信息安全在企业全面风险管理ERM中极为重要，强调对一个组织运行所必需的IT系统和信息的保密性、完整性、可用性的保护，提高投资回报率，降低由信息安全事故造成的损失及业务中断的风险。ISO27001体系自国际标准化组织颁布为国际标准ISO 27001:2005，成为“信息安全管理”之国际通用语言，于2013年9月27日更新改版为ISO27001: 2013，与ISO 9000和ISO 20000结合更加紧密。ISO27001已被全球一万八千多家政府机构和知名企业所采用。其方法是通过“风险评估”、“风险管理”切入企业的信息安全需求，有效降低企业面临的风险。在ISO27001:2005中有11个领域133个控制点，而在ISO27001:2013中有14个领域114个控制点（删除了旧版中39个控制点，新增了20个控制点） 。建立信息安全管理体系（ISMS）已成为各种组织，特别是高科技产业、金融机构等管理运营风险不可缺少的重要机制。在某些行业，如软件外包，ISO27001认证已经成为客户要求必备条件。

IRCA：International Register of Certificated Auditors.国际注册审计师协会，为独立的国际组织，总部设在英国，管理着世界范围内120国家的超过13500名审计师，提供审计师注册。 IRCA是独立机构，若得到IRCA认可，那就意味着个人不只是某个审核机构或单位的审核员，还是IRCA国际认可的审核员，受到所有审核机构和审核单位的认可，价值更高。个人成为IRCA注册审核员需要参加IRCA认可的培训课程并积累审核经验：这个审核经验可以是第二方，也可以是第三方的审核经验。

学习对象：
1、本课程适合有兴趣导入ISO 27001与信息技术服务管理系统的企业人员；
2、信息技术服务管理系统审核员（想要精进审核技巧）；
3、顾问师（想要从事ISO 27001信息技术服务管理系统导入、验证辅导）；
4、信息技术与质量专家  ；

预备知识：
参加本课程学员应有信息技术服务或信息技术服务管理的经验、ISO 27001基本知识、信息技术服务管理系统的基本概念


课程收益：
为组织带来价值:
1、培养组织合格的审计工作者
2、科学评估组织信息资产，提高安全工作效率,为组织商业运作提供更有效的服务；
3、保护信息不受各种威胁，建立缜密的灾难恢复计划，确保业务连续性和减少业务损失；
4、评估与安全相关的管理政策、程序、实务，形成“信息安全、人人有责”的企业文化；
5、表征组织信息安全管理能力，做好认证准备工作，获得客户充分信任。

个人收益：
1、 熟悉依据ISO/IEC 27001:2013，规划、建置、执行、查核、审查与改善信息安全管理系统(ISMS)之过程;
2、 熟悉ISO/IEC 27000:2012, ISO/IEC 27001:2013、ISO/IEC 27002:2013 与 ISO 19011、 ISO 31000 (Risk management — Principles and guidelines)  与 相关法规之关系、内容与目的。
3、 熟悉依据ISO17021, ISO19011要求，阐述稽核员如何规划、执行、报告与追查信息安全管理系统(ISMS);
4、 熟悉从稽核员角度诠释ISO/IEC 27001:2013 条款要求;
5、 熟悉依据ISO17021, ISO19011要求，规划、执行、报告与追查信息安全管理系统稽核活动.
6、 获得IRCA认可的ISO27001LA主任审核师证书；

课程天数：5天

课程大纲：
1、本课程是ISO 27001 ISMS主任审核员课程，采用讲师授课、案例作业、情景模拟、课堂讨论多种方式结合教学，能够帮助学员理解ISO27001的要求，掌握建立ISMS信息安全管理体系的步骤及审核和监控ISMS的知识和技巧。
2、ISMS相关标准, 包含ISO/IEC 27001:2013, ISO/IEC 27002:2013, ISO 31000, ISO 17021与ISO 19011
3、信息安全及信息安全的重要性
4、评鉴信息安全之威胁与脆弱点
5、信息安全风险管理
6、选择信息安全控制措施
7、信息安全管理系统(ISMS)
8、依据ISO/IEC 27001:2013 稽核
9、ISO/IEC 27001:2013稽核技巧
10、管理与领导ISO/IEC 27001:2013 稽核小组
11、撰写稽核报告
12、全球及国内案例分析
13、正式的考试 - ISO/IEC 27001:2013 主导稽核员基本资格条件.