ISO27001LA 信息安全管理体系主任审核师学习心得

 

    天气不冷不热刚刚好的五月,绿意也葱葱,上海信息化培训中心ISO27001LA开班啦!这个班除了可以称为是信息安全管理体系主任审核师培训班外,还可以叫“学友再次联盟班”,特别有缘,本期的5名学友,其中3名学友在第一天上课时竟然发现之前一起参加过CISA(国际信息系统审计师)CBCP(国际业务持续性管理专家),老同学见面,气氛很快活跃起来,新加入的2名新学员也受到感染,大家像老朋友一样介绍,很快的营造了轻松、自在的学习环境。

 

为学员们上课的是台湾Tiger 老师,与上海信息化培训中心已经合作15年,是IRCA的注册讲师,曾任德国TUV亚太区总裁,被评为亚太地区最佳讲师。课程开始前,Tiger老师做了自我介绍和课程介绍以及IRCA认可的培训组织, 例如ISMS(ISO/IEC27001:2013)ITSMS(ISO/IEC20000-1:2001)等。Tiger老师在介绍自己以及IRCA之后,提出让学员以Icebreak“破冰之旅”的形式自我介绍,学员俩俩配对,相互介绍自己现在从事的工作,为什么想来进修ISO27001LA, 以及对ISO27001LA的理解程度有多少,学员按照老师的要求,开始相互自我介绍,迅速进入培训状态。

 

1. ISO27001LA到底讲什么,能够帮助企业解决什么问题?

 

ISO27001体系自国际标准化组织颁布为国际标准ISO 27001:2005,成为信息安全管理之国际通用语言,于2013927日更新改版为ISO27001: 2013,与ISO 9000ISO 20000结合更加紧密。ISO27001已被全球一万八千多家政府机构和知名企业所采用。其方法是通过风险评估风险管理切入企业的信息安全需求,有效降低企业面临的风险。在ISO27001:2005中有11个领域133个控制点,而在ISO27001:2013中有14个领域114个控制点(删除了旧版中39个控制点,新增了20个控制点),组织拥有ISO27001LA的员工,可以

l 培养组织合格的审计工作者l 科学评估组织信息资产,提高安全工作效率,为组织商业运作提供更有效的服务;l 保护信息不受各种威胁,建立缜密的灾难恢复计划,确保业务连续性和减少业务损失;l 评估与安全相关的管理政策、程序、实务,形成“信息安全、人人有责”的企业文化;l 表征组织信息安全管理能力,做好注册准备工作,获得客户充分信任。2. ISO27001LA课程适合怎样的客户企业?

建立信息安全管理体系(ISMS)已成为各种组织,特别是高科技产业、金融机构等管理运营风险不可缺少的重要机制。在某些行业,如软件外包,ISO27001认证已经成为客户要求必备条件。个人成为ISO27001LA(IRCA)权威注册审核员需要参加IRCA认可的培训课程并积累审核经验:这个审核经验可以是第二方,也可以是第三方的审核经验。对于非IRCA认可的课程,须证明培训满足要求。IRCA是独立机构,若得到IRCA认可,那就意味着个人不只是某个审核机构或单位的审核员,还是IRCA国际认可的审核员,受到所有审核机构和审核单位的认可,价值更高。未受IRCA认可的培训和证书只受该机构认可,而IRCA认可的证书和培训国际认可。

 

3. 企业中怎样的人群需要学习ISO27001LA?

 

ISO27001LA适合有兴趣导入ISO27001与信息技术服务管理系统的企业人员;信息技术服务管理系统审核员(想要精进审核技巧);顾问师(想要从事ISO 27001信息技术服务管理系统导入、验证辅导);信息技术与质量专家

参加ISO27001LA学员应有信息技术服务或信息技术服务管理的经验、ISO 27001基本知识、信息技术服务管理系统的基本概念, 在SITC 学习ISO27001LA可以为个人带来的收益为:

l 深入理解ISO27001\ISO27002等相关条文;l 掌握建立和实施ISMS的过程和方法;l 掌握审核和监控ISMS的知识和技巧;l 获得IRCA认可的ISO27001LA证书;l 加入SITC校友圈,优先参与校友活动

4. ISO27001LA课程整体框架是什么?

 

下图为ISO27001LA的课程整体框架

ISO 27001:2013相对于ISO 27001: 2005从结构到细节都有很多变化,兼容性和灵活性都有所增强,比较引人注目的包括如下几点:

        a.篇章结构:在篇章结构上与ISO管理体系标准模板AnnexSL (previously ISO Guide 83) 保持一致,在风险管理原则上与ISO31000风险管理标准保持一致。这样在实践上与ISO9000, ISO20000ISO22301等标准体系更容易集成整合。

        0 Introduction

        1 Scope

        2 Normative references

        3 Terms anddefinitions

        4 Context of theorganization

        5 Leadership

        6 Planning

        7 Support

        8 Operation

        9 Performanceevaluation

        10 Improvement

        b. 域和控制项:从200511个域133个控制项优化调整为14个域114个控制项。使用的控制项根据风险处置流程来确定,不在要求一定从附录A中选。附录A罗列的114个控制项的意义在提供cross-check 确保不遗漏必要的控制措施。

        c. 风险评估和处置方法论:资产、脆弱点和威胁(Assets, vulnerabilities and threats)不再要求为风险评估的基础。无论哪种风险识别方法,只要能识别风险相关的 CIA(confidentiality, integrity and availability)asset owner 被“risk owners 概念取代,责任相应上移。

        d. 持续改进方法论:可以使用PDCA之外的方法论

 

5. 当期学员参加ISO27001LA原因汇总

 

其实前面提到,上课之前,Tiger老师有让学员介绍自己参加ISO27001LA原因。

赢创化学的陈学员说自己在公司已经10年多,之前从事IT12年后调至业务部门,之前已经参加过05版的ISO27001LA,现在想了解升级改版后的ISO27001LA与之前有什么不同。

三菱银行的学员表示,目前公司尚未建立信息安全标准,想了解关于这块的最新情况。

上汽通用沈阳分公司的学员表示,目前自己接手信息安全还不到1年,今年8月公司需要建设自己的信息安全标准,想通过培训学习,提高专业知识。

浦发硅谷的学员表示,自己目前从事项目管理工作,学习ISO27001LA肯定对现在从事的工作有帮助。

可以看到,无论是与现在自己的工作相关,或者是为了了解该领域的理论知识,就像Tiger老师开场时说过:信息安全课程改变自己生涯,在最初学习信息安全课程的学员现在已是行业内大牛,现在还未晚,一直都不会晚。