ISO 27001 Foundation

认证机构

APM Group(APMG) 代表英国商务部（OGC）在全球进行ISO 27001 Foundation，PRINCE2(受控环境下的项目管理)，P3O项目组合、项目群和项目办公室（P3O-Portfolio, Programme and Project Offices） MSP(管理成功的项目群)，M_o_R (风险管理)和ITIL(IT基础架构库)的资质认证工作，业务遍布全球，分别在英国，美国，荷兰，丹麦，澳大利亚和中国设有分公司。APMG中国是英国APMG公司在中国的全资机构及唯一代表机构。信息安全管理髮展至今，人们越来越认识到安全管理在整个企业运营管理中的重要性，而作为信息安全管理方面最着名的国际标準—ISO/IEC 27001(简称ISMS)，则成为可以指导我们现实工作的最好的参照。ISO27001目前作为国际标準，正迅速被全球所接受。依据ISO27001标準进行信息安全管理体系建设，是当前各行业组织在推动信息安全保护方面最普遍的思路和正确的先进决策。ISO27001Foundation和ISO27001LA的区别

培训目的

ISO 27001LA主要是为了培养ISO27001标準审计人员所开设的课程，比较注重信息安全管理体系审计方面；ISO 27001Foundation是为了培养并提高信息安全管理体系（ISO 27001）建设者所开设的课程，更注重信息安全管理体系的实施、维护与最佳化方面。

培训对象

ISO 27001LA的培训对象为在企业内部做信息安全审计的人员参加；ISO 27001Foundation培训除信息安全审计人员适合参加外，信息安全主管、信息安全工作人员、信息安全管理体系的维护者、信息安全谘询顾问更适合参加。

培训内容

ISO 27001LA培训内容偏重于对ISO27001标準的解读，以及如何针对标準条款进行审计，以及审计过程方法与技巧，类似于信息安全管理体系建设过程中“裁判员”的培训。ISO 27001Foundation培训内容偏重于实施信息安全管理体系（ISO 27001）的过程与方法，更多的是讲解如何运用好ISO 27001标準，以及对于信息安全管理在各行业、企业的实施方法思路与最佳实践，类似于信息安全管理体系建设过程中“教练员”的培训。

证书权威

ISO 27001LA证书为培训机构所颁发的证书，不是由专业考试认证机构颁发，等同于培训机构自己颁发的培训结业证书。ISO 27001 Foundation是由培训机构进行培训，并通过考试认证机构（APMG）考试合格后所颁发的证书，证书更具有专业性、权威性。ISO 27001 Foundation课程大纲

课程大纲

一、ISMS概述二、ISO 27001标準简介1、信息安全面临的风险与挑战2、信息安全工作的误区3、如何实现信息安全4、信息安全管理体系的收益5、IT风险与信息安全的关係1、 信息安全基本定义与概念2、 ISO 27000标準族3、 ISO 27001标準发展历史4、 信息安全管理体系基本要素5、 ISO 27001标準内容条款三、信息安全风险评估四、信息安全管理体系实施过程1、 风险管理概述与基本概念2、 信息安全风险管理框架3、 信息资产分类与分级4、 风险识别、风险分析5、 风险评价、风险处置6、 风险评估案例与实操1、 信息安全管理体系建立2、 信息安全管理体系运行3、 信息安全管理体系内部审核4、 信息安全管理体系有效性测量5、 信息安全管理体系管理评审6、 信息安全管理体系案例五、信息安全控制措施-1六、信息安全控制措施-21、 信息安全方针、策略与目标2、 信息安全组织架构与职责3、 信息资产保护与信息分级4、 人力资源安全管理5、 物理环境与设备安全6、 关键控制措施实施案例7、1、 通信与操作管理2、 访问控制3、 信息系统获取、开发与维护4、 信息安全事故管理5、 业务连续性管理6、 符合性7、 关键控制措施实施案例七、总结八、ISO 27001 Foundation应试辅导1、基本概念总结2、风险评估总结3、控制措施总结4、体系实施总结5、安全审计总结1、考试重点提示2、考试样题讲解3、模拟考试新版ISO27001：2013 预计今年10月公布现版的信息安全管理系统ISO 27001:2005标準已经使用了8年，日前ISO组织（国际标準化组织）终于将新版ISO 27001:2013 DIS版（国际标準草案Draft International Standard）草稿向公众开放并徵求意见，预计在今年6-7月会发布DIS最终版。目前ISO组织公布的正式版本的颁布时间为2013年10月19日，在新版公布后的18至24个月内是转换缓冲期，即原有已取得证书的企业最迟需要在2015年10月19日前转换到新版标準。安言谘询表示，此次改版与旧版相比主要有三大差异：一、管理体系更容易整合；二、融入企业面临的新挑战；三、更多指引延伸参考。说明如下：
（1）　易整合：以前各管理系统对管理制度面的要求有不太一致的描述方式，且章节不一。例如管理制度的PDCA（Plan，Do，Check，Act）、政策与高级支持等管理制度面要求不同。在新版当中採取Annex SL做结构性要求，让不同管理系统易于接轨、整合。Annex SL的高级结构是ISO组织未来所有管理制度制定时的重要依据，目前已经有ISO 22301（前BS 25999营运持续管理系统）和这次的ISO 27001新版都已采此结构进行调整。预计已颁布的标準如ISO9000/ ISO20000未来的改版也将以相同的思路进行调整。（2）　新要求：ISO 27001:2005原本有11个领域（domain）、133项控制措施，新版DIS目前调整为14个领域（A.5-A.18）、113个控制措施（未来仍可能有改动）。新增的领域是将原分散在各领域中的部分控制目标级别提升，组成新领域，如加密与供应链管理因其重要性而被独立出来成为新领域；或是将原有领域分拆，如将通讯与作业管理分开成两个独立的领域，以反映目前信息安全的发展趋势。而控制措施的减少则是通过合併重複的项目来进行，像变更管理在不同的领域中有重複就予以合併。也有新增的控制项目比如对智慧型型装置的管理、强化ICT供应链的委外管理、以及系统开发项目管理的信息安全要求等。
（3）　更多参考：此次ISO也新增许多指引供企业参考，组织可以通过不同的面以及风险进行深度的强化，通过ISO 27001验证只是基本要求。目前ISO 27000系列指引编号已超过44号（001-044），例如金融服务、数字鉴识、供应链管理（4本）、软体开发测试等，主管机关可参考这些指引做升级的要求。
对于目前正在準备ISO 27001的企业，建议无须等待新版，按照原订进度先取得27001:2005验证，在缓冲期结束前转到新版即可，新版会向下兼容接轨。