课程大纲

第一天  运营风险管理原则 (ISO 31000)、管理体系基础知识与符合性指引 (ISO 19600)、信息安全管理体系要求 (ISO/IEC 27001)

• 了解如何进行合规风险管理 (ISO 31000) - 法律、法规、合约义务、标准、政策与程序 (Clause 4.1, 4.2)

• 信息安全合规控制目标与措施 (Annex A.18)

• 选择与定义 ISMS 实施与验证范围 (Clause 4.3, 4.4)

• 高层管理如何展现管理体系领导能力、制定信息安全管理体系政策与目标 (Clause 5.1, 5.2, Annex A.5)

• 信息安全管理体系 机构安全管理 (Clause 5.3, 7.1 ~ 7.4, Annex A.6)

• 信息安全管理体系 文件化信息 (Clause 7.5)

第二天  建立资产管理原则 (ISO 55000) 与 信息安全风险管理机制 (Information Security Risk Management Process, ISO/IEC 27005) 

• 建立信息资产管理机制 (包含，信息储存、处理设备之资产清册、所有人、申请与核准机制、分类、标示与处理等) (Annex A.8)

￮ 商业秘密、资料与纪录保护，例如，智慧财产 (IPRs) (Annex A.18.1.2)

￮ 个人数据保护与欧盟一般数据保护法案 (EU GDPR) (Annex A.18.1.4)

• 建立信息安全风险管理 (包含，风险与机会识别、分析、评估与控制) 机制 (Clause 6, 8)

• 进行信息安全风险鉴别过程 (Clause 6.1.2)

￮ 建立信息资产风险评估报告 (Risk Assessment Report) (Clause 6.1.2 e)

• 进行信息安全风险处理过程 (Clause 6.1.3)

￮ 建立信息安全风险控制适用性声明书 (SoA, Statement of Applicability) (Clause 6.1.3 d.)

￮ 建立信息资产风险处理计划 (Risk Treatment Plan) (Clause 6.1.3 e.)

第三天  人员与环境之信息安全管理 (ISO/IEC 27002) 

• 建立人员 (员工、外包商、供应商) 风险控制机制 (Annex A.7, A.15, A.9.2, A.9.3)

• 建立安全技术 (加密、移动设备、冗余) 风险控制机制 (Annex A.6.2, A.10, A.17.2)

• 建立物理与环境风险管理机制 (Annex A.11)

第四天  通讯、网络、信息系统、应用程序与 IT 服务运作之信息安全管理 (ISO/IEC 27002) 

• 建立通讯与网络风险管理机制 (Annex A.13)

• 建立信息系统、软件开发与应用程序风险管理机制 (Annex A.14, A.9.4)

• 建立信息技术服务运作风险管理机制 (Annex A.12)

第五天  信息安全事件管理、运营持续计划过程中的信息安全管理 (ISO/IEC 27002) 

• 建立信息安全事件管理与异动管理风险管理机制 (Annex A.16)

• 建立机构持续运营计划实施过程之信息安全风险管理机制 (Annex A.17)

• 管理体系绩效评估与改进机制 (Clause 9, 10)

• 综合讨论

• 线上课程考试

课程包含

• 授权课程媒体、讲义

• 线上课程考试

• 课程证书 (若考试成绩未达通过标准，仅获颁课程参加证书)