【培训目标】
1.了解信息安全及其重要性
2.通过培训了解信息安全管理常见的问题以及解决方法
3.使企业管理层及信息安全管理者了解建立符合企业需要的信息安全管理制度
4.了解信息安全管理体系的框架和结构
5.了解如何建立信息安全管理体系及体系建设中的难点
6.掌握内部审核的要求和技巧,具备内部审核的能力并获得内审员证书
【培训对象】
各级管理人员、信息安全管理人员、信息技术人员等
【培训大纲】
一、信息安全案例分析和讨论
1.案例1 个人隐私权
2.案例2 电子媒体
3.案例3 全国最大的网上盗窃通讯资费
二、什么是信息安全
1.关键资产-信息
--企业应保护什么信息
--信息的生命周期
--信息的存在形式
--信息的存储介质
2.信息为什么会有安全问题
--信息具有重要的价值
--信息系统固有的脆弱性
--信息安全管理的不健全
3.信息安全的定义
--信息安全的实现目标
--信息安全的重要性
三、为什么需要信息安全
1.信息安全范围
--国家安全的需要
--组织持续发展的需要
--保护个人隐私与财产的需要
2.信息安全能帮助企业盈利吗
3.日常工作中常见的信息安全事件
4.企业面临的信息安全问题
5.信息安全面临的威胁类型
6.日常工作中安全威胁举例
7.怎么办
四、信息安全管理体系
1.信息安全管理体系框架
2.风险管理
--风险评估策略
--信息面临的威胁和可利用的脆弱性
--风险处理计划
3.风险控制措施
A.5安全方针
A.6组织信息安全
A.7资产管理
--资产责任人
--资产分类(密级)、标记及处理
A.8人力资源安全
--入职前的背景调查
--入职中的保密协议及信息安全意识培训、违纪处理
--离职时的资产返还、权限处理
A.9物理和环境安全
--访客管理
--重点区域,如机房、配电间、生产车间的管理
--资产转移-运输、笔记本电脑管理
--电脑的再利用
A.10通信和操作管理
--系统软硬件变更管理
--服务交付管理
--信息系统、基础设施容量规划
--防病毒策略
--重要信息备份
--内外部网络管理
--移动介质管理
--邮件管理
--对外信息发布管理
--系统日志管理
A.11访问控制
--网络访问策略
--文件服务器等重要信息系统访问权限管理
--门禁管理
--用户口令管理
--特权账户管理
--桌面管理
--屏保措施
--远程访问及远程工作管理
--网络设备标识
--路由控制
A.12信息系统获取、开发和维护
--系统升级
--系统脆弱性管理
A.13信息安全事件管理
--信息安全事件分类及处理流程
A.14业务连续性管理
--服务器故障、电力中断、网络故障、重要设备故障处理流程
A.15符合性
--法律符合性
--技术符合性
--证据保护
五、信息安全管理体系的建立
1.现状评估及适用性声明
2.文件框架
3.信息安全意识教育
4.控制措施测量
5.内部审核
6.管理评审
六、内部审核的要求
1.审核技巧
2.审核的分类
3.管理体系审核的一般步骤
4.内部审核策划
5.内部审核实施
6.案例分析
【授课形式】
知识讲解、案例演示讲解、实战演练、小组讨论、互动交流、游戏感悟、头脑风暴、强调学员参与。
各级管理人员、信息安全管理人员、信息技术人员等