03-信息安全年度教育培训计划（打印签字）

【组织名称】20XX年度ISMS培训计划文档信息文档编号：ZHKJ-ISMS-08文档名称：20XX年度ISMS培训计划起草人：审核人：批准人：生效日期：20XX-1-2发布范围：内部版本记录版本号版本日期修改修改章节修改记录A/020XX-1-2创建新文档20XX年度学习培训计划NO受训对象学习培训内容学习资料授课人培训时间考核方式备注1各部门负责人ISO/IEC27001:2022标准ISO/IEC27001信息安全管理体系外请老师20XX-1现场提问2部门领导和管理者代表资产识别评价和风险评估资产识别评价外请老师20XX-1现场提问3各部门负责人信息安全管理体系信息安全管理手册、SOA、程序文件管理者代表20XX-2现场提问4部门领导和管理者代表公司管理规范三级作业指导文件管理者代表20XX-3现场提问5部门领导和管理者代表记录文件信息安全管理手册、SOA、程序文件、作业文件管理者代表20XX-4现场提问6各部门负责人安全意识培训课件外请老师20XX-6现场提问7部门领导和管理者代表业务连续性培训业务连续性方案人力资源部20XX-9现场提问8内审员和各部门负责人内部审核ISO/IEC27001信息安全管理体系外请老师20XX-10现场提问9总经理、内审员和各部门负责人管理评审信息安全管理手册、程序文件总经理20XX-10现场提问培训记录评价表1编号：时间20XX年1月6日主题ISO/IEC27001:2022标准培训地点公司会议室主持人参加培训/会议人员：部门/职务参加人签字部门/职务参加人签字管理层安全质量部人力资源部管理运营部智慧城市事业部管理运营部采购保障部财务资产部主要内容：解释什么是ISO/IEC27001:2022信息安全管理体系如何结合公司实际运行实施基于ISO/IEC27001体系的信息安全管理体系分四个阶段建立信息安全管理体系a)准备阶段；b)风险评估阶段；c)体系文件建立阶段；d)运行阶段记录人：总结性评价：通过此次培训，各部门相关人员、贯标小组成员熟练掌握了ISO/IEC27001:2022信息安全管理体系相关要求。评价人：培训记录评价表2编号：时间20XX年1月20日主题资产识别评价和风险评估地点公司会议室主持人参加培训/会议人员：部门/职务参加人签字部门/职务参加人签字主要内容：针对公司的各项资产（包含硬件、软件、数据、文档、人员等），结合实际情况，做出了风险的评估。记录人：总结性评价：本公司规定风险评估结果中风险等级=3定义为高风险，需要对信息资产采取一定控制措施进行处置。评价人：

培训记录评价表3编号：时间20XX年2月24日主题信息安全管理体系地点公司会议室主持人参加培训/会议人员：部门/职务参加人签字部门/职务参加人签字主要内容：安全管理手册培训；ISMS程序文件培训；适用性申明知识培训；建立信息安全管理小组，组员在信息安全管理体系中担任的职务；各部门在信息安全管理体系中相应职能；记录人：总结性评价：通过此次培训，让员工了解到在信息安全管理体系中担任的职责和对信息资产从那些方面进行防护。评价人：培训记录评价表5编号：时间20XX年6月16日主题安全意识培训地点公司会议室主持人参加培训/会议人员：各部门负责人、信息安全管理小组部门/职务参加人签字部门/职务参加人签字主要内容：环境安全——防火、防水、防尘、防盗等自然灾害引起信息安全；设备及媒体安全——计算机设备、设施（含网络）、媒体设备的安全需要具备一定的安全保障；对于移动设备（笔记本、移动硬盘、U盘等）安全管理；运行安全防护——为了保障系统功能的安全，必须采取风险分析、审计跟踪、备份与恢复、应急处理等措施；信息资产安全防护——信息资产安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别等人员安全防护——信息系统使用人员的安全意识、法律意识、安全技能等。记录人：总结性评价：通过此次培训，让全体成员首先在脑中形成了信息资产安全意识，并从五个方面对公司的信息资产进行防护，并按照规范要求定期对设备就行巡检。评价人：培训记录评价表6编号：时间20XX年10月13日主题ISO/IEC27001:2022内审员培训地点公司会议室主持人参加培训/会议人员：部门/职务参加人签字部门/职务参加人签字主要内容：什么是内部审核？内部审核应该怎么来执行？制定内部审核计划。内部审核中开出的不符合项，责令相关人员按照规定要求进行整改，审核员对整改效果进行确认并关闭。内部审核结束后形成内部审核报告，并作为管理评审材料输入。记录人：总结性评价：通过此次培训，信息安全小组、内审员和各部门领导对内部审核的方式方法，及其关注要点有了更深的认识，为后期的内部审核奠定了基础。评价人：培训记录评价表7编号：时间20XX年10月18日主题ISO/IEC27001:2022管理评审地点公司会议室主持人参加培训/会议人员：各部门负责人部门/职务参加人签字部门/职务参加人签字主要内容：什么是管理评审？管评审核的输入信息有哪些?制定管理评审计划。管理审核结束后的输出报告；管理评审的改进措施。记录人：总结性评价：通过此次培训，信息安全小组、内审员和各部门领导对管理评审的认知和了解，并按照评审计划准备相应的输入材料，按照计划执行管理评审会议，完成评审报告和对评审会议中提出的改进措施制定相应计划并实施。评价人：培训记录评价表8编号：时间20XX.9.8主题业务连续性培训地点公司会议室主持人参加培训/会议人员：各部门负责人部门/职务参加人签字部门/职务参加人签字主要内容：由信息安全工作小组负责组织识别对业务持续性造成严重影响的主要事件，如信息系统设备故障、自然灾害等，分析一旦这些事件发生会对业务活动造成的影响和损失，以及统计恢复业务所需费用等。信息安全工作小组负责确定影响业务持续性的关键功能或业务，编制《业务连续性计划表》。每年年末由信息安全工作小组组织相关部门对《业务连续性计划表》进行测试，以判断计划的可行性和有效性