【正文】 step1如果ISMS和其他體系的聯(lián)系和區(qū)別n 聯(lián)系q 所有管理體系的共性（需要分析的 5大要素）：人、機(jī)、料、法、環(huán)n 區(qū)別q ISMS：n %5的人：做 95%的工作n %95的人：執(zhí)行（需要接受培訓(xùn)）本頁(yè)及下頁(yè)圖片來(lái)源于 BSI中國(guó)網(wǎng)站ISMS適用的行業(yè)n 以信息為生命線的行業(yè)：q 金融行業(yè)：銀行、保險(xiǎn)、證券、基金、期貨等q 通信行業(yè)：電信、網(wǎng)通、移動(dòng)、聯(lián)通等q 皮包公司：外貿(mào)、進(jìn)出口、 HR、獵頭、會(huì)計(jì)師事務(wù)所等n 對(duì)信息技術(shù)依賴度高的行業(yè)：q 鋼鐵、半導(dǎo)體、物流q 電力、能源q 外包（ ITO或 BPO）： IT、軟件、電信 IDC、 Call Center等n 工藝技術(shù)要求高、競(jìng)爭(zhēng)對(duì)手渴望得到的：q 醫(yī)藥、精細(xì)化工q 研究機(jī)構(gòu)ISO27001, 20230 CMMIRequirementOperateOptimizeDesignBuildDeployCMMIISO20230ISO27001 ISO27001如何成為 LA主任審核員？n 要成為 LA，必須經(jīng)過(guò)：q 2 MD observer Junior Auditorq 20MD junior auditor Auditorq 15MD auditor Lead Auditorn 注意：q 后兩項(xiàng)經(jīng)驗(yàn)需分別從 3個(gè)新的、不同的客戶中獲取q 上述每一段經(jīng)驗(yàn)，均需在 2年內(nèi)獲得q DNV可以幫助進(jìn)行 IRCA注冊(cè)什么是好的 ISMSn Good Information Security Management q Systematic approachq Improved understanding of business aspectsq Reduction in security breaches and/or claimsq Reduction in adverse publicityq Improved insurance liability ratingq Identify critical assets via the business risk assessmentq Provide a structure for continuous improvementq Be a confidence factor internally as well as externallyq Enhance the knowledge and importance of securityrelated issues at the management levelq Ensure that “knowledge capital” will be “stored” and managed in a business management system實(shí)施 ISMS的關(guān)鍵成功因素n 與組織文化一致的信息安全方法n 老板的支持n 對(duì)信息安全的要求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理有好的理解n 向所有員工和其他人分發(fā)信息安全指南n 有效的對(duì)員工和其他人推銷信息安全（外部人員也被要求進(jìn)行信息安全培訓(xùn)）n 足夠的財(cái)務(wù)支持，以及滿足要求的現(xiàn)有系統(tǒng)的能力和配置水平n 有效的信息安全事故管理過(guò)程Tips1重要提示n ISMS（信息安全管理體系）和 ITSM（信息技術(shù)服務(wù)管理）的整合需求越來(lái)越大：q 來(lái)自最高管理者的關(guān)注增強(qiáng)q 來(lái)自客戶的推動(dòng)、壓力q 政府的推動(dòng)并提供資金的支持，如 “十百千 ”工程q 行業(yè)的普遍關(guān)注，如電信 IDC，移動(dòng)，電力系統(tǒng)，海關(guān)總署，國(guó)家質(zhì)監(jiān)總局n 目前，各大銀行和電力企業(yè)正在實(shí)施 ITIL，每年有 Very Large的市場(chǎng)。n 風(fēng)險(xiǎn)分析：q 評(píng)估風(fēng)險(xiǎn)數(shù)量的系統(tǒng)化流程n 風(fēng)險(xiǎn)評(píng)估：q 包括風(fēng)險(xiǎn)定義，風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估的流程。n Information Security信息安全q 對(duì)信息的保密性、完整性和可用性的保護(hù)，同時(shí)涉及真實(shí)性、責(zé)任區(qū)分、防止抵賴和可靠性等其他特性。 至于三級(jí)文件，因各個(gè)機(jī)構(gòu)情況不一，在此就沒(méi)有一一列舉。ISO27001 Lead Auditor Training CourseNeil YuShanghaiFeb. 1822, 2023Version Updated on June 19, 2023ISO27001 LA Training CourseDay 1ShanghaiFeb. 18, 2023典型的信息安全事件n HW事件q HW到中東某國(guó)投標(biāo)，５、６人住當(dāng)?shù)匾患揖频辍? 物理安全和人員安全的要點(diǎn)n 物理安全需檢查：q 平面布局圖q 標(biāo)示出的敏感物理區(qū)域n 人員安全需注意：q 任何人發(fā)生變動(dòng)而引起權(quán)限變更，都必須報(bào)告給HR文件管理n Best practices:q 絕密級(jí)的文件要受控發(fā)放（每頁(yè)加 “絕密 ”字樣），當(dāng)天發(fā)放、當(dāng)天收回q 絕密級(jí)的電子文件不允許放到網(wǎng)上q 一句經(jīng)典： online的才是有效的，打印的僅供參考！風(fēng)險(xiǎn)處置選項(xiàng)與適用性聲明n Risk Treatment Optionsq 降低風(fēng)險(xiǎn) Risk reductionn 采取控制措施q 回避風(fēng)險(xiǎn) Risk avoidancen 拋棄某種技術(shù)或生產(chǎn)方式q 轉(zhuǎn)移風(fēng)險(xiǎn) Risk transfern 保險(xiǎn)、外包q 接受風(fēng)險(xiǎn) Risk acceptancen ……n Statement of applicabilityq 概括了對(duì)風(fēng)險(xiǎn)處置的決定About FILES Audit關(guān)于文審n Basic audit skills: q 初審之前要求企業(yè)提供 Two Initial requirements:n Organizational chart組織結(jié)構(gòu)圖n Files list文件清單n Files architecture:q High level: Policy/ Manual（方針、手冊(cè)）q Medium level: Standard procedures (4W1H)q Low Level: Working instructions (作業(yè)指導(dǎo)書(shū)，針對(duì)特定工藝、產(chǎn)品或崗位 )q Basic level: records（記錄）Tips 4n 初審時(shí)最重要的一件事：找出 “風(fēng)險(xiǎn) ”點(diǎn)！n 針對(duì)核心系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，實(shí)施控制措施n 考試小竅門：q 很多問(wèn)題的答案都應(yīng)該選 “Policy”q ?審核類型n Types of auditsq First party/ internal auditn 內(nèi)審，但不能審核與自己工作職責(zé)相同的范圍q Second party/ external auditn 客戶對(duì)于供應(yīng)商的審核q Third party/ external auditn 獨(dú)立、公正的認(rèn)證機(jī)構(gòu)的審核n Other auditsq Process audit （一般表現(xiàn)為受委托對(duì)第二方進(jìn)行審核）q Product audit（一般表現(xiàn)為企業(yè)對(duì)自身產(chǎn)品的抽樣、破壞性試驗(yàn)）認(rèn)可 /認(rèn)證的層次關(guān)系n 由上至下：q Department of Trade and Industry (DTI)n 世界工業(yè)聯(lián)合會(huì)q Accreditation Body (. UKAS)n 認(rèn)可機(jī)構(gòu)q Certification Bodies (. DNV)n 認(rèn)證機(jī)構(gòu)q Organizationsn 組織q