信息安全意识管理
授课领域:
授课讲师:李伟
上课方式:内训
课程时间:
第一讲:信息安全管理的认知一、信息和信息资产分类信息:是一种资产,就像企业其它资产一样重要,对企业具有重要的价值,因此需要受到适当的保护1. 数据资产(纸本文件、电子文件)2. 软件资产(业务系统、OA软件、操作系统、数据库软件、办公软件、压缩工具等)3. 实物资产(服务器、笔记本电脑、打印机、手机、光盘等)4. 人员资产(正式员工、临时员工、外聘员工等)5. 服务资产(保洁服务、安保服务、桌面帮助服务、通信服务等)6. 环境(物理环境、业务环境、组织环境)二、信息安全三大属性CIA1. 机密性(Confidentiality):信息不可被未经授权之个人、实体、流程所取得或揭露的特性2. 完整性(Integrity): 确保信息不被非授权修改的特性3. 可用性(Availability): 基于需要可由授权者存取及使用的特性。三、信息安全管理模型1. 信息安全管理定义2. 信息安全目标和方针3. 信息安全问题发生原因及其解决之道案例:数据泄露-思科诉华为知识产权侵权案以和解告终案例:可用性-某离港系统主机发生故障案例:电商行业安全案例分析第二讲:信息安全与业务发展的关系1. 业务安全基础2. 业务安全问题和威胁3. 业务安全风险评估4. 业务安全解决之道案例:分组讨论业界有关业务安全问题第三讲:国内外互联网行业信息安全法规与标准1. ISO27001信息安全管理体系(ISMS)1)策划:建立ISMS范围&风险评估2)实施:设计&实施ISMS3)检查:监控&评审ISMS4)改进:改进ISMS2. 网络安全法解析3. 网络安全等级保护制度介绍4. GDPR欧盟个人隐私保护法案案例:某证券公司信息安全管理体系建设实施计划第四讲:信息安全组织工作范围及其职责分工1. 信息安全组织规划和建设2. 信息安全职责分工1)信息安全委员会2)信息安全负责人3)业务负责人4)用户5)审计师小组模拟:究竟谁管谁?3. 信息安全组织工作内容案例:业界著名公司信息安全组织结构和职责介绍第五讲:信息安全风险评估一、风险评估的认知1. 风险风险评估分析1)风险分析2)风险评价3)剩余风险2. 风险来源3. 风险管理原则4. 风险评估要素二、风险评估过程1. ISO31000 风险处理过程2. 信息安全风险评估过程1)环境构建2)风险识别3)风险分析4)风险评价5)风险处置练习:识别资产,威胁,弱点,可能性,影响,现有控制措施3. 选择和实施安全控制案例:分组讨论信息安全的风险评估