ISO27001LA 學(xué)友聯(lián)盟再次來襲

ISO27001LA 信息安全管理體系主任審核師學(xué)習(xí)心得

    天氣不冷不熱剛剛好的五月，綠意也蔥蔥，上海信息化培訓(xùn)中心ISO27001LA開班啦！這個(gè)班除了可以稱為是信息安全管理體系主任審核師培訓(xùn)班外，還可以叫“學(xué)友再次聯(lián)盟班”，特別有緣，本期的5名學(xué)友，其中3名學(xué)友在第一天上課時(shí)竟然發(fā)現(xiàn)之前一起參加過CISA(國際信息系統(tǒng)審計(jì)師)和CBCP(國際業(yè)務(wù)持續(xù)性管理專家)，老同學(xué)見面，氣氛很快活躍起來，新加入的2名新學(xué)員也受到感染，大家像老朋友一樣介紹，很快的營造了輕松、自在的學(xué)習(xí)環(huán)境。

為學(xué)員們上課的是臺(tái)灣Tiger 老師，與上海信息化培訓(xùn)中心已經(jīng)合作15年，是IRCA的注冊(cè)講師，曾任德國TUV亞太區(qū)總裁，被評(píng)為亞太地區(qū)最佳講師。課程開始前，Tiger老師做了自我介紹和課程介紹以及IRCA認(rèn)可的培訓(xùn)組織， 例如ISMS(ISO/IEC27001:2013)、ITSMS(ISO/IEC20000-1:2001)等。Tiger老師在介紹自己以及IRCA之后，提出讓學(xué)員以Icebreak“破冰之旅”的形式自我介紹，學(xué)員倆倆配對(duì)，相互介紹自己現(xiàn)在從事的工作，為什么想來進(jìn)修ISO27001LA, 以及對(duì)ISO27001LA的理解程度有多少，學(xué)員按照老師的要求，開始相互自我介紹，迅速進(jìn)入培訓(xùn)狀態(tài)。

1. ISO27001LA到底講什么，能夠幫助企業(yè)解決什么問題？

ISO27001體系自國際標(biāo)準(zhǔn)化組織頒布為國際標(biāo)準(zhǔn)ISO 27001:2005，成為“信息安全管理”之國際通用語言，于2013年9月27日更新改版為ISO27001: 2013，與ISO 9000和ISO 20000結(jié)合更加緊密。ISO27001已被全球一萬八千多家政府機(jī)構(gòu)和知名企業(yè)所采用。其方法是通過“風(fēng)險(xiǎn)評(píng)估”、“風(fēng)險(xiǎn)管理”切入企業(yè)的信息安全需求，有效降低企業(yè)面臨的風(fēng)險(xiǎn)。在ISO27001:2005中有11個(gè)領(lǐng)域133個(gè)控制點(diǎn)，而在ISO27001:2013中有14個(gè)領(lǐng)域114個(gè)控制點(diǎn)（刪除了舊版中39個(gè)控制點(diǎn)，新增了20個(gè)控制點(diǎn)），組織擁有ISO27001LA的員工，可以：

l 培養(yǎng)組織合格的審計(jì)工作者

l 科學(xué)評(píng)估組織信息資產(chǎn)，提高安全工作效率,為組織商業(yè)運(yùn)作提供更有效的服務(wù)；

l 保護(hù)信息不受各種威脅，建立縝密的災(zāi)難恢復(fù)計(jì)劃，確保業(yè)務(wù)連續(xù)性和減少業(yè)務(wù)損失；

l 評(píng)估與安全相關(guān)的管理政策、程序、實(shí)務(wù)，形成“信息安全、人人有責(zé)”的企業(yè)文化；

l 表征組織信息安全管理能力，做好注冊(cè)準(zhǔn)備工作，獲得客戶充分信任。

2. ISO27001LA課程適合怎樣的客戶企業(yè)?

建立信息安全管理體系（ISMS）已成為各種組織，特別是高科技產(chǎn)業(yè)、金融機(jī)構(gòu)等管理運(yùn)營風(fēng)險(xiǎn)不可缺少的重要機(jī)制。在某些行業(yè)，如軟件外包，ISO27001認(rèn)證已經(jīng)成為客戶要求必備條件。個(gè)人成為ISO27001LA(IRCA)權(quán)威注冊(cè)審核員需要參加IRCA認(rèn)可的培訓(xùn)課程并積累審核經(jīng)驗(yàn)：這個(gè)審核經(jīng)驗(yàn)可以是第二方，也可以是第三方的審核經(jīng)驗(yàn)。對(duì)于非IRCA認(rèn)可的課程，須證明培訓(xùn)滿足要求。IRCA是獨(dú)立機(jī)構(gòu)，若得到IRCA認(rèn)可，那就意味著個(gè)人不只是某個(gè)審核機(jī)構(gòu)或單位的審核員，還是IRCA國際認(rèn)可的審核員，受到所有審核機(jī)構(gòu)和審核單位的認(rèn)可，價(jià)值更高。未受IRCA認(rèn)可的培訓(xùn)和證書只受該機(jī)構(gòu)認(rèn)可，而IRCA認(rèn)可的證書和培訓(xùn)國際認(rèn)可。

3. 企業(yè)中怎樣的人群需要學(xué)習(xí)ISO27001LA?

