培训目标:通过本课程的学习,学员能够:
1、学习信息安全管理体系的*入门课程
2、了解信息安全及其重要性
3、明确什么是信息安全管理体系
4、明白如何依照ISO27000建立信息安全管理体系
5、使企业管理层及信息安全人员学习建立符合企业需要的信息安全管理制度
6、学习一套风险分析和风险管理方法,并学习资产分级分类方法
7、理解资产价值与重要性,做出弱点及威胁分析
8、具备成为企业内部信息安全系统建置人员的技能和技巧
课程大纲:一、信息安全概述
1、信息安全是什么?
2、你的组织为什么需要信息安全管理?
3、信息安全事件及负面影响?
4、信息安全管理的目标
5、国内外信息安全现状和趋势
二、信息与业务目标
1、信息系统和信息的价值
2、可用性、完整性和保密性
3、信息架构
4、业务流程和信息
5、信息管理
6、小结与案例分析
三、威胁和风险
1、风险和信息安全风险
2、风险分析的类型
3、降低风险的措施
4、威胁的类型
5、损失的类型
6、风险应对策略的类型
7、安全控制措施实施指南
8、小结与案例分析
四、业务资产和安全事件
1、业务资产概述
2、管理业务资产
3、业务资产分类和分级
4、管理信息安全事件
5、安全事件处理流程和角色
6、小结与案例分析
五、物理安全措施
1、物理安全
2、物理防护层次
3、警告与警报
4、消防安全
5、小结与案例分析
六、技术安全措施
1、逻辑访问控制
2、信息系统的安全需求
3、密码策略
4、密码系统的类型
5、系统文件的安全
6、信息泄漏
7、小结与案例分析
七、组织&管理安全措施
1、 安全策略
2、人员安全
3、业务连续性管理
4、沟通和运营流程
5、小结与案例分析
八、法律和法规
1、强制法规和符合性
2、知识产权保护
3、保护业务文档
4、保护数据和个人隐私
5、防止IT设施的滥用
6、安全措施的评审和监控
7、信息系统审计
8、小结与案例分析
九、信息安全管理的其他参考标准
1、BS17799
2、ISO13335
3、等级保护
十、总结与考试
1、信息安全管理考点复习
2、考试模拟练习
3、答疑与应试(上机考试)