苏州ISO27001内审员课程背景

ISO 27001是国际标准化组织（ISO）制定的信息安全管理体系标准，新版本为2022年发布，该标准提供了一套管理信息安全风险的框架，旨在帮助组织保护其信息资产免受各种威胁。ISO27001：2022信息安全管理体系内审员是负责确保组织的信息安全管理体系符合ISO 27001：2022标准要求，并能够有效保护组织关键信息不受未经授权访问、修改或泄露的专业人员。

苏州ISO27001内审员适合人群

1、从事ISMS及ItSMS认证的审核人员；建立和实施ISMS及ItSMS的企事业单位主管人员；从事ISMS及ItSMS建设和实施咨询的人员。

2、CTO、CIO等企事业信息安全负责人；IT服务管理项目经理、IT经理、系统经理；建立和实施ISMS及ItSMS的企事业单位的内部审核员。

3、信息安全管理体系内审员。

苏州ISO27001内审员课程目标

使学员了解信息安全管理体系基础知识，熟悉信息安全管理体系内审的基本内容，掌握内审的流程和方法，从而培养其具备企业内审员和管理骨干的需求才能。

苏州ISO27001内审员课程大纲

信息安全风险处置

组织应确定并应用一个信息安全风险评估过程:

a)考虑风险评估的结果,选择合适信息安全风险处置选项;

b)确定对应用所选择的信息安全风险处置选项必要的所有控制措施;

备注:组织能够按要求设计控制措施,或从任何来源中识别;

c)比较上面6.1.3b)中确定的控制措施和附录A中所列的控制措施,以

核实没有必要的控制措施被遗漏。

备注1:附录A包含了一份全面的控制目标和控制措施列表,本标准用户可以作为指导以确保不会遗漏必要的控制措施。

备注2:控制目标被隐含在所选择的控制措施中。附录A中所列的控制目标和控制措施并不是所有的控制目标和控制措施,组织也可能需要选择另外的控制目标和控制措施。

d)产生适用性声明,其中包括必要的控制措施[见6.1.3b)和c)]以及选择或不选择的理由。

e)规划信息安全风险处置计划,以及

f)得到风险负责人对信息安全风险处置计划的批准以及对残余信息安全风险的接受。

组织应将信息安全风险处置过程保留文件化信息。

备注:本标准中信息安全风险评估和处置过程与IS0310005提供的原则和通用指导保持了校准"。

验证信息,获得审核证据

审核证据是“与审核准则有关并能够证实的记录、事实陈述或其他信息”。在审核过程中,审核员通过运用适宜的方法和技巧收集到的信息很多,但只有与审核准则有关并且能够证实的信息才能成为审核证据。当然,在实际审核中不要求也没必要对获得的信息进行逐一证实,但在需要时这些信息应该是能够被证实的,以确保作为审核证据的信息是真实的、客观存在的。道听途说、假设、主观臆断、猜测等不能证实的信息不能作为审核证据。

为获得审核证据,审核员在需要时应对收集的信息进行验证,验证方法通常可包括:

1)观察实际操作情况与文件规定的符合性验证。

2)审核记录与文件规定的符合性的验证。

3)听相关人员描述的情况与文件规定符合性及记录的一致性验证。

4)在某一场所、部门或对某一人员的审核与对另一场所、部门和人员审核获得情况一致性的验证。

5)通过必要的实际测量来证实活动和过程的结果或记录的符合性、有效性和真实性。

6)现场访问顾客或相关方对符合性进行验证。

苏州ISO27001内审员培训安排

培训时间

2025年10月25 - 26日

上课时间

上午9：30 - 12：00，下午14：00 - 17：00。

培训地点

苏州市姑苏区阊胥路575号

培训师资

由资深培训师担任授课教师

培训费用

RMB 2400元/人。

以上费用含资料费、证书费、培训费。

报名方式

各组织接到培训通知后，有意参加培训的人员请向在线客服索取报名表并填写回发。根据培训场地情况，每期培训班限额报名，出现满员情况则以报名时间先后顺序为准。