各有關(guān)單位：
為響應(yīng)工業(yè)和信息化部信息化高端人才培養(yǎng)的號召,我們特推出了信息安全管理體系建設(shè)及ISO27001認(rèn)證培訓(xùn)，隨著國家對信息安全的監(jiān)管及企業(yè)自身對信息安全需要的迫切性，信息安全管理人才已經(jīng)變成制約企業(yè)信息安全發(fā)展的瓶頸。希望通過專業(yè)的信息安全管理體系與業(yè)界成功建設(shè)案例來全面提高安全從業(yè)人員的水平，旨在培養(yǎng)我國專業(yè)信息安全架構(gòu)師、審計(jì)師、測評師，同時更好地服務(wù)于信息安全相關(guān)工作。現(xiàn)將相關(guān)事宜通知如下：


一、課程背景
ISO27000信息安全管理體系（ISMS）成為國際標(biāo)準(zhǔn)后，得到國內(nèi)外各行業(yè)的積極響應(yīng)，紛紛基于ISO27001標(biāo)準(zhǔn)來建設(shè)和優(yōu)化自身的信息安全管理體系，旨在提升企業(yè)競爭力并規(guī)范服務(wù)行為。APM Group(APMG)代表英國商務(wù)部（OGC）在全球進(jìn)行ISO 27001 Foundation、PRINCE2(監(jiān)控環(huán)境下的項(xiàng)目管理)、P3O（項(xiàng)目組合、項(xiàng)目群和項(xiàng)目辦公室-Portfolio,Programme and Project Offices）、MSP(管理成功的項(xiàng)目群)，M_o_R (風(fēng)險管理)和ITIL(IT基礎(chǔ)架構(gòu)庫)的資質(zhì)認(rèn)證工作。業(yè)務(wù)遍布全球，分別在英國、美國、荷蘭、丹麥、澳大利亞和中國設(shè)有分公司。
APMG中國是英國APMG公司在中國的全資機(jī)構(gòu)及唯一代表機(jī)構(gòu)。
我中心是APMG中國的授權(quán)機(jī)構(gòu)，負(fù)責(zé)機(jī)構(gòu)認(rèn)證的全面推廣。


二、課程價值
對企業(yè)的價值：優(yōu)化、提升企業(yè)信息安全管理能力與資源分配、梳理企業(yè)信息安全管理流程、保障企業(yè)信息安全發(fā)展
對個人的價值：提升信息安全管理能力，并獲得權(quán)威機(jī)構(gòu)頒發(fā)的ISO27001 Foundation認(rèn)證證書。


三、 培訓(xùn)目標(biāo)
1. 了解信息安全背景與趨勢；
2. 理解信息安全基本概念；
3. 理解安全架構(gòu)的企業(yè)部署及指導(dǎo)應(yīng)用；
4. 增強(qiáng)學(xué)員對信息安全的整體認(rèn)識和防范能力；
5. 采取案例、角色扮演等教學(xué)方式，注重信息安全管理實(shí)踐經(jīng)驗(yàn)的傳遞；
6. 以開放式風(fēng)格授課，學(xué)員可以與講師討論各種信息安全管理的困惑，共同探討信息安全管理的最佳途徑；
7. 不但可以獲取大量信息安全管理實(shí)踐經(jīng)驗(yàn)，還能夠獲得權(quán)威機(jī)構(gòu)ISO 27001 Foundation認(rèn)證證書。
8. 在實(shí)際工作中提升企業(yè)的整體信息安全水平。


四、 課程大綱


第一天上午
信息安全基礎(chǔ) 
信息安全發(fā)展現(xiàn)狀
 信息安全趨勢分析
 信息安全頂層設(shè)計(jì)
 信息安全架構(gòu)與企業(yè)架構(gòu)
 信息安全模型、原則
 信息安全域分析、部署
 基于過程的信息安全流程分析
 信息基礎(chǔ)知識
 信息的機(jī)密性
 信息的完整性
 信息的認(rèn)證
 PKI數(shù)字證書
 數(shù)字簽名技術(shù)等


第一天下午 ISO27001/ISMS/信息安全管理體及ISO 27001標(biāo)準(zhǔn) 
信息安全面臨的風(fēng)險與挑戰(zhàn)
 信息安全工作的誤區(qū)
 如何實(shí)現(xiàn)信息安全
 信息安全管理體系ISMS/ISO27001的收益
 IT風(fēng)險與信息安全的關(guān)系
 信息安全技術(shù)、流程、管理
 ISO 27000標(biāo)準(zhǔn)族
 ISO 27001標(biāo)準(zhǔn)發(fā)展歷史
 信息安全管理體系基本要素
 ISO 27001標(biāo)準(zhǔn)內(nèi)容條款


第二天上午 信息安全風(fēng)險評估 
風(fēng)險管理概述與基本概念及框架
 信息資產(chǎn)分類與分級
 風(fēng)險識別、風(fēng)險分析、風(fēng)險評價、風(fēng)險處置
 風(fēng)險評估案例與實(shí)操
 現(xiàn)狀調(diào)研階段、制度審核、現(xiàn)場訪談、技術(shù)評估走查審核
 風(fēng)險評估實(shí)施工具
 利用工具實(shí)施風(fēng)險評估與管理


第二天下午 信息安全風(fēng)險評估流程 
信息安全風(fēng)險評估流程
 資產(chǎn)的分類
 資產(chǎn)的機(jī)密性，完整性和可用性
 威脅的識別
 脆弱性的識別
 風(fēng)險分析
 風(fēng)險評估文檔
 （一）某OA系統(tǒng)風(fēng)險評估方案
 （二）某業(yè)務(wù)信息系統(tǒng)風(fēng)險評估方案
 信息安全風(fēng)險評估流程演示系統(tǒng)說明


第三天上午 ISO27001/ISMS信息安全管理體系實(shí)施過程及運(yùn)行與審核 
信息安全管理體系文件編寫、體系建立、
 信息安全體系內(nèi)部審核、有效測量
 信息安全管理體系管理評審
 信息安全管理體系案例
 ISMS體系運(yùn)行與優(yōu)化
 內(nèi)部審核
 管理評審
 外部認(rèn)證
 項(xiàng)目階段總結(jié)與項(xiàng)目匯報(bào)


第三天下午 ISO27001/ISMS/信息安全控制措施及應(yīng)試輔導(dǎo) 
信息安全方、策略與目標(biāo)
 信息安全組織架構(gòu)與職責(zé)
 信息資產(chǎn)保護(hù)與信息分級
 人力資源安全管理
 物理環(huán)境與設(shè)備安全
 通信安全
 操作安全管理
 密碼密鑰管理
 訪問控制
 符合性
 關(guān)鍵控制措施實(shí)施案例
 信息安全事故管理
 業(yè)務(wù)連續(xù)性管理
 考試重點(diǎn)提示
 考試樣題講解
 模擬考試




第四天 學(xué)習(xí)考核與業(yè)內(nèi)經(jīng)驗(yàn)交流