厦门ISO27001标准实施与ISMS内审员培训课程,2019年泉州ISO27001认证培训,2019年福州ISMS标准专家讲解厦门ISO27001认证培训,厦门ISMS培训,泉州ISO27001信息安全管理体系ISMS培训,福州ISO27001信息安全管理体系培训
课程对象
信息安全管理系统推动人员、 进行内部审核的人员、资深经理、IT 经理、系统经理、IT 安全经理、其他想把信息安全管理体系引入组织的人员、敏感岗位员工等
ISO27001标准实施与内部审核员培训课程大纲课程特色与背景
【课程简介】
基于国际标准ISO/IEC 27001:2005和ISO/IEC 27002:2005的信息安全管理体系(ISMS-Information Security Management System)是管理体系思想和方法在信息安全保障方面的具体应用。建立和实施信息安全管理体系,是目前许多组织解决信息安全问题的有效方法和手段。
信息安全管理体系标准实施与内审员培训课程的目的是使学员了解信息安全管理体系基础知识,熟悉信息安全管理体系标准实施,内审的基本内容,掌握内审的流程和方法,培训合格者可获得本中心颁发的合格证书。
【课程目标】
理解ISO/IEC 17799对组织的意义和信息安全的重要性
了解信息安全基本常识、基本观念等
理解标准的目的
理解信息安全控制目标和控制措施
强调信息安全重要控制措施的重要性
基于国际标准ISO/IEC 27001:2005和ISO/IEC 27002:2005的信息安全管理体系(ISMS-Information Security Management System)是管理体系思想和方法在信息安全保障方面的具体应用。建立和实施信息安全管理体系,是目前许多组织解决信息安全问题的有效方法和手段。
信息安全管理体系标准实施与内审员培训课程的目的是使学员了解信息安全管理体系基础知识,熟悉信息安全管理体系标准实施,内审的基本内容,掌握内审的流程和方法,培训合格者可获得本中心颁发的合格证书。
【课程目标】
理解ISO/IEC 17799对组织的意义和信息安全的重要性
了解信息安全基本常识、基本观念等
理解标准的目的
理解信息安全控制目标和控制措施
强调信息安全重要控制措施的重要性
课程大纲
1.信息安全概述----信息及信息安全基本观念和重要性,信息安全保护的基本常识、信息安全保护的基本责任和义务、CIA目标,信息安全需求来源,信息安全管理
2.风险评估与管理----风险管理要素,过程,定量与定性风险评估方法,风险消减等
3.ISO27001标准简介----ISO27001标准发展历史、现状和主要内容,信息安全标准族、ISO27001标准认证
4.信息安全管理实施细则(实现信息安全的方法)----从十个方面介绍ISO17799的各项控制目标和控制措施--信息安全需要保护或控制措施的相关内容(结合企业实际案例)
5.信息安全管理体系标准--------ISO/IEC 27001:2005正文部分内容解读,PDCA管理模型,ISMS建设方法和过程--信息安全管理的相关规定(结合企业实际案例)
ISO/IEC 27001:2005正文解读
A5安全策略(Security Policy)
A6组织信息安全(Organizing Information Security)
A7资产管理(Asset Management)
A8人力资源安全(human resources security )
A9物理与环境安全(Physical and environ- ment security)
A10通信与运行安全(Communication and Operation security
A12信息系统获取、开发与维护(Information system acquisition, Development and maintenance)
A11访问控制 (Access Control)
A13信息安全事件管理(Information Security Incident Management)
A14业务连续性管理(Business Continuity Management)
A15符合性(Compliance)
6.信息安全异常发生时的报告流程(结合企业案例)、 违反信息安全管理规定的相关处罚(结合企业实际案例) 、相关案例
