ISO27001:2022 信息安全管理體系內部稽核員

課程大綱：
 

Section I 標準精解

ISO27001介紹

+ISO27000家族

ISO27001前言與引言

+國際標準框架

ISO27001要求

+4組織環境

-理解組織和組織環境

-瞭解相關方的需求和期望

-確定信息安全管理體系的範圍

-信息安全管理體系

+5領導力

-領導力和承諾

-方針

-組織角色、職責和權限

+6規劃

-應對風險和機遇的行動

總則

信息安全風險評估

信息安全風險處置

-信息安全目標和規劃實現

-變更規劃

+7支持

-資源

-能力

-意識

-溝通

-文件化信息

總則

創建和更新

受控文件化信息

+8運營

-運營的規劃與控制

-信息安全風險評估

-信息安全風險處置

+信息安全風險管理專題

-概念

• 術語定義
• 關鍵風險要素

-標準

• 風險評估流程和方法
• 資産/威脅/弱點測量標準
• 風險賦值標準

-指南

• 資産分類分級
• 風險量化
• 威脅/弱點評價和識別方法
• 風險評價
• 風險處置

-實踐

• 資産識別工具（5類資産）
• 風險管理工具（風險計算、分級處置）

+9績效評價

-監視、測量、分析和評價

-內審

總則

內部審核方案

-管理評審

總則

管理評審輸入

管理評審結果

+10改進

-持續改進

-不符合和糾正措施

ISO27001附錄A解析

+A5 組織控制

-A5.1信息安全政策

-A5.2信息安全角色和責任

-A5.3職責分離

-A5.4管理責任

-A5.5與當局的聯繫

-A5.6與特殊利益集團的聯繫

-A5.7威脅情報

-A5.8項目管理中的信息安全

-A5.9信息和其他相關資産清單

-A5.10信息和其他相關資産的可接受使用

-A5.11資産返還

-A5.12信息分類

-A5.13信息標簽

-A5.14信息傳遞

-A5.15訪問控制

-A5.16身份管理

-A5.17認證信息

-A5.18訪問權

-A5.19供應商關係中的信息安全

-A5.20在供應商協議中解决信息安全問題

-A5.21管理ICT供應鏈中的信息安全

-A5.22供應商服務的監控、審查和變更管理

-A5.23使用雲服務的信息安全

-A5.24信息安全事件管理規劃和準備

-A5.25信息安全事件的評估和决策

-A5.26應對信息安全事件

-A5.27從信息安全事件中吸取教訓

-A5.28收集證據

-A5.29中斷期間的信息安全

-A5.30 ICT爲業務連續性做好準備

+信息安全業務連續性管理專題

-概念

• 術語定義
• 業務連續性PDCA

-BCP\DRP\ERP

• RTO和RPO
• BCP制訂步驟與流程
• 信息安全基綫

-做法

• 態度
• 彎路
• 模板

-A5.31法律、法規、監管和合同要求

-A5.32知識産權

-A5.33保護記錄

-A5.34 PII的隱私和保護

-A5.35信息安全的獨立審查

-A5.36遵守信息安全政策、規則和標準

-A5.37文件化的操作程序

+A6 人員控制

-A6.1篩選

-A6.2雇傭條款和條件

-A6.3信息安全意識、教育和培訓

-A6.4紀律程序

-A6.5雇傭關係終止或變更後的責任

-A6.6保密或保密協議

-A6.7遠程辦公

-A6.8信息安全事件報告

+A7 物理控制

-A7.1物理安全周界

-A7.2物理進入

-A7.3保護辦公室、房間和設施

-A7.4物理安全監控

-A7.5防止物理和環境威脅

-A7.6在安全區域工作

-A7.7清理桌面和屏幕

-A7.8設備選址和保護

-A7.9場外資産的安全

-A7.10存儲介質

-A7.11配套設施

-A7.12布綫安全

-A7.13設備維護

-A7.14安全處置或重複使用設備

+A8 技術控制

-A8.1用戶終端設備

-A8.2特權訪問

-A8.3信息訪問限制

-A8.4訪問源代碼

-A8.5安全認證

-A8.6容量管理

-A8.7防惡意軟件

-A8.8技術漏洞的管理

-A8.9配置管理

-A8.10信息删除

-A8.11數據屏蔽

-A8.12數據防泄露

-A8.13信息備份

-A8.14信息處理設施的冗餘

-A8.15日誌記錄

-A8.16監測活動

-A8.17時鐘同步

-A8.18特權程序的使用

-A8.19在運營系統上安裝軟件

-A8.20網絡安全

-A8.21網絡服務的安全

-A8.22網絡隔離

-A8.23網頁過濾

-A8.24密碼學的使用

-A8.25安全開發生命周期

-A8.26應用程序安全要求

-A8.27安全系統架構和工程原理

-A8.28安全編碼

-A8.29開發和驗收中的安全測試

-A8.30外包開發

-A8.31開發、測試和生産環境的分離

-A8.32變更管理

-A8.33測試信息

-A8.34審計測試期間的信息系統保護

結語

Section II 內審能力

如何管理內審方案

+術語與定義

+內審規劃書（方案）

+審核方案建立、實施、監審、改進

如何實施內審

+內審計劃

+審核活動實施

+審核報告

如何獲取內審員能力

+行爲、知識和技能

+能力的獲得

+審核員評價準則

+如何應對審核老師

如何開發內審指南

+審核方法的應用

+抽樣

+管理體系合規性審核

+準備工作文件

+訪問及虛擬場所審核

+面談

+審核發現與總結

結語

Section III 企業實踐（融進體系標準）

合規工作流程

+迎審合規工作流程 參考

長期規劃

+5年信息安全規劃 參考

中期目標

+近中期（3年）目標及模塊工作 參考

當年關鍵任務管理

+當年信息安全項目 參考

注：結合信息安全風險管理講解

Section IV 認證考試

10道單選（20分）

10道多選（20分）

10道判斷（20分）

1道簡答（10分）

1道判標（15分）

1道論述（15分）

---

♦ 主辦單位保有課程變更、異動之權利，如有調整以現場公告為準。

♦ 請勿偽造他人身份資料進行報名以免觸犯法律。

♦ 研討會不提供客戶現場報名，未報名客戶請勿進場，並謝絕同業參加。

♦ 本活動恕無法為未能準時報到或當天無法出席者保留講義及座位。

---

  熱門課程資訊不漏接，重要標準更新一把抓! 快來加入德國萊因TUV LINE@ 官方帳號吧!