©大话管理体系 -四步玩转ISO27001标准课程

课程导入

信息安全：树立正确信息安全观

讨论：什么是信息安全

n  信息安全与我工作有没有关系

n  信息安全与我有没有关系

Ø  信息安全发展四阶段

n  通信安全

n  技术机安全

n  网络安全

n  信息安全

Ø  信息安全现状与趋势

Ø  信息安全四大特点

n  广泛

n  动态

n  相对

n  人

Ø  信息安全两种视野问题

n  企业

n  个人

Ø  信息安全保障能力发展阶段

Ø  国家网络安全宣传周演变

Ø  信息安全法规

Ø  信息安全管理逻辑

n  内部与外部

n  技术与管理

Ø  信息安全管理四种工具

n  加密技术

n  人员培训

n  防火墙

n  防病毒软件

课程小结诊断：

标准演变：了解底层逻辑

Ø  ISO三大组织

Ø  信息安全标准前身

Ø  ISO27001标准演变

Ø  ISO27001相关标准

Ø  信息安全标准构成

Ø  信息安全管理体系框架

Ø  信息安全管理体系工作开展

Ø  标准核心

n  PDCA

n  过程方法

n  风险与机遇思维

Ø  工具：PDCA/过程方法/SOWT

Ø  课程诊断小结：XXXXX

条款解读：通俗解读灵活应用

学习标准维度

讨论：开星巴克注意事项

体系价值

第四章：理解组织及其背景环境

n  管理大师介绍

n  波特五力模型

n  .4PEST模型

Ø  案例：XXXXX

行动计划：识别企业有哪些内外部环境

讨论：婆媳关系

Ø  理解相关方的需求和期望组织应确定

讨论：企业涉及哪些相关方

Ø  相关方

n  相关方定义

n  相关方管理流程

行动计划：以部门为中心进行相关方识别

Ø  体系的范围确定

Ø  认证范围范围确定框架

第五章：领导作用与承诺

Ø  领导那些事

Ø  方针

n  方针作用

n  方针与目标关系

n  编写方针注意事项

n  常见的方针误区案例

Ø  组织的作用职责和权限

Ø  组织及过程与系统关系

行动计划：描述你部门涉及信息安全职责

第六章：风险和机遇对应对

Ø  风险三要素

案例：车祸

Ø  风险管理步骤

Ø  案例：风险机遇评估表

Ø  信息安全风险处置

Ø  信息安全目标和策划

n  方针与目标之间关系

n  公司目标如何分解

1)      分蛋糕与做蛋糕

2)      目标考虑原则

3)      目标利他性

4)      阶段性目标与常规目标

工具： SMART原则

n  目标管理流程

案例：信息安全目标分解

行动计划：分解本部门信息安全目标

第七章：支持

Ø  信息安全管理涉及资源

Ø  人力资源管理六模块

Ø  信息安全意识对企业对作用

Ø  沟通

n  沟通重要性

n  企业三大成本

n  信息传递步骤

n  沟通四大特点

n  沟通三大技巧

Ø  游戏：XXXXX

Ø  成文信息

n  文件如何策划

n  文件管理要素

第八章：运行

Ø  运行策划和控制

Ø  信息安全风险评估

讨论：下列哪些属于信息安全中的信息资产

Ø  信息资产

n  分类

n  信息资产识别模型

n  信息安全铁三角

Ø  风险评估流程

Ø  案例：风险评估计划

Ø  风险评估四种方法

n  检查列表

n  文件评估

n  现场观察

n  技术评估

Ø  行动计划：描述电脑信息安全三属性

Ø  行动计划：识别本部门信息资产并进行风险评估

Ø  案例：风险评估

Ø  风险评估文件

Ø  信息安全风险处置

Ø  信息安全风险四种处置方式

n  降低风险

n  规避风险

n  回避风险

n  接受风险

Ø  案例：风险处置计划

第九章：监视 测量分析和评价

Ø  信息安全管理绩效的监视与测量

n  定性

n  定量

n  依据

n  内容

Ø  法律法规合规评价

n  收集来源

n  法律法规收集框架

n  法律法规关注点

n  法律法规评价注意事项

案例：法律法规清单

案例：法律法规合规性评价

Ø  内部审核

Ø  管理评审

案例：管理评审计划/管理评审报告

第十章：改进

Ø  不符合与纠正措施

案例：擦玻璃的故事

Ø  纠正措施流程

行动计划：感冒

案例：纠正措施格式

讨论：背单词

案例：如何增加收入

附录A5-18解读

审核实施：有效体系诊断

  讨论：什么是审核

Ø  审核两种维度分类

n  发起者

n  审核对象

案例：从红烧肉看审核

Ø  审核关注点

Ø  审核与检查的区别

Ø  审核员具备三种能力

n  通用知识和技能

n  个人行为能力

n  信息安全有关能力

Ø  审核活动及实施顺序

n  启动项目

n  审核策划

n  准备审核

n  现场审核

n  审核报告

n  审核后续

Ø  审核流程时间占比

Ø  术语

n  术语定义

n  术语逻辑关系

案例：内审计划

Ø  首末次会议

n  流程

n  注意事项

n  问题点

行动计划：模拟首次会议

Ø  内审检查表

n  检查表作用

n  检查表要素

Ø  审核顺序

n  自上而下

n  自下而上

案例：按部门审核路线

Ø  抽样

n  基本原理

n  抽样原则

n  抽样风险

内审时间安排

Ø  不符合分类

n  轻微不符合

n  一般不符合

n  严重不符合

Ø  不符合报告编写

n  问题描述

n  四项原则

n  四项注意事项

n  如何判标

n  讨论：选D还是C

n  判标6项原则

n  判标注意事项

n  内审不符合整改

n  不符合验证原则

案例：

工具：鱼骨图/5WHY

Ø  内审报告编写

行动计划：模拟末次会议召开

Ø  审核四项后续活动

Ø  课程诊断小结：