6.内部审核的策划、准备和实施
7.信息安全管理体系认证----认证和认可,认证的好处,认证的过程,认证准备
2.风险评估与管理----风险管理要素,过程,定量与定性风险评估方法,风险消减等
3.ISO27001标准简介----ISO27001标准发展历史、现状和主要内容,信息安全标准族、ISO27001标准认证
4.信息安全管理实施细则(实现信息安全的方法)----从十个方面介绍ISO17799的各项控制目标和控制措施--信息安全需要保护或控制措施的相关内容(结合企业实际案例)
5.信息安全管理体系标准--------ISO/IEC 27001:2005正文部分内容解读,PDCA管理模型,ISMS建设方法和过程--信息安全管理的相关规定(结合企业实际案例)
ISO/IEC 27001:2005正文解读
A5安全策略(Security Policy)
A6组织信息安全(Organizing Information Security)
A7资产管理(Asset Management)
A8人力资源安全(human resources security )
A9物理与环境安全(Physical and environ- ment security)
A10通信与运行安全(Communication and Operation security
A12信息系统获取、开发与维护(Information system acquisition, Development and maintenance)
A11访问控制 (Access Control)
A13信息安全事件管理(Information Security Incident Management)
A14业务连续性管理(Business Continuity Management)
A15符合性(Compliance)
6.信息安全异常发生时的报告流程(结合企业案例)、 违反信息安全管理规定的相关处罚(结合企业实际案例) 、相关案例
6.内部审核的策划、准备和实施
7.信息安全管理体系认证----认证和认可,认证的好处,认证的过程,认证准备
培训特色1. 理论与实践相结合、案例分析与行业应用穿插进行;2. 专家精彩内容解析、学员专题讨论、分组研究;3. 通过全面知识理解、专题技能掌握和安全实践增强的授课方式。培训目标1. 了解信息安全背景与趋势;2. 理解信息安全基本概念;3. 了解最新的Android、MAC、OS系统安全漏洞;4. 了解最新电子商务、移动终端新型的攻击技术;5. 理解网络安全体系架构的设计;6. 理解安全架构的企业部署及指导应用;7. 理解常见网络安全威胁的类型、威胁手段及其危害;8. 掌握典型的黑客攻击的方法及防范攻击的技巧;9. 增强学员对信息安全的整体认识;10. 掌握信息安全防范能力;11. 在实际工作中提升企业的整体信息安全水平。
课程大纲
(一)信息安全技术
(二)信息安全管理暨27001
时间 | 知识模块 | 授课内容 | 工具演示和实验 |
第一天上午 | 信息安全威胁、信息安全基本概念、黑客基本攻击思路 | 安全事件回顾信息安全面临的威胁信息安全基础数据安全保护数据机密性数据完整性数据认证UNREPLAY技术PGP安全加固应用举例黑客攻击的一般流程黑客攻击的典型方式攻防基础概念和理论知识入侵常用DOS命令端口扫描技术漏洞扫描技术 | 1.黑客攻击思路2.黑客攻击技术3.Nmap端口扫描工具使用4.常用DOS命令5.DOS攻击演示6.构建自己的攻防环境7.nessus漏扫工具使用8.信息收集技术9.PGP安全加固 |
第一天下午 | 安全攻击与防御 | 渗透测试的原理系统扫描/漏洞扫描技术口令破解技术嗅探技术数据包分析技术IP地址欺骗攻击与防御ARP欺骗攻击与防御DHCP服务器攻击与防御DNS服务器劫持攻击与防御DOS/DDOS攻击与防御远程控制技术缓冲区溢出攻击拒绝服务攻击社会工程学 | 1.Winfo获取windows系统信息2.流光破解Windows口令3.John破解Linux口令4.X-Scan漏洞扫描5.Nessus开源漏扫6.FTP、SQL、Telnet口令爆破7.Sniffer 抓包分析8.Wireshark对网络协议9.密保钓鱼10.RPC远程溢出11.synFlood拒绝服务攻击12.smurf攻击 |
