【正文】 step1如果ISMS和其他體系的聯(lián)系和區(qū)別n 聯(lián)系q 所有管理體系的共性（需要分析的 5大要素）：人、機、料、法、環(huán)n 區(qū)別q ISMS：n %5的人：做 95%的工作n %95的人：執(zhí)行（需要接受培訓）本頁及下頁圖片來源于 BSI中國網(wǎng)站ISMS適用的行業(yè)n 以信息為生命線的行業(yè)：q 金融行業(yè)：銀行、保險、證券、基金、期貨等q 通信行業(yè)：電信、網(wǎng)通、移動、聯(lián)通等q 皮包公司：外貿(mào)、進出口、 HR、獵頭、會計師事務所等n 對信息技術依賴度高的行業(yè)：q 鋼鐵、半導體、物流q 電力、能源q 外包（ ITO或 BPO）： IT、軟件、電信 IDC、 Call Center等n 工藝技術要求高、競爭對手渴望得到的：q 醫(yī)藥、精細化工q 研究機構ISO27001, 20230 CMMIRequirementOperateOptimizeDesignBuildDeployCMMIISO20230ISO27001 ISO27001如何成為 LA主任審核員？n 要成為 LA，必須經(jīng)過：q 2 MD observer Junior Auditorq 20MD junior auditor Auditorq 15MD auditor Lead Auditorn 注意：q 后兩項經(jīng)驗需分別從 3個新的、不同的客戶中獲取q 上述每一段經(jīng)驗，均需在 2年內(nèi)獲得q DNV可以幫助進行 IRCA注冊什么是好的 ISMSn Good Information Security Management q Systematic approachq Improved understanding of business aspectsq Reduction in security breaches and/or claimsq Reduction in adverse publicityq Improved insurance liability ratingq Identify critical assets via the business risk assessmentq Provide a structure for continuous improvementq Be a confidence factor internally as well as externallyq Enhance the knowledge and importance of securityrelated issues at the management levelq Ensure that “knowledge capital” will be “stored” and managed in a business management system實施 ISMS的關鍵成功因素n 與組織文化一致的信息安全方法n 老板的支持n 對信息安全的要求、風險評估和風險管理有好的理解n 向所有員工和其他人分發(fā)信息安全指南n 有效的對員工和其他人推銷信息安全（外部人員也被要求進行信息安全培訓）n 足夠的財務支持，以及滿足要求的現(xiàn)有系統(tǒng)的能力和配置水平n 有效的信息安全事故管理過程Tips1重要提示n ISMS（信息安全管理體系）和 ITSM（信息技術服務管理）的整合需求越來越大：q 來自最高管理者的關注增強q 來自客戶的推動、壓力q 政府的推動并提供資金的支持，如 “十百千 ”工程q 行業(yè)的普遍關注，如電信 IDC，移動，電力系統(tǒng)，海關總署，國家質(zhì)監(jiān)總局n 目前，各大銀行和電力企業(yè)正在實施 ITIL，每年有 Very Large的市場。n 風險分析：q 評估風險數(shù)量的系統(tǒng)化流程n 風險評估：q 包括風險定義，風險分析和風險評估的流程。n Information Security信息安全q 對信息的保密性、完整性和可用性的保護，同時涉及真實性、責任區(qū)分、防止抵賴和可靠性等其他特性。 至于三級文件，因各個機構情況不一，在此就沒有一一列舉。ISO27001 Lead Auditor Training CourseNeil YuShanghaiFeb. 1822, 2023Version Updated on June 19, 2023ISO27001 LA Training CourseDay 1ShanghaiFeb. 18, 2023典型的信息安全事件n HW事件q HW到中東某國投標，５、６人住當?shù)匾患揖频辍? 物理安全和人員安全的要點n 物理安全需檢查：q 平面布局圖q 標示出的敏感物理區(qū)域n 人員安全需注意：q 任何人發(fā)生變動而引起權限變更，都必須報告給HR文件管理n Best practices:q 絕密級的文件要受控發(fā)放（每頁加 “絕密 ”字樣），當天發(fā)放、當天收回q 絕密級的電子文件不允許放到網(wǎng)上q 一句經(jīng)典： online的才是有效的，打印的僅供參考！風險處置選項與適用性聲明n Risk Treatment Optionsq 降低風險 Risk reductionn 采取控制措施q 回避風險 Risk avoidancen 拋棄某種技術或生產(chǎn)方式q 轉移風險 Risk transfern 保險、外包q 接受風險 Risk acceptancen ……n Statement of applicabilityq 概括了對風險處置的決定About FILES Audit關于文審n Basic audit skills: q 初審之前要求企業(yè)提供 Two Initial requirements:n Organizational chart組織結構圖n Files list文件清單n Files architecture:q High level: Policy/ Manual（方針、手冊）q Medium level: Standard procedures (4W1H)q Low Level: Working instructions (作業(yè)指導書，針對特定工藝、產(chǎn)品或崗位 )q Basic level: records（記錄）Tips 4n 初審時最重要的一件事：找出 “風險 ”點！n 針對核心系統(tǒng)進行風險評估，實施控制措施n 考試小竅門：q 很多問題的答案都應該選 “Policy”q ?審核類型n Types of auditsq First party/ internal auditn 內(nèi)審，但不能審核與自己工作職責相同的范圍q Second party/ external auditn 客戶對于供應商的審核q Third party/ external auditn 獨立、公正的認證機構的審核n Other auditsq Process audit （一般表現(xiàn)為受委托對第二方進行審核）q Product audit（一般表現(xiàn)為企業(yè)對自身產(chǎn)品的抽樣、破壞性試驗）認可 /認證的層次關系n 由上至下：q Department of Trade and Industry (DTI)n 世界工業(yè)聯(lián)合會q Accreditation Body (. UKAS)n 認可機構q Certification Bodies (. DNV)n 認證機構q Organizationsn 組織q