ISO27001LA適合有興趣導(dǎo)入ISO27001與信息技術(shù)服務(wù)管理系統(tǒng)的企業(yè)人員；信息技術(shù)服務(wù)管理系統(tǒng)審核員（想要精進(jìn)審核技巧）；顧問師（想要從事ISO 27001信息技術(shù)服務(wù)管理系統(tǒng)導(dǎo)入、驗(yàn)證輔導(dǎo)）；信息技術(shù)與質(zhì)量專家

參加ISO27001LA學(xué)員應(yīng)有信息技術(shù)服務(wù)或信息技術(shù)服務(wù)管理的經(jīng)驗(yàn)、ISO 27001基本知識(shí)、信息技術(shù)服務(wù)管理系統(tǒng)的基本概念, 在SITC 學(xué)習(xí)ISO27001LA可以為個(gè)人帶來的收益為：

l 深入理解ISO27001\ISO27002等相關(guān)條文；

l 掌握建立和實(shí)施ISMS的過程和方法；

l 掌握審核和監(jiān)控ISMS的知識(shí)和技巧；

l 獲得IRCA認(rèn)可的ISO27001LA證書；

l 加入SITC校友圈，優(yōu)先參與校友活動(dòng)

4. ISO27001LA課程整體框架是什么？

下圖為ISO27001LA的課程整體框架

ISO 27001:2013相對(duì)于ISO 27001: 2005從結(jié)構(gòu)到細(xì)節(jié)都有很多變化，兼容性和靈活性都有所增強(qiáng)，比較引人注目的包括如下幾點(diǎn)：

        a.篇章結(jié)構(gòu)：在篇章結(jié)構(gòu)上與ISO管理體系標(biāo)準(zhǔn)模板AnnexSL (previously ISO Guide 83) 保持一致，在風(fēng)險(xiǎn)管理原則上與ISO31000風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)保持一致。這樣在實(shí)踐上與ISO9000, ISO20000，ISO22301等標(biāo)準(zhǔn)體系更容易集成整合。

        0 Introduction

        1 Scope

        2 Normative references

        3 Terms anddefinitions

        4 Context of theorganization

        5 Leadership

        6 Planning

        7 Support

        8 Operation

        9 Performanceevaluation

        10 Improvement

        b. 域和控制項(xiàng)：從2005版11個(gè)域133個(gè)控制項(xiàng)優(yōu)化調(diào)整為14個(gè)域114個(gè)控制項(xiàng)。使用的控制項(xiàng)根據(jù)風(fēng)險(xiǎn)處置流程來確定，不在要求一定從附錄A中選。附錄A羅列的114個(gè)控制項(xiàng)的意義在提供cross-check 確保不遺漏必要的控制措施。

        c. 風(fēng)險(xiǎn)評(píng)估和處置方法論：資產(chǎn)、脆弱點(diǎn)和威脅（Assets, vulnerabilities and threats）不再要求為風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)。無論哪種風(fēng)險(xiǎn)識(shí)別方法，只要能識(shí)別風(fēng)險(xiǎn)相關(guān)的 CIA(confidentiality, integrity and availability)。asset owner 被“risk owners” 概念取代，責(zé)任相應(yīng)上移。

        d. 持續(xù)改進(jìn)方法論：可以使用PDCA之外的方法論

5. 當(dāng)期學(xué)員參加ISO27001LA原因匯總

其實(shí)前面提到，上課之前，Tiger老師有讓學(xué)員介紹自己參加ISO27001LA原因。

贏創(chuàng)化學(xué)的陳學(xué)員說自己在公司已經(jīng)10年多，之前從事IT，12年后調(diào)至業(yè)務(wù)部門，之前已經(jīng)參加過05版的ISO27001LA，現(xiàn)在想了解升級(jí)改版后的ISO27001LA與之前有什么不同。

三菱銀行的學(xué)員表示，目前公司尚未建立信息安全標(biāo)準(zhǔn)，想了解關(guān)于這塊的最新情況。

上汽通用沈陽分公司的學(xué)員表示，目前自己接手信息安全還不到1年，今年8月公司需要建設(shè)自己的信息安全標(biāo)準(zhǔn)，想通過培訓(xùn)學(xué)習(xí)，提高專業(yè)知識(shí)。

浦發(fā)硅谷的學(xué)員表示，自己目前從事項(xiàng)目管理工作，學(xué)習(xí)ISO27001LA肯定對(duì)現(xiàn)在從事的工作有幫助。

可以看到，無論是與現(xiàn)在自己的工作相關(guān)，或者是為了了解該領(lǐng)域的理論知識(shí)，就像Tiger老師開場時(shí)說過：信息安全課程改變自己生涯，在最初學(xué)習(xí)信息安全課程的學(xué)員現(xiàn)在已是行業(yè)內(nèi)大牛，現(xiàn)在還未晚，一直都不會(huì)晚。