背景
在人类迈入信息时代的今天,各企业分享着现代科技带来的便利,也面临着信息安全的威胁。如何享用现代信息系统的快捷、方便。如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。专家研究表明,信息安全在于保证信息的机密性、完整性、可用性三种属性不被破坏。
信息像其它重要的商务资产一样,也是一种资产,对一个组织而言具有价值,因而需要妥善保护。信息安全使信息避免一系列威胁,保障业务的连续性,最大限度地减少业务的损失,最大限度地获取投资和业务的回报。
BS-7799为保障信息的机密性、完整性和可用性提供了典范。BS-7799是由英国标准协会(British
Standards Institution,简称BSI)制定的信息安全管理体系标准。它包括两部分,其第一部分《信息安全管理实施规则》于2000年12月被国际化标准组织(ISO)纳入世界标准,编号为ISO/IEC
17799.BS7799广泛地涵盖了所有的信息安全议题,如安全方针的制定、安全责任的归属、风险的评估、定义与强化安全参数及访问控制,甚至包含防病毒的相关策略等。BS-7799已经成为国际公认的信息安全实施标准,适用于各种产业与组织。
课程培训目的
ISO 17799/BS 7799 是总结了各种信息安全实践的最好惯例,目前世界上唯一的和流行的信息安全管理体系标准。组织按照这套标准管理信息安全风险,能有效地提高管理的有效行和不断提高自身的信息安全管理水平,降低信息安全对持续发展造成的风险。但标准使用了比较简练的语言高度概括了世界上公认的信息安全管理应考虑的各个领域、信息安全管理体系的实施和维护活动,这种标准写作的特点给阅读理解标准及在组织管理的实践活动中实施和维护信息安全管理造成一定的困难。英国标准协会(BSI)是BS7799
标准的原创单位,对标准的解释具有较高的权威性,开发了一系列的课程。中国电子信息产业发展研究院信息化管理培训中心是全国首家专注于信息化管理培训的专业组织,具有丰富的媒体资源和专家顾问队伍,双方通过优势互补,密切合作,联合提出BS7799系列培训服务,以帮助组织科学地、有效地建立和维护信息安全管理体系标准。
课程内容介绍
由于培训对象不同,对信息系统安全的认知程度不同,因此层次化、结构化的培训方案是必须的。课程设置如下:
A001信息安全管理意识与标准课程
1天
A002信息安全管理体系基础课程 2天
A003信息安全风险分析与管理
2天
A004信息安全管理体系内部审核员课程
2天
A005信息安全管理体系实施课程 5天
A006信息安全管理体系主任审核员课程
5天
|
A001:信息安全管理意识与标准课程 |
|
|
课程概述 |
随着全世界的专家们对信息安全管理的探索,信息安全“三分技术、七分管理”的理念已深入人心。ISO/IEC 17799 (BS 7799)标准是世界公认的最全面的信息安全管理标准,此标准吸收了全世界信息安全管理的基本概念并综合了信息安全管理的最佳实践惯例,为建立信息安全管理体系提供了要求和指导。近年来,此标准已成为信息安全从业人员、关心本组织信息安全工作的经理们不得不知的重要知识。BSI(英国标准协会)是世界著名的标准开发组织,又是本标准的原创单位,对于标准的解释具有权威性,为使大家对于ISO/IEC
17799(BS 7799)的条款有正确的理解,我们特此开发了一天的信息安全管理基本知识和标准条款介绍课程。 |
|
课程目标 |
1.
使参与者明白信息安全。
2.
使参与者理解该标准的目。
3.
使参与者理解控制目标和控制措施。
4.
强调重要控制措施的重要性。
5.
使参与者理解ISO/IEC 17799对组织的意义。 |
|
内容纲要 |
Part
0 信息安全管理基本概念 Part1
ISO/IEC 17799(BS 7799 )发展的历史 Part2
ISO/IEC 17799条款讲解(10大控制要项,36个控制目标,127个控制措施) Part3
BS 7799-2 条款讲解(对信息安全管理体系的要求,包括建立信息安全管理体系框架、实施、监控和改进信息安全管理体系方面的要求) Part
4 BS 7799-2 认证过程 |
|
目标听众 |
¨
想把信息安全管理体系引入本企业的高层管理人员
¨
想了解信息安全管理标准的信息安全从业人员
¨
想了解信息安全管理体系标准的体系顾问师
¨
其它目的想了解本标准的人员 |
|
授课方式 |
主要以BSI 有资格的教师授课为主,伴随少量练习,学员小组讨论等,鼓励学员主动参与,最大化学习成果。 |
|
课程长度 |
1天 |
|
A002:信息安全管理体系基础课程 |
|
|
课程概述 |
该课程对组织信息安全的需求和ISO/IEC 17799国际标准进行探讨,并讲解BS 7799-2:1999对信息安全管理体系的要求。 同时本课程探讨了信息安全,控制方法和威胁的衡量等,但本课程并不是一个技术性质的课程,更强调信息安全管理方面。 |
|
课程目标 |
1.
