ISO27001LA 學友聯盟再次來襲

ISO27001LA 信息安全管理體系主任審核師學習心得

    天氣不冷不熱剛剛好的五月，綠意也蔥蔥，上海信息化培訓中心ISO27001LA開班啦！這個班除了可以稱為是信息安全管理體系主任審核師培訓班外，還可以叫“學友再次聯盟班”，特別有緣，本期的5名學友，其中3名學友在第一天上課時竟然發現之前一起參加過CISA(國際信息系統審計師)和CBCP(國際業務持續性管理專家)，老同學見面，氣氛很快活躍起來，新加入的2名新學員也受到感染，大家像老朋友一樣介紹，很快的營造了輕松、自在的學習環境。

為學員們上課的是臺灣Tiger 老師，與上海信息化培訓中心已經合作15年，是IRCA的注冊講師，曾任德國TUV亞太區總裁，被評為亞太地區最佳講師。課程開始前，Tiger老師做了自我介紹和課程介紹以及IRCA認可的培訓組織， 例如ISMS(ISO/IEC27001:2013)、ITSMS(ISO/IEC20000-1:2001)等。Tiger老師在介紹自己以及IRCA之后，提出讓學員以Icebreak“破冰之旅”的形式自我介紹，學員倆倆配對，相互介紹自己現在從事的工作，為什么想來進修ISO27001LA, 以及對ISO27001LA的理解程度有多少，學員按照老師的要求，開始相互自我介紹，迅速進入培訓狀態。

1. ISO27001LA到底講什么，能夠幫助企業解決什么問題？

ISO27001體系自國際標準化組織頒布為國際標準ISO 27001:2005，成為“信息安全管理”之國際通用語言，于2013年9月27日更新改版為ISO27001: 2013，與ISO 9000和ISO 20000結合更加緊密。ISO27001已被全球一萬八千多家政府機構和知名企業所采用。其方法是通過“風險評估”、“風險管理”切入企業的信息安全需求，有效降低企業面臨的風險。在ISO27001:2005中有11個領域133個控制點，而在ISO27001:2013中有14個領域114個控制點（刪除了舊版中39個控制點，新增了20個控制點），組織擁有ISO27001LA的員工，可以：

l 培養組織合格的審計工作者

l 科學評估組織信息資產，提高安全工作效率,為組織商業運作提供更有效的服務；

l 保護信息不受各種威脅，建立縝密的災難恢復計劃，確保業務連續性和減少業務損失；

l 評估與安全相關的管理政策、程序、實務，形成“信息安全、人人有責”的企業文化；

l 表征組織信息安全管理能力，做好注冊準備工作，獲得客戶充分信任。

2. ISO27001LA課程適合怎樣的客戶企業?

建立信息安全管理體系（ISMS）已成為各種組織，特別是高科技產業、金融機構等管理運營風險不可缺少的重要機制。在某些行業，如軟件外包，ISO27001認證已經成為客戶要求必備條件。個人成為ISO27001LA(IRCA)權威注冊審核員需要參加IRCA認可的培訓課程并積累審核經驗：這個審核經驗可以是第二方，也可以是第三方的審核經驗。對于非IRCA認可的課程，須證明培訓滿足要求。IRCA是獨立機構，若得到IRCA認可，那就意味著個人不只是某個審核機構或單位的審核員，還是IRCA國際認可的審核員，受到所有審核機構和審核單位的認可，價值更高。未受IRCA認可的培訓和證書只受該機構認可，而IRCA認可的證書和培訓國際認可。

3. 企業中怎樣的人群需要學習ISO27001LA?

ISO27001LA適合有興趣導入ISO27001與信息技術服務管理系統的企業人員；信息技術服務管理系統審核員（想要精進審核技巧）；顧問師（想要從事ISO 27001信息技術服務管理系統導入、驗證輔導）；信息技術與質量專家

參加ISO27001LA學員應有信息技術服務或信息技術服務管理的經驗、ISO 27001基本知識、信息技術服務管理系統的基本概念, 在SITC 學習ISO27001LA可以為個人帶來的收益為：

l 深入理解ISO27001\ISO27002等相關條文；

l 掌握建立和實施ISMS的過程和方法；

l 掌握審核和監控ISMS的知識和技巧；

l 獲得IRCA認可的ISO27001LA證書；

l 加入SITC校友圈，優先參與校友活動

4. ISO27001LA課程整體框架是什么？

下圖為ISO27001LA的課程整體框架

ISO 27001:2013相對于ISO 27001: 2005從結構到細節都有很多變化，兼容性和靈活性都有所增強，比較引人注目的包括如下幾點：

        a.篇章結構：在篇章結構上與ISO管理體系標準模板AnnexSL (previously ISO Guide 83) 保持一致，在風險管理原則上與ISO31000風險管理標準保持一致。這樣在實踐上與ISO9000, ISO20000，ISO22301等標準體系更容易集成整合。

        0 Introduction

        1 Scope

        2 Normative references

        3 Terms anddefinitions

        4 Context of theorganization

        5 Leadership

        6 Planning

        7 Support

        8 Operation

        9 Performanceevaluation

        10 Improvement

        b. 域和控制項：從2005版11個域133個控制項優化調整為14個域114個控制項。使用的控制項根據風險處置流程來確定，不在要求一定從附錄A中選。附錄A羅列的114個控制項的意義在提供cross-check 確保不遺漏必要的控制措施。

        c. 風險評估和處置方法論：資產、脆弱點和威脅（Assets, vulnerabilities and threats）不再要求為風險評估的基礎。無論哪種風險識別方法，只要能識別風險相關的 CIA(confidentiality, integrity and availability)。asset owner 被“risk owners” 概念取代，責任相應上移。

        d. 持續改進方法論：可以使用PDCA之外的方法論

5. 當期學員參加ISO27001LA原因匯總

其實前面提到，上課之前，Tiger老師有讓學員介紹自己參加ISO27001LA原因。

贏創化學的陳學員說自己在公司已經10年多，之前從事IT，12年后調至業務部門，之前已經參加過05版的ISO27001LA，現在想了解升級改版后的ISO27001LA與之前有什么不同。

三菱銀行的學員表示，目前公司尚未建立信息安全標準，想了解關于這塊的最新情況。

上汽通用沈陽分公司的學員表示，目前自己接手信息安全還不到1年，今年8月公司需要建設自己的信息安全標準，想通過培訓學習，提高專業知識。

浦發硅谷的學員表示，自己目前從事項目管理工作，學習ISO27001LA肯定對現在從事的工作有幫助。

可以看到，無論是與現在自己的工作相關，或者是為了了解該領域的理論知識，就像Tiger老師開場時說過：信息安全課程改變自己生涯，在最初學習信息安全課程的學員現在已是行業內大牛，現在還未晚，一直都不會晚。