課程描述INTRODUCTION
日程安排SCHEDULE
課程大綱Syllabus
風險評估管理培訓
培訓目標
風險評估有時候也稱為風險分析,是組織使用適當?shù)娘L險評估工具,依據(jù)國內(nèi)外有關信息安全相關標準,對信息和信息處理設施的威脅、影響和薄弱點及其發(fā)生的可能性的評估,包括信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程,從信息資產(chǎn)、信息系統(tǒng)、業(yè)務流程等多個維度,評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負面影響,并根據(jù)安全事件發(fā)生的可能性和負面影響的程度來識別信息系統(tǒng)的安全風險。
通過此次培訓可以:
理解風險評估的原理與原則
掌握風險評估的流程與方法
通過資產(chǎn)重要性分析明確企業(yè)需要重點保護的資產(chǎn)信息
掌握金融行業(yè)信息安全風險評估的完整流程、并結合培訓與輔助資料切入企業(yè)實踐
培訓對象
信息科技管理人員/IT工作人員;
風險管理人員;審計人員;稽核人員;
負責信息系統(tǒng)安全管理和規(guī)劃的經(jīng)理及技術人員;
災難恢復管理、業(yè)務連續(xù)性管理等領域的管理人員和工作人員等。
信息中心工作人員
培訓時間與地點
具體培訓實施時間需由培訓顧問與客戶協(xié)調(diào)溝通確認。
本次培訓的實施地點為客戶現(xiàn)場。
培訓內(nèi)容
主 題
內(nèi) 容
培 訓 目 標
一、什么是信息安全風險評估風險評估用途,風險評估的原理和原則
風險評估的概念
使學員了解風險評估的概念,風險管理的原則,為下面的培訓打好基礎
風險評估工作解決的問題
風險管理的原則
二、信息安全管理及相關標準的理解與實施
信息安全管理標準
信息安全以及相關標準介紹
IT治理標準的理解
三、風險評估常用方法、工具以及方法優(yōu)勢和劣勢
風險評估方法
介紹常用和流行的風險評估方法,評估優(yōu)勢和劣勢以及風險評估工具的**介紹
風險評估工具
四、風險評估基本流程
基本過程
使學員了解風險評估的關鍵步驟和重要概念資產(chǎn)、威脅、脆弱性以及相互關系
識別評估資產(chǎn)
識別并評估威脅
識別并評估脆弱性
識別評估現(xiàn)有安全措施
評估風險
五、風險評估實施
收集資料
介紹風險評估的實施過程,使學員了解風險評估的具體實施過程
人員訪談
問卷調(diào)查
安全掃描
滲透測試
六、風險消減
確定風險消減策略
為學員講解如何通過風險評估的結果,為企業(yè)制定和實施安全計劃
選擇安全措施
制定安全策略
實施安全策略
七、風險控制
風險控制維護
介紹風險管理的其他部分內(nèi)容
風險監(jiān)視
事件響應
安全意識
八、信息安全風險評估技術評估
安全掃描
讓學員詳細了解信息安全風險評估技術各種技術手段原理以及使用
人工檢查
滲透測試
九、案例分析
某移動通信運營商信息安全評估環(huán)境
通過具體案例,引領學員進行一次風險評估案例的體驗,加強學員的動手能力和實際操作能力
某移動通信運營商信息安全評估方法
某移動通信運營商信息安全評估的過程
學員分析與討論
風險評估管理培訓
轉載:http://www.nywlwx.com/gkk_detail/310874.html