使参与者明白信息安全.
2.
使参与者理解该标准的目的
3.
使参与者理解控制目标和控制措施.
4.
强调重要控制措施的重要性.
5.
使参与者理解ISO/IEC 17799对组织的意义. |
|
内容纲要 |
Part
0
介绍课程大纲 Part
1
基础 Part
2
信息风险 Part
3
信息安全管理与商务需求 Part
4
关于ISO17799 Part
5
BS7799 的变化 Part
6
资产与风险管理 Part
7
维护信息安全 Part
8
设计和实施信息安全管理体系 Part
9
ISO/IEC 17799 控制措施概览 Part
10 审核与认证 Part
11 认可 |
|
目标听众 |
® 资深经理 ® IT经理 ® 系统经理、 ® IT安全经理 ® 其它想把信息安全管理体系引入组织的人员。 |
|
授课方式 |
以BSI 有资格的教师授课为主,伴随少量练习,学员小组讨论等,鼓励学员主动参与,最大化学习成果。 |
|
课程长度 |
2天 |
|
A003:信息安全风险分析及管理课程 |
|
|
课程概述 |
风险评估和管理是信息安全管理体系建立和维护的基础,没有正确的风险评估就无法实施好的信息安全管理。由于组织管理架构、业务流程及其信息系统的复杂性,使风险分析也变得极为复杂,如果一个组织想引进信息安全管理体系科学管理信息安全,就必须懂得如何进行信息安全风险的分析方法及其适应性;一个适应组织实际情况的风险分析方法,能够帮助组织准确定位自己面临的风险并对其进行有效的管理。 |
|
课程目标 |
本课程致力于按照国际流行的风险评估概念帮助学员理解风险分析的问题及理念,学会风险分析的方法。 |
|
内容纲要 |
Part0
什么是信息安全风险 Part1 风险管理及其组成要素 Part2 建立信息安全风险管理系统 Part3 如何执行风险分析 Part4 系统化的风险分析 Part5 风险预评和业务冲击分析 |
|
目标听众 |
¨
想把信息安全管理体系引入本企业的高层管理人员
¨
想了解信息安全风险评估及管理的信息安全从业人员
¨
想了解信息安全管理体系建立及实施的体系顾问师 ® 其它目的想了解风险评估及管理的人员 |
|
授课方式 |
主要以BSI 有资格的教师授课为主,伴随少量练习,学员小组讨论等,鼓励学员主动参与,最大化学习成果。 |
|
课程长度 |
2天 |
|
A004:信息安全管理体系内部审核员课程 |
|
|
课程概述 |
成功地建立一个信息安全管理体系只是组织进行信息安全管理的第一步。组织的信息安全管理要想取得进一步的改进并有效持续管理信息安全,很大程度上取决于一个合格的管理体系内审小组。内审人员的知识和素质对于组织的管理体系的成功与否起决定性的作用。 |
|
课程目标 |
本课程致力于提高信息安全管理体系的知识及内部审核的程序及内部审核的知识,使参加者获得维护体系的基本知识。使学员获得信息安全管理体系内部审核的基本概念、审核流程、体系的概念及审核重要进行的主要活动和审核技巧等。
|
|
内容纲要 |
Part0 简介 Part1管理系统审核简介 Part2信息安全政策与范围 Part3控制方法实施与审核要点 Part4审核活动的准备 Part5审核活动的执行 Part6审核员的评估与审查
|
|
目标听众 |
¨
参与信息安全管理体系管理的高层管理人员
¨
负责体系维护的信息安全管理人员
¨
想了解信息安全管理体系建立及维护的体系顾问师
¨
其它目的想了解信息安全管理体系内部审核的人员 |
|
授课方式 |
BSI认可的讲师讲解及学员的讨论和课堂练习 |
|
课程长度 |
2天 |
|
A005:信息安全管理体系实施课程 |
|
|
课程概述 |
近来信息安全的事故的不断出现和信息价值的增加使得组织对信息保护的需求不断增加。信息安全管理体系是组织对敏感信息及技术加以保护并使其安全的控制方法,该体系包含人员、过程和IT系统的管理。 本课程提供学员按照ISO 17799 的要求并符合BS 7799-2:2002认证要求的信息安全管理体系的实施技巧。课程采取BSI特有的动态方式提供给学员实施信息安全管理体系的框架。 |
|
课程目标 |
课程的目标和结果将由BSI的讲师指导和监督建立一个有效的信息安全管理体系。通过大量的练习获得提高和保护公司信息资产的知识。 |
|
内容纲要 |
Part0 建立信息安全管理体系的全面知识 Part1 确定信息安全管理体系的范围 Part2识别信息资产 Part3 确定信息资产的价值 Part4 确定风险 Part5 确定控制措施要求的方针和保证的程度 Part6 识别控制目标和控制措施 Part7 定义实施控制措施需要的方针、标准和程序 Part8 编写和实施方针、标准和程序 Part9 完成ISMS文件要求 |
