課程介紹:
CISAW信息安全風險管理認證課程根據(jù)《信息安全保障人員認證考試大綱》的要求,融合當前國內(nèi)外的網(wǎng)絡(luò)安全態(tài)勢、信息安全風險管理的實踐經(jīng)驗,結(jié)合信息安全風險管理實際案例,理論結(jié)合實踐向?qū)W員授課。
課程內(nèi)容既包括風險管理的相關(guān)概念、風險管理的相關(guān)標準、項目管理的基本知識、風險識別、風險分析與評價、風險處置、風險管理的溝通咨詢與監(jiān)視評審等內(nèi)容,又包括信息安全相關(guān)技術(shù),小案例與綜合案例分析相結(jié)合。讓學員充分了解和掌握信息安全風險管理的知識體系,掌握和運用信息安全風險管理的基本方法,切實提升學員信息安全風險管理能力,成為國家信息安全保障人才隊伍中的一員。
培訓對象及學員基礎(chǔ):
主要面向政府部門、企事業(yè)單位及各行業(yè)從事網(wǎng)絡(luò)與信息安全服務(wù)的各級管理人員和技術(shù)人員,特別是從事信息安全風險管理、信息安全風險評估的專業(yè)人員,以及與信息安全保障工作相關(guān)的人員。
學員至少滿足下面一項要求:
- 本科(含)以上學歷, 1 年以上從事信息安全有關(guān)工作經(jīng)歷;
- ??飘厴I(yè),3 年以上從事信息安全有關(guān)的工作經(jīng)歷;
- 5 年以上從事信息安全有關(guān)的工作經(jīng)歷;
- 具有信息技術(shù)相關(guān)專業(yè)的初級技術(shù)職稱,并且至少 1 年以上從事信息安全保障相關(guān)工作經(jīng)歷。
培訓目標:
通過本課程的學習,能夠確保與風險管理相關(guān)的從業(yè)人員對風險管理有一個全面的了解和廣泛的認知,并且能夠順利獲得相關(guān)認證,從而提升自己風險管理專業(yè)技能,助力職業(yè)生涯發(fā)展。
大綱內(nèi)容:
日程
|
課程大綱
|
課程內(nèi)容
|
***
上午
|
風險管理基本概念
|
1. 概述
2. 風險管理基本概念
3、風險管理標準體系
|
***
下午
|
風險管理相關(guān)標準
|
1. 風險管理標準ISO 31000
2. 信息安全風險管理標準ISO/IEC 27005
3. 信息安全風險管理評估標準GB/T 20984
|
第二天
上午
|
項目準備和風險識別(一)
|
1. 項目管理基礎(chǔ)和環(huán)境建立
2. 發(fā)展戰(zhàn)略和業(yè)務(wù)識別
3. 資產(chǎn)識別
|
第二天
下午
|
風險識別(二)
|
1. 威脅識別
2. 脆弱性識別
3. 已有安全措施識別
|
第三天
上午
|
風險分析與評價
|
1. 風險分析
2. 風險計算
3. 風險評價及評估文檔輸出
|
第三天
下午
|
風險處置與監(jiān)控
|
1. 風險處置概述
2. 風險處置及風險接受
3. 溝通咨詢及監(jiān)視評審
|
第四天
上午
|
技術(shù)脆弱性識別(一)
|
1. 物理脆弱性別技術(shù)及案例分析
2. 網(wǎng)絡(luò)脆弱性識別技術(shù)及案例分析
3. 系統(tǒng)脆弱性識別技術(shù)及案例分析
|
第四天
下午
|
技術(shù)脆弱性識別(二)與管理脆弱性識別
|
1. 應用脆弱性識別技術(shù)及案例分析
2. 數(shù)據(jù)脆弱性識別技術(shù)及案例分析
3. 管理脆弱性識別技術(shù)及案例分析
|
第五天
上午
|
復習串講
|
1. 串講課程重點知識點。
2. 現(xiàn)場答疑
|
第五天
下午
|
考試
|
根據(jù)具體情況安排
|