信息安全管理

——畅游移动互联海洋的护卫舰——

课程背景：

21世纪以来，信息技术飞速发展，与之相对的信息安全问题也日益严峻。确保信息系统的安全不仅成为社会各界关注的焦点，更成为政府和民众对企业的要求。

隐私泄漏、电子货币遗失、网络身份冒用、机密信息外泄、电子版权盗用、商业机密诈骗……种种信息化世界带来的危害正在逐步逼近我们。

《信息安全管理课程》将带你进入信息化世界，一路浏览各类安全事件带来的警示，逐步了解信息世界的天外天、楼外楼，从学习基本信息安全操作技术开始，打造驾驭信息航船安全领航的管理实力。

课程收益：

● 识别保护对象的物理因素和人文因素

● 学习开发过程中的安全控制技术

● 学习从硬件到软件的安全原理

● 掌握信息交互的核心安全部件

● 了解紧急状况下的安全处理机制

● 通过对信息系统的了解，找到关键保护对象

● 建立公司层面信息安全管理架构

课程时间：2天，6小时/天

课程对象：项目经理、企业高管、技术负责人、其他项目团队成员

人数要求：40人

课程方式：讲授、小组讨论、模拟游戏、案例分享、焦点研讨、现场演练、头脑风暴、市场对标、教练技术、引导技术等，具体实施形式可能根据学员的学习风格来做相应的调整。

课程大纲

导言：

案例分享：21世纪初的好案例与坏案例

互动引导：坏在哪里？VS好在哪里？

第一讲：信息资产保护

一、信息安全管理关键要素

1. 角色与职责

1）信息安全委员会

2）信息安全负责人

3）业务负责人

4）用户

5）审计师

小组模拟：究竟谁管谁？

2. 信息资产分类

1）系统硬件

2）软件

3）数据

4）管理机制

教练辅导：找出最重要的部分

3. 系统访问

1）访问与暴露

2）IT环境

3）身份识别

4）授权

故事分享：技术安全负责人

4. 外部团体

1）客户

2）供应商

3）监管机构

二、网络基础设施

1. 局域网

2. 互联网

3. 无线安全

案例分享：骇客帝国

三、信息安全事件的两大来源

1. 外部环境

1）电

2）水

3）火

4）人

5）其他

情境模拟：灾备演习

2. 客观因素

1）违反规定

2）犯罪

3）预防

第二讲：系统运营维护

一、系统硬件运行

1. 系统架构

2. 维护程序

3. 监控

4. 容量管理

二、软件机构

1. 操作系统

2. 访问软件

3. 通讯系统

4. 数据系统

5. 实用软件

三、网络运营

1. 网络架构

2. 网络类型

3. 网络服务

4. 网络协议

四、灾难恢复

1. RPO/RTO

2. 恢复策略

3. 职责分配

案例分享：汶川/玉树地震

第三讲：系统开发

一、项目管理

1. 一般项目过程

2. 项目目标

3. 项目团队与个人

4. 项目沟通与文化

二、系统开发的四大方法

1. 敏捷法

2. 瀑布法

3. 螺旋法

4. 原型法

三、过程改造

1. 流程再造

2. 能力成熟度

四、系统测试

1. 用户操作测试

2. 数据正确性测试

3. 数据完整性测试

4. 测试程序审计

案例讨论：王者荣耀

第四将：管理与治理

一、治理委员会

1. 何为治理

2. 委员会机制

1）成员构成

2）决策机制

3）委员会责任人

情境分析：国内大型IT公司比较

二、平衡记分卡

1. 原理

2. 三个层次

1）使命

2）战略

3）措施

案例分享：微软

3. 四个方面

1）商业

2）用户

3）运营

4）展望

三、信息安全战略

1. CIA——情报局

1）机密性

2）完整性

3）可用性

2. 策划目标

1）绩效衡量

2）资源管理

3）流程整合

小组讨论：最佳信息安全战略

第五讲：成为高手的功课——课程总结

1. 重点回顾

2. 课后任务

3. 结束语