ISO27001LA 信息安全管理体系主任审核师学习心得
天气不冷不热刚刚好的五月,绿意也葱葱,上海信息化培训中心ISO27001LA开班啦!这个班除了可以称为是信息安全管理体系主任审核师培训班外,还可以叫“学友再次联盟班”,特别有缘,本期的5名学友,其中3名学友在第一天上课时竟然发现之前一起参加过CISA(国际信息系统审计师)和CBCP(国际业务持续性管理专家),老同学见面,气氛很快活跃起来,新加入的2名新学员也受到感染,大家像老朋友一样介绍,很快的营造了轻松、自在的学习环境。
为学员们上课的是台湾Tiger 老师,与上海信息化培训中心已经合作15年,是IRCA的注册讲师,曾任德国TUV亚太区总裁,被评为亚太地区最佳讲师。课程开始前,Tiger老师做了自我介绍和课程介绍以及IRCA认可的培训组织, 例如ISMS(ISO/IEC27001:2013)、ITSMS(ISO/IEC20000-1:2001)等。Tiger老师在介绍自己以及IRCA之后,提出让学员以Icebreak“破冰之旅”的形式自我介绍,学员俩俩配对,相互介绍自己现在从事的工作,为什么想来进修ISO27001LA, 以及对ISO27001LA的理解程度有多少,学员按照老师的要求,开始相互自我介绍,迅速进入培训状态。
1. ISO27001LA到底讲什么,能够帮助企业解决什么问题?
ISO27001体系自国际标准化组织颁布为国际标准ISO 27001:2005,成为“信息安全管理”之国际通用语言,于2013年9月27日更新改版为ISO27001: 2013,与ISO 9000和ISO 20000结合更加紧密。ISO27001已被全球一万八千多家政府机构和知名企业所采用。其方法是通过“风险评估”、“风险管理”切入企业的信息安全需求,有效降低企业面临的风险。在ISO27001:2005中有11个领域133个控制点,而在ISO27001:2013中有14个领域114个控制点(删除了旧版中39个控制点,新增了20个控制点),组织拥有ISO27001LA的员工,可以:
建立信息安全管理体系(ISMS)已成为各种组织,特别是高科技产业、金融机构等管理运营风险不可缺少的重要机制。在某些行业,如软件外包,ISO27001认证已经成为客户要求必备条件。个人成为ISO27001LA(IRCA)权威注册审核员需要参加IRCA认可的培训课程并积累审核经验:这个审核经验可以是第二方,也可以是第三方的审核经验。对于非IRCA认可的课程,须证明培训满足要求。IRCA是独立机构,若得到IRCA认可,那就意味着个人不只是某个审核机构或单位的审核员,还是IRCA国际认可的审核员,受到所有审核机构和审核单位的认可,价值更高。未受IRCA认可的培训和证书只受该机构认可,而IRCA认可的证书和培训国际认可。
3. 企业中怎样的人群需要学习ISO27001LA?
ISO27001LA适合有兴趣导入ISO27001与信息技术服务管理系统的企业人员;信息技术服务管理系统审核员(想要精进审核技巧);顾问师(想要从事ISO 27001信息技术服务管理系统导入、验证辅导);信息技术与质量专家
参加ISO27001LA学员应有信息技术服务或信息技术服务管理的经验、ISO 27001基本知识、信息技术服务管理系统的基本概念, 在SITC 学习ISO27001LA可以为个人带来的收益为:
4. ISO27001LA课程整体框架是什么?
下图为ISO27001LA的课程整体框架
ISO 27001:2013相对于ISO 27001: 2005从结构到细节都有很多变化,兼容性和灵活性都有所增强,比较引人注目的包括如下几点:
a.篇章结构:在篇章结构上与ISO管理体系标准模板AnnexSL (previously ISO Guide 83) 保持一致,在风险管理原则上与ISO31000风险管理标准保持一致。这样在实践上与ISO9000, ISO20000,ISO22301等标准体系更容易集成整合。
0 Introduction
1 Scope
2 Normative references
3 Terms anddefinitions
4 Context of theorganization
5 Leadership
6 Planning
7 Support
8 Operation
9 Performanceevaluation
10 Improvement
b. 域和控制项:从2005版11个域133个控制项优化调整为14个域114个控制项。使用的控制项根据风险处置流程来确定,不在要求一定从附录A中选。附录A罗列的114个控制项的意义在提供cross-check 确保不遗漏必要的控制措施。
c. 风险评估和处置方法论:资产、脆弱点和威胁(Assets, vulnerabilities and threats)不再要求为风险评估的基础。无论哪种风险识别方法,只要能识别风险相关的 CIA(confidentiality, integrity and availability)。asset owner 被“risk owners” 概念取代,责任相应上移。
d. 持续改进方法论:可以使用PDCA之外的方法论
5. 当期学员参加ISO27001LA原因汇总
其实前面提到,上课之前,Tiger老师有让学员介绍自己参加ISO27001LA原因。
赢创化学的陈学员说自己在公司已经10年多,之前从事IT,12年后调至业务部门,之前已经参加过05版的ISO27001LA,现在想了解升级改版后的ISO27001LA与之前有什么不同。
三菱银行的学员表示,目前公司尚未建立信息安全标准,想了解关于这块的最新情况。
上汽通用沈阳分公司的学员表示,目前自己接手信息安全还不到1年,今年8月公司需要建设自己的信息安全标准,想通过培训学习,提高专业知识。
浦发硅谷的学员表示,自己目前从事项目管理工作,学习ISO27001LA肯定对现在从事的工作有帮助。
可以看到,无论是与现在自己的工作相关,或者是为了了解该领域的理论知识,就像Tiger老师开场时说过:信息安全课程改变自己生涯,在最初学习信息安全课程的学员现在已是行业内大牛,现在还未晚,一直都不会晚。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。