ISO27001信息安全不可接受风险处理计划
一、适用
本计划为按照程序文件 ISMS-2002《信息安全风险管理程序》 要求各部门对本部门不可接受风险做出处理计划，由行政部负责汇总，提交信息安全管理 委员会评审以获得管理层批准实施。
二、目的
根据表 ISMS-4024《重要信息资产风险评估表》中风险等级≥4 以上的资产采取控制措施，保证降低其风险等级至可接受风险等级。
三、职责
针对某项不可接受风险的资产责任人即为此计划的编制人和负责人。
四、详细处理计划
对于上述不可接受风险的资产，处理准则为，对面临同样风险的资产采取一类管理方法，举例对技术部公积金扫描验印系统、票据防伪系统、电子 验印系统、票据影像系统、光盘缩微系统、一票一密系统、上门收款原代码的管理方式应考虑通用的控制措施。
处理计划要求包含以下内容：
a) 针对不可接受风险资产的范围。
b) 风险计划实施部门，编制人，批准人、实施人，编制时间，生效时间。
c)对资产的脆弱性和威胁做详细分析和描述。
d)权衡成本和收益提出处理策略。
对于计划处理效果显著，可以转变为公司的统一管理制度。
ISO27001信息安全管理标准理解及内审员培训
培训热线：0755-25936263、25936264 李小姐??客服QQ：1484093445、675978375

? ISO27001信息安全管理标准理解及内审员培训 ??
下载报名表??
内训调查表
【课程描述】
ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。
【课程帮助】
如果你想对本课程有更深入的了解，请参考 >>> 德信诚ISO27001内审员相关欧亿·体育（中国）有限公司手册
【课程对象】
信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。
【课程大纲】
第一部分：ISO27001：2005信息安全概述、标准条款讲解◆ 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。◆ 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。◆ ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。◆ 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。◆ 信息安全管理体系规范：ISO/IEC27001-2005标准要求内容，PDCA管理模型，ISMS建设方法和过程。第二部分：ISO27001：2005信息安全管理体系文件建立（ISO27001与ISO