1.1 信息安全意识工程

1.1.1 GooAnn的认识

n   世界头号黑客Kevin Mitnick 曾说过人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备,可只要有人给毫无戒心的员工打个电话……”技术无法保护每一个人远离每一种可能存在的安全风险,信息安全管理人员要教会员工安全思考的方式。投资员工,让他们建立起保持数据正确的责任感,是企业面对安全威胁的最佳方式。

n   实际上一个企业的整体安全水平不仅要看专职的安全管理与技术人员的能力,还要看全体员工的安全意识是否到位,这与持续的安全意识教育与培训是密不可分的。

n   提高和维持所有员工的信息安全意识和技能,对员工理解信息安全对企业的意义,开展信息安全工作,在企业内逐步建立和融入信息安全的文化,提高整体安全水平是非常重要的。当然,这可能是一个漫长而艰难的过程。

1.1.2 GooAnn的观点

n   GooAnn根据丰富的为企业提供信息安全咨询服务的经验,总结出对于信息安全教育不同方式的特点和效果,可以为公司开展信息安全教育提供参考建议。

n   对于全员的信息安全教育,必须结合企业的文化和具体情况和要求,辅以生动、形象、简洁的方式进行,传统的教科书的方式是不能达到设想的培训目标的。

n   企业开展信息安全教育培训,是否能够达到预期设想的目的,是否能够看到实际的效果,必须通过有效的方式来进行衡量。一方面可以通过课程测试的方式看员工是否掌握了需要了解的基本知识,另一方面企业可以通过一段时间(如半年)持续的安全事件(如违规行为、病毒爆发等)发生率来进行跟踪。

1.1.3 全员信息安全意识课程内容

                   

时 间

主 题

内 容

培 训 目 标

930

--

1015

培训开始

讲师与学员自我介绍

课程目标介绍

课程内容介绍

使学员了解培训的目标和内容

一、引言

 

1、从“忘了关门”说起

通过一个小故事引出信息安全管理的重要性

2、什么是信息安全

什么是信息

通过一些通俗易懂的解释使管理层了解信息安全的内含

信息安全的CIA

信息安全目标

信息安全环节

信息安全实质

3、信息安全形势

安全事件

通过一些具体数据和例子,使管理层了解目前国际国内在不同领域的信息安全相关形势,以及信息安全对于企业的重要意义。

安全漏洞

恶意代码

垃圾邮件

WEB安全

移动威胁

网络犯罪

数据泄露

攻击源

外部监管

1015

--

1130

(包括茶歇15分钟)

二、认识的误区

1、从“四个不要”开始

通过形象的比喻与事例,纠正以往对于信息安全的认识误区,使管理层对于信息安全有一个全新的认识和态度,来有效的指导企业信息安全工作。

2、“三个和尚”的思考

3、“无知者无畏”

4、下一个“倒霉蛋”不是我

5、讨厌的“蜘蛛网”

6、旋转的“木马”

7、技术是“万能的”

8、抵御“黑客”

9、最佳的“ROI

10、业务的“绊脚石”

1330

--

1500

三、值得注意的问题

1、建立策略

通过实际的例子与案例介绍,并结合ISO27001的内容,从管理层的角度出发,来看信息安全日常工作中都有哪些要格外注意的问题,并了解业界的一些最佳实践。

2、风险管理

3、信息资产

4、人力资源安全

5、物理安全

6、第三方管理

7、信息泄露

8、访问控制

9、系统开发

10、安全事件

11、灾难恢复

12、法律法规

1520

--

1630

四、如何实现企业信息安全

1、管理层14

通过14个问题,结合自身企业情况,引发管理对于企业信息安全的思考

2、什么是安全体系

安全策略体系

通过与现实社会的对照分析,使管理层了解企业开展信息安全工作都包含哪些内容

安全组织体系

安全运作体系

安全技术体系

3、如何建设安全体系

安全现状调研

通过对于安全体系实施方法的介绍,使管理层基本了解在一个企业建立全面信息安全体系的步骤和相关工作

安全风险评估

体系框架设计

制定实施规划

安全体系建立

安全体系运行

课程特点

n   与时俱进——我们了解最新的信息安全形式,我们了解企业和个人常发生或容易忽略的安全问题,我们能提供覆盖更为广泛的内容;

n   形象生动——突破传统教科书似的教学方式,穿插响应的图片、动画、视频来吸引管理层的注意力,加深其对信息安全的理解,并给其留下深刻的印象;

n   注重效果——对于相关主题我们会结合实际案例来引发管理层的兴趣与思考,再联系最佳实践或企业相关要求,从本质上提高管理层的信息安全意识水平。

培训对象

该课程的主要培训对象为:

n   企业高级管理层

n   企业信息系统高管

n   企业信息安全主管

n   信息安全项目经理

n   其他信息安全管理相关工作的人员

培训与形式

本次培训采用企业内训形式。

n   由客户提供场地、投影仪、麦克风、白板及其它必要的设施。

课堂要求

n   学员无需携带电脑,手机需置于关机或震动状态;

n   禁止课堂录音、摄像,如有违反讲师可停止授课,相关后果和责任由客户承担。

 管理层信息安全意识培训讲师:

  陈伟、李华、刘敬国、陈岌、郝永清等

更多信息安全意识产品可点击:

   

 

E-mail:training@gooann.com

Fax:010-51626887-816

分享到:

                                        京ICP备13013886号-9                 

Copyright:2012-2018 谷安天下 All Rights Reserved: ITIL® is a registered trade mark of AXELOS Limited, used under permission of AXELOS Limited. All rights reserved。 PRINCE2® is a registered trade mark of AXELOS Limited, used under permission of AXELOS Limited. All rights reserved。COBIT® is a registered trademark of Information System Audit and Control Association® (ISACA®)