第二天上午 | 应用系统安全及其防范、Android移动安全 | Web系统简介Web系统安全隐患网页挂马SQL注入Cookie欺骗XSS跨站钓鱼攻击暴库Android 系统安全分析Web安全加固电子邮件安全应用举例银行系统安全分析嵌入式系统介绍嵌入式系统安全USB-KEY技术应用 | 1.WEB站点安全指南2.SQL注入突破网站验证3.Domain、Jsky、NBSI、HDSI、CASI等Web渗透工具的使用4.上传网站后门Webshell5.利用XSS窃取其他用户的Cookie信息6.用IBM AppScan、WVS扫描站点安全漏洞7.Web服务器安全加固8.电子邮件安全测试 |
第二天下午 | 网络安全架构设计和网络安全设备的部署 | 网络安全现状分析网络安全体系架构介绍内网安全架构的设计安全域的概念安全产品的部署防火墙的基本原理防火墙产品介绍防火墙的配置防火墙安全加固指南大中型企业防火墙应用举例IDS基本原理IDS部署IPS原理IDS、IPS的配置与部署UTM部署指南内网安全监控审计系统的配置与部署 | 1.内网安全监控和审计的配置2.防火墙的部署3.UTM的配置与部署4.IDS/IPS测试5.网络流量、网络异常数据包的具体分析 |
第三天上午 | 网络安全架构设计和网络安全设备的部署 | 数据传输安全需求数据传输的机密性,完整性,认证数据传输安全实现协议IPSECIPSec VPN技术原理IPSEC VPN配置IPSEC VPN大中型网络部署指南WEB VPN应用需求WEBVPN的配置与部署网络故障诊断排除的思路和方法 | 1.IPSec VPN传输安全测试2.WEB VPN的配置 |
第三天下午 | 主机操作系统安全及病毒防御 | 企业服务器功能及安全重要性Windows系统安全综述Windows体系构架注册表与系统安全Widnows的组策略Windows用户安全性NTFS 文件系统安全性EFS安全配置LINUX系统的安全综述LINUX系统安全策略LINUX系统安全配置指南计算机系统病毒防御计算机系统木马防御计算机系统蠕虫防御大中型企业网络信息安全加固指南 | 1.VMware 虚拟机的使用2.用户权限分配3.组策略4.NTFS特性5.EFS文件加密6.防火墙策略7.系统备份与恢复8.LINUX系统安全加固测试 |
时间 | 知识模块 | 授课内容 | 教学方式 |
第一天上午 | 信息安全基础 | 信息安全发展现状信息安全趋势分析信息安全顶层设计信息安全架构与企业架构信息安全模型、原则信息安全域分析、部署基于过程的信息安全流程分析信息基础知识信息的机密性信息的完整性信息的认证PKI数字证书数字签名技术等 | 资深讲师讲解+案例分析 |
第一天下午 | ISO27001/ISMS/信息安全管理体及ISO 27001标准 | 信息安全面临的风险与挑战信息安全工作的误区如何实现信息安全信息安全管理体系ISMS/ISO27001的收益IT风险与信息安全的关系信息安全技术、流程、管理ISO 27000标准族ISO 27001标准发展历史信息安全管理体系基本要素ISO 27001标准内容条款 | 资深讲师讲解+案例分析 |
第二天上午 | 信息安全风险评估 | 风险管理概述与基本概念及框架信息资产分类与分级风险识别、风险分析、风险评价、风险处置风险评估案例与实操现状调研阶段、制度审核、现场访谈、技术评估走查审核风险评估实施工具利用工具实施风险评估与管理 | 结合ISMS(ISO27001)项目实施过程进行实战讲解并辅以案例分析教学 |
第二天下午 | 信息安全风险评估流程 | 信息安全风险评估流程资产的分类资产的机密性,完整性和可用性威胁的识别脆弱性的识别风险分析风险评估文档(一)某OA系统风险评估方案(二)某业务信息系统风险评估方案信息安全风险评估流程演示系统说明 | 结合ISMS(ISO27001)项目实施过程进行实战讲解、并辅以案例分析教学 |
第三天上午 | ISO27001/ISMS信息安全管理体系实施过程及运行与审核 | 信息安全管理体系文件编写、体系建立、信息安全体系内部审核、有效测量信息安全管理体系管理评审信息安全管理体系案例ISMS体系运行与优化内部审核管理评审外部认证项目阶段总结与项目汇报 | 资深讲师讲解+案例分析 |