◆ ISO27001：2005标准对内审员的新要求◆ 信息安全管理体系认证现场审核的流程、技巧及沟通方法◆ 如何应对认证公司的认证审核、监督审核、案例分析◆ 考试 考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书”