|
目标听众 |
® 公司担任实施信息安全管理体系或管理体系的经理或员工 ® 信息安全管理顾问 ® 本课程要求参加的学员对信息安全管理体系有很好的理解(最好先参加信息安全管理体系基础知识课程)
|
|
授课方式 |
本课程由BSI授权讲师主讲,课程期间有晚间作业。 |
|
课程长度 |
5天 |
|
A006:信息安全管理体系主任审核员培训课程 |
|
|
课程概述 |
ISO/IEC 17799 (信息安全管理最佳实践指南)目前是国际上唯一的关于信息安全管理的国际标准。该标准强调以风险管理为基础的、全面的安全管理,目前该方法在世界范围内得到认可。BS
7799-2:1999(信息安全管理体系规范)是ISO/IEC 17799 的姊妹对标准,是信息安全管理体系审核的依据标准。目前,依据BS
7799-2:1999建立信息安全管理体系并获得认证正成为世界潮流。根据ISO/IEC 17799(BS 7799)国际使用者协会的最新统计,目前全球范围内,已有139个公司通过了BS
7799-2认证,获得了信息安全管理体系认证证书,这个数字在两周前是106个。这说明,信息安全管理体系认证正被世界上越来越多的组织接受,加入到建立信息安全管理体系并获得认证的行列中来。信息安全管理体系认证必将像ISO
9000 质量管理体系认证一样,成为一种潮流,成为一种产业。 审核是任何管理体系成功的关键,对于信息安全管理体系也是一样。体系审核担负着重大的责任并面临着严重的挑战,同时审核中也会遇到很复杂的问题。因此,BSI(英国标准协会,标准的原创单位)设计了为期五天的主任审核员课程,目的是使学员熟悉BS 7799 建立和实施的过程并使他们了解怎样为认证机构实施BS7799
信息安全管理体系的审核。同时,该课程也使学员能够为准备实施信息安全管理体系的组织提供帮助和信息。 |
|
课程目标 |
有效的审核是确定组织实施的安全管理措施是否的正确的唯一途径。因此,只有懂得正确的审核方法,才能够确定安全措施是否能够有效保护组织并能够达到预期的结果。 本课程考试通过后,可获得英国标准协会BSI(BSI Business Solution., Ltd)和中国电子信息产业发展研究院信息化管理培训中心联合颁发的通过BS 7799主任审核员课程考试的证书,该证书是进一步获取信息安全管理体系审核员资格的基础。 |
|
内容纲要 |
Part0 ISO/IEC 17799 (BS 7799-1)BS 7799:1999-2 Part1 信息安全 Part2 信息安全的重要性 Part3 评估信息安全的威胁和脆弱性 Part4 管理安全风险 Part5 选择安全控制措施 Part6 建立信息安全管理体系(ISMS) Part7 审核BS7799-2 Part8 信息安全管理体系审核技巧 Part9 领导和管理审核小组 Part10 会面技巧 Part11 审核报告 |
|
目标听众 |
® 准备正式地、按ISO/IEC 17799(BS7799)实施信息安全管理体系的组织的领导者或项目的实施者 ® 已经是安全审核员,但希望能够扩展他们的审核经验的学员 ® 希望提供给客户信息安全管理体系审核知识的顾问 ® 信息安全和质量管理工作人员 |
|
学员收益 |
有效的审核是确定组织实施的安全管理措施是否的正确的唯一途径。因此,只有懂得正确的审核方法,才能够确定安全措施是否能够有效保护组织并能够达到预期的结果。 |
|
授课方式 |
授课讲师指导、练习、角色扮演等 |
|
课程长度 |
5天 |
|
状态 |
时间 |
课程 |
天数 |
地点 |
价格 (RMB) |
我要报名 |
|
接受报名 |
A001:信息安全管理意识与标准 |
1 |
北京 |
800 |
||
|
接受报名 |
A002:信息安全管理体系基础 |
2 |
北京 |
2800 |
||
|
接受报名 |
A003:信息安全风险分析与管理 |
2 |
北京 |
3500 |
||
|
接受报名 |
A004:信息安全管理体系内审员课程 |
2 |
北京 |
3500 |
||
|
接受报名 |
A005:信息安全管理体系实施课程 |
5 |
北京 |
15000 |
||
|
接受报名 |
A005:信息安全管理体系实施 |
5 |
北京 |
15000 |
注:欢迎任何形式的合作培训项目及为某一特定机构定制内部培训课程。