我们的ISO27001和ISO27000是一系列专门为信息安全设计的管理系统。

ISO/27001用于提供建立、实施、运行、监控、审查、维护和改进信息安全管理系统的模型(ISMS)。

ISO/27001是基于并取代国际公认的英国标准BS7799，与包括ISO/IEC 17799信息安全最佳实践指南、OECD信息安全实施指南在内的其他国际标准共同构成标准族。

ISO/27001定义了信息安全管理系统(ISMS)的要求。编写标准是为了确保您选择适当的安全控制措施来保护信息资产，并确保包括您的客户在内的利益相关方的信任。

ISO/20000是关于IT服务管理体系要求的国际标准。IT帮助识别和管理IT服务的关键流程，并确保提供有效的IT服务以满足客户和企业的需求。

ISO/20000侧重于通过“IT服务标准化”来管理IT问题，即对IT问题进行分类，识别问题的内部关系，然后根据服务水平协议进行规划、实施和监控，强调与客户的沟通。该标准还关注系统的能力、管理水平、财务预算、软件控制以及系统变化时所需的分发。

ISO/20000标准的前身是BS/15000，与政府商务办公室(OGC)IT基础设施库(ITIL)定义的过程理论紧密一致。ISO/20000由两部分组成：审计标准和实践要点。

当然，在信息安全保护方面，我们绝对不能仅仅依靠我们的管理体系，而是要在我们的管理体系给我们一定的方向和基础的前提下，落实标准，把信息安全意识印在我们的脑海里，只有时刻警惕信息安全，才能实现真正的信息安全保护。

★ISO27001内审员培训：

      在为期两天的课程中，我们的专家导师将教您如何计划、执行和报告组织中的 ISMS 审核，以评估其是否符合 ISO/IEC 27001:2013。 您应该已经很好地了解当前标准的要求，我们的导师将扩展您现有的知识，帮助您培养进行内部审计的专业技能和专业知识。 

我们将向您展示如何端到端地管理从启动审计到报告评估和进行跟进的整个过程。 通过平衡理论和实践活动，您的学习将快速发展，以便您可以在审核期间有效地应用您的知识。 

★谁应该参加iso27001内审员培训？

这适用于将参与对组织中符合 ISO/IEC 27001:2013 的 ISMS 进行内部审核的人员。 

建议的工作角色及其团队包括：

●信息安全经理

●公司治理经理 

●风险与合规经理 

●信息安全顾问 

●先决条件： 您应该已经了解 ISO/IEC 27001:2013 的工作原理。

★ISO27001内审员培训可以学到什么？

审核符合 ISO/IEC 27001:2013 的原则是什么？

1.什么是审计活动

2.如何启动审计

3.如何准备审计活动

4.如何开展审计活动

5.如何准备和分发审计报告

6.如何完成审核

7.如何进行审计跟进

★为什么要审核 ISMS？

ISO 27001 内部审核为管理体系及其流程符合标准要求、在整个组织内进行沟通、员工和主要利益相关者理解并有效执行提供了主动保证。

审核的目的是确定任何不符合项，确定 ISMS 的有效性并提供改进机会。

★内部审计的好处：:

1.在其他人发现之前发现不符合项

2.通过在安全事件发生之前确定需要注意的区域来确保强有力的安全立场

3.展示并告知管理层的承诺

4.协助员工理解和认识

5.通知持续改进

★ISO 27001认证审核需要多长时间？

通过正确的准备，大多数中小型组织有望在6 到 12 个月内获得 ISO 27001 认证，具体取决于管理体系范围的规模和复杂性。要加快实施过程，请让商通检测ISO 27001专家为您完成。

★ISO 27001 第 9.2 条涵盖哪些内容？

ISO 27001:2013管理要求的第 9 条  是绩效评估。9.2 规定组织应按计划的时间间隔进行内部审核，以提供有关信息安全管理体系是否：

符合组织自身对其信息安全管理体系的要求；并符合ISO 27001国际标准的要求；

ISMS 是否得到有效实施和维护

★为了实现这些目标，ISO 审核员将查看组织是否具备：

1.计划、实施和维护审计计划

2.定义每次审核的审核标准和范围

3.选择客观公正的审计师

4.确保将审计报告给相关管理层

5.保留的文件化信息作为证据

★如何轻松演示 9.2 内部审核

第 1 步：重点和计划变得容易

第 2 步：采用、适应和添加

第 3 步：向审核员演示

第 4 步：节省时间的认证途径

第 5 步：在需要时提供额外支持

★ISO 27001内部审核清单：

为帮助您满足 ISO 27001 内部审核要求，我们制定了五步检查清单，任何规模的组织都可以遵循。

1) 文件审查

您应该首先查看您在实施 ISMS 时创建的文档。

这是因为审计的范围应该与您组织的范围相匹配。

因此，这样做将为需要审计的内容设定明确的限制。

您还应该确定 ISMS 中的主要利益相关者。

这将允许您轻松索取审计期间可能需要的任何文件。

2) 管理评审

这是审计活动真正开始形成的地方。

在制定详细的审计计划之前，您应该与管理层联系以商定审计的时间和资源。

这通常涉及建立设置检查点，您将在这些检查点向董事会提供临时更新。

在这个早期阶段与管理层会面，让双方都有机会提出他们可能有的任何疑虑。

3) 现场审查

这就是您可能认为的“适当的审计”。正是在这个阶段对您的组织进行实际评估。

您将需要：

通过与一线工作人员交谈，观察 ISMS 在实践中的运作方式。

执行审计测试以验证收集到的证据。

完成审计报告以记录每次测试的结果。

查看 ISMS 文件、打印输出和任何其他相关数据。

4) 分析

应根据组织的风险处理计划和控制目标对审计中收集的证据进行分类和审查。

有时，这种分析可能会揭示证据中的漏洞或表明需要进行更多的审计测试。

5) 报告

您需要向管理层提交审计结果。您的 ISO 27001 内部审核报告应包括：

1.介绍说明所执行工作的范围、目标、时间和范围。

2.涵盖主要发现、高级分析和结论的执行摘要。

3.报告的预期接收者，以及分类和分发指南（如适用）。

4.对调查结果的深入分析。结论和建议的纠正措施。

5.详细说明建议或范围限制的声明。

6.可能需要进一步审查和修订，因为最终报告通常涉及管理层对行动计划的承诺。