ISMS资产分类与控制
1.1 资产责任
1. 资产清单
资产清单有助于确保进行有效的资产保护,其它商业目的,如卫生和安全、保险或财务(资产管理)原因同样需要资产清单。编制资产清单的过程是风险评估的一个重要方面。组织需要识别其资产及这些资产的相对价值和重要性。基于这些信息,组织能够进而提供与资产的价值和重要性相符的保护等级。应该编制并保持与每一信息系统相关的重要资产的清单。应该清晰识别每项资产、其拥有权、经同意和记录为文件的安全分级(见5.2),以及资产现在的位置(当试图从丢失和损坏状态恢复时是重要的)。和信息系统相关的资产的例子:
a)信息资产:数据库和数据文档、系统文件、用户手册、培训资料、操作和支持程序、持续性计划、备用系统安排、存档信息;
b)软件资产:应用软件、系统软件、开发工具和实用程序;
c)有形资产:计算机设备(处理器、监视器、膝上形电脑、调制解调器),通信设备(路由器、数字程控交换机、传真机、应答机),磁媒体(磁带和软盘),其他技术装备(电源,空调设备),家具和住所;
d)服务:计算和通信服务,通用设备,如供暖,照明,电力和空调等。
ISO27001信息安全管理标准理解及内审员培训
培训热线:0755-********、25936264 李小姐客服QQ:1484093445、675978375
ISO27001信息安全管理标准理解及内审员培训下载报名表内训调查表
【课程描述】
ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施,保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求,指导如何管理信息安全风险,并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础,教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准,并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。
【课程帮助】
如果你想对本课程有更深入的了解,请参考 >>> 德信诚ISO27001内审员相关资料手册
【课程对象】
信息安全管理人员,欲将ISO27001导入组织的人员,在ISO27001实施过程中承担内部审核工作的人员,有志于从事IT 信息安全管理工作的人员。
【课程大纲】
第一部分:ISO27001:2005信息安全概述、标准条款讲解
◆ 信息安全概述:信息及信息安全,CIA目标,信息安全需求来源,信息安全管理。
◆ 风险评估与管理:风险管理要素,过程,定量与定性风险评估方法,风险消减。
◆ ISO/IEC 27001简介:ISO27001标准发展历史、现状和主要内容,ISO27001标准认证。
◆ 信息安全管理实施细则:从十个方面介绍ISO27001的各项控制目标和控制措施。
◆ 信息安全管理体系规范:ISO/IEC27001-2005标准要求内容,PDCA管理模型,ISMS建设方法和过程。
第二部分:ISO27001:2005信息安全管理体系文件建立(ISO27001与ISO9001、ISO14001管理体系如何整合)
◆ ISO27001与ISO9001、ISO14001的异同
◆ ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件
◆ 如何将三体系整合降低公司的体系运行成本
◆ ISO9001、ISO14001、ISO27001体系三合一整合案例分析
第三部分:信息安全管理体系内部审核技巧和认证应对案例分析
◆ ISO27001:2005标准对内审员的新要求
◆ 信息安全管理体系认证现场审核的流程、技巧及沟通方法
◆ 如何应对认证公司的认证审核、监督审核、案例分析
◆ 考试 >>> 考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书”