課程背景：

ISO 27001標準的更新已在2013年正式發布。2016年11月7日中國發布了《中華人民共和國網絡安全法》。隨后2018年5月25日歐洲聯盟出臺《通用數據保護條例》GDPR。 2019年7月8日，英國信息監管局發表聲明說，英國航空公司因為違反《一般數據保護條例》被罰1.8339億英鎊（約合15.8億元人民幣）。

隨著信息化和數字化的不斷深入，各國家和企業紛紛重視信息安全保障工作，從戰略、組織結構、科技等各個方面加強信息安全保障工作力度。本課程從當前隱私保護，數據泄露，網絡入侵等案例入手，引入信息安全管理的重要性，分析安全管理與安全技術的關系。剖析組織中信息安全管理的核心要點和關鍵環節，分享在由各行業實際安全管理工作中總結出來的信息安全的重要原則，使管理人員對信息安全的理念、規律有清晰的認識，便于在組織信息安全管理過程中把握核心要點，有效地推動整個組織的信息安全管理工作。

課程收益：

● 領悟信息安全管理的重要性

● 了解行業相關信息安全法規

● 掌握信息安全管理的規律和特點

● 理解信息安全管理的作用和責任

● 掌握信息安全建設的重點和難點

課程時間：2天，6小時/天

課程對象：企業信息安全、信息部、IT開發、運維人員、信息安全審計人員

課程方式：理論講授+案例分析+現場演練

課程大綱

第一講：信息安全管理的認知

一、信息和信息資產分類

信息：是一種資產，就像企業其它資產一樣重要，對企業具有重要的價值，因此需要受到適當的保護

1. 數據資產（紙本文件、電子文件）

2. 軟件資產（業務系統、OA軟件、操作系統、數據庫軟件、辦公軟件、壓縮工具等）

3. 實物資產（服務器、筆記本電腦、打印機、手機、光盤等）

4. 人員資產（正式員工、臨時員工、外聘員工等）

5. 服務資產（保潔服務、安保服務、桌面幫助服務、通信服務等）

6. 環境（物理環境、業務環境、組織環境）

二、信息安全三大屬性CIA

1. 機密性（Confidentiality）：信息不可被未經授權之個人、實體、流程所取得或揭露的特性

2. 完整性（Integrity）: 確保信息不被非授權修改的特性

3. 可用性（Availability）: 基于需要可由授權者存取及使用的特性。

三、信息安全管理模型

1. 信息安全管理定義

2. 信息安全目標和方針

3. 信息安全問題發生原因及其解決之道

案例：數據泄露-思科訴華為知識產權侵權案以和解告終

案例：可用性-某離港系統主機發生故障

案例：電商行業安全案例分析

第二講：信息安全與業務發展的關系

1. 業務安全基礎

2. 業務安全問題和威脅

3. 業務安全風險評估

4. 業務安全解決之道

案例：分組討論業界有關業務安全問題

第三講：國內外互聯網行業信息安全法規與標準

1. ISO27001信息安全管理體系（ISMS）

1）策劃：建立ISMS范圍&風險評估

2）實施：設計&實施ISMS

3）檢查：監控&評審ISMS

4）改進：改進ISMS

2. 網絡安全法解析

3. 網絡安全等級保護制度介紹

4. GDPR歐盟個人隱私保護法案

案例：某證券公司信息安全管理體系建設實施計劃

第四講：信息安全組織工作范圍及其職責分工

1. 信息安全組織規劃和建設

2. 信息安全職責分工

1）信息安全委員會

2）信息安全負責人

3）業務負責人

4）用戶

5）審計師

小組模擬：究竟誰管誰？

3. 信息安全組織工作內容

案例：業界著名公司信息安全組織結構和職責介紹

第五講：信息安全風險評估

一、風險評估的認知

1. 風險風險評估分析

1）風險分析

2）風險評價

3）剩余風險

2. 風險來源

3. 風險管理原則

4. 風險評估要素

二、風險評估過程

1. ISO31000 風險處理過程

2. 信息安全風險評估過程

1）環境構建

2）風險識別

3）風險分析

4）風險評價

5)風險處置

練習：識別資產，威脅，弱點，可能性，影響，現有控制措施

3. 選擇和實施安全控制

案例：分組討論信息安全的風險評估