课程简介
在现在的互联网环境下,信息安全事件频发,对企业的运营造成了重大的影响和破坏,信息安全显得越来越重要,本课程重在向学员概述ISO27001 信息安全管理体系列出常见信息安全风险及给出相应的预防控制措施。
目标收益
a)使学员了解到ISO27001标准的框架体系;
b)使学员了解IS027001:2022版的4大控制类型,以及主要的控制措施建议,并通过控制措施实施案例,让学员了解不同行业的控制实施特点;
c)使学员了解等级保护的基本概念和核心思想;
d)使企业管理层及信息安全人员学习建立符合企业需要的信息安全管理制度;
e)学习一套风险分析和风险管理方法,并学习资产分类分级方法;
f)理解资产价值与重要性,做出弱点及威胁分析;
g)识别常见风险,并针对性形成相应预防及控制措施。
培训对象
a)想要了解信息安全管理体系者
b)公司内负责导入信息安全管理体系的人员
c)信息安全经理
d)IT部门经理
e)资深IT人员
f)项目经理
g)系统管理员
h)信息安全管理员
课程大纲
| ISO27001信息安全概述 |
1.信息安全基本定义与概念 2.概述ISO信息安全标准族 3.概述ISO27001信息安全正文和4大控制类别 4.信息安全管理体系基本要素 5.信息安全管理的目标 6.信息安全风险评估 |
| 组织控制 |
1.信息安全策略 2.信息安全角色和责任 3.职责分离 4.管理职责 5.与职能机构的联系 6.与特定相关方的联系 7.威胁情报 8.项目管理中的信息安全 9.信息和其它相关资产清单 10.信息和其它相关资产的可接受使用 11.资产归还 12.信息分级 13.信息的标记 14.信息传输 15.访问控制 16.身份管理 17.鉴别信息 18.访问权 19.在供应商协议中强调安全 20.管理ICT 供应链中的信息安全 21.供应商服务的监控、审查和变更管理 22.使用云服务的信息安全 23.信息安全事件管理规划和准备 24.信息安全事态的评估与决策 25.信息安全事件的响应 26.从信息安全事件中学习 27.证据的收集 28.中断期间的信息安全 29.ICT 为业务连续性做好准备 30.法律、法规、监管和合同要求 31.知识产权 32.记录的保护 33.PII 与隐私保护 34.信息安全的独立评审 35.遵守信息安全的政策、规则和标准 36.文件化的操作规程 |
| 人员控制&物理安全 |
1.审查 2.任用条款及条件 3.信息安全意识、教育和培训 4.违规处理过程 5.终止或变更雇佣关系后的责任 6.保密或不泄露协议 7.远程工作 8.报告信息安全事态 9.物理安全边界 10.物理入口 11.办公室、房间和设施的安全保护 12.物理安全监控 13.物理和环境威胁的安全防护 14.在安全区域工作 15.清理桌面和屏幕 16.设备安置和保护 17.组织场所外的资产安全 18.存储介质 19.支持性设施 20.布缆安全 21.设备维护 22.设备的安全处置或再利用 |
| 技术控制 |
1.用户终端设备 2.特定访问权 3.信息访问限制 4.访问源代码 5.安全认证 6.容量管理 7.防止恶意软件 8.技术脆弱性管理 9.配置管理 10.信息删除 11.数据脱敏 12.数据防泄露 13.信息备份 14.配置管理 15.日志 16.监控活动 17.时钟同步 18.特权实用程序的使用 19.在操作系统上安装软件 20.网络安全 21.网络服务的安全 22.网络隔离 23.网页过滤 24.密码学的使用 25.安全开发生命周期 26.应用程序安全要求 27.安全系统架构和工程原则 28.安全编码 29.开发和验收中的安全测试 30.外包开发 31.开发、测试和生产环境的分离 32.变更管理 33.测试信息 34.在审计测试期间保护信息系统 |
|
ISO27001信息安全概述 1.信息安全基本定义与概念 2.概述ISO信息安全标准族 3.概述ISO27001信息安全正文和4大控制类别 4.信息安全管理体系基本要素 5.信息安全管理的目标 6.信息安全风险评估 |
|
组织控制 1.信息安全策略 2.信息安全角色和责任 3.职责分离 4.管理职责 5.与职能机构的联系 6.与特定相关方的联系 7.威胁情报 8.项目管理中的信息安全 9.信息和其它相关资产清单 10.信息和其它相关资产的可接受使用 11.资产归还 12.信息分级 13.信息的标记 14.信息传输 15.访问控制 16.身份管理 17.鉴别信息 18.访问权 19.在供应商协议中强调安全 20.管理ICT 供应链中的信息安全 21.供应商服务的监控、审查和变更管理 22.使用云服务的信息安全 23.信息安全事件管理规划和准备 24.信息安全事态的评估与决策 25.信息安全事件的响应 26.从信息安全事件中学习 27.证据的收集 28.中断期间的信息安全 29.ICT 为业务连续性做好准备 30.法律、法规、监管和合同要求 31.知识产权 32.记录的保护 33.PII 与隐私保护 34.信息安全的独立评审 35.遵守信息安全的政策、规则和标准 36.文件化的操作规程 |
|
人员控制&物理安全 1.审查 2.任用条款及条件 3.信息安全意识、教育和培训 4.违规处理过程 5.终止或变更雇佣关系后的责任 6.保密或不泄露协议 7.远程工作 8.报告信息安全事态 9.物理安全边界 10.物理入口 11.办公室、房间和设施的安全保护 12.物理安全监控 13.物理和环境威胁的安全防护 14.在安全区域工作 15.清理桌面和屏幕 16.设备安置和保护 17.组织场所外的资产安全 18.存储介质 19.支持性设施 20.布缆安全 21.设备维护 22.设备的安全处置或再利用 |
|
技术控制 1.用户终端设备 2.特定访问权 3.信息访问限制 4.访问源代码 5.安全认证 6.容量管理 7.防止恶意软件 8.技术脆弱性管理 9.配置管理 10.信息删除 11.数据脱敏 12.数据防泄露 13.信息备份 14.配置管理 15.日志 16.监控活动 17.时钟同步 18.特权实用程序的使用 19.在操作系统上安装软件 20.网络安全 21.网络服务的安全 22.网络隔离 23.网页过滤 24.密码学的使用 25.安全开发生命周期 26.应用程序安全要求 27.安全系统架构和工程原则 28.安全编码 29.开发和验收中的安全测试 30.外包开发 31.开发、测试和生产环境的分离 32.变更管理 33.测试信息 34.在审计测试期间保护信息系统 |
近期公开课推荐
