课程大纲时间内容第一天 9:00 - 12:00第一部分 信息安全管理基础知识

1 信息与信息安全

1.1 信息安全案例分析

1.2 信息分类与分级

1.3 信息安全属性CIA

2 信息安全管理

2.1 信息安全风险

2.2 信息安全风险识别

2.3 信息安全风险分析

2.4 信息安全风险评价

2.5 信息安全风险处置13:30 - 16:30第二部分 信息安全管理体系

1 信息安全管理体系框架

2 SWOT分析

3 相关方需求确定

4 领导作用及承诺

5 体系策划

【案例练习】ISMS手册，程序文件和作业指导书的编制要求

6 监视、测量、分析和评价

7 不符合、纠正措施和持续改进第二天 9:00 - 12:00第三部分 信息安全控制措施

【案例分析】

1 SOA与控制域框架

2 信息安全策略

3 信息安全组织

4 人力资源信息安全管理

5 资产管理

6 访问控制

7 物理环境安全

8 密码控制

9 运行信息安全

10 通信安全

11 信息系统开发信息安全

12 获取与维护

13 供应商关系

14 信息安全事件管理

15 业务连续性的信息安全管理

16 符合性管理下午第四部分 信息安全管理体系审核

1 审核概述

2 审核方法

【演练】正向审核；反向审核

3 审核策划

【分组练习】编制审核计划；编制检查表

4 现场审核

【分组练习】

ü 现场审核思路；

ü 审核员素质与能力；

ü 访谈、观察与检查；

ü 高层访谈；

ü 分组模拟审核

5 总结汇报

【分组练习】

ü 审核发现；

ü 小组内部沟通；

ü 汇报；

ü 末次会议

第五部分 总结

1 分组发言

2 课程总结

3 考试