课程大纲

信息技术已成为企业发展重要的支撑平台；

日益严重的安全威胁和系统的脆弱性使得IT风险成为企业心头大患；

有效的风险管理将确保业务的连续，凸现IT部门的价值。

在金融风暴的影响之下，要想安然地度过这个“冬天”，各大企业必须得适时调整策略，充分利用IT技术提高管理效率，降低运营成本。在有限的投入情况下确保信息资产的安全和业务连续，是每个IT管理者必须思考的问题。因此，09年度甫崎咨询联合国内知名信息安全专家举办“风险管理与IT审计集训营”培训，旨在帮助各企事业单位建立完善的信息安全保障体系，增强组织的抗风险能力，有效进行IT审计，使之安然度过金融危机。

课程目标                                                 

      本课程所倡导的“安全管理七法”正是帮助IT管理者充分发挥信息系统的价值，通过有效的管理手段提高IT系统的运营和安全性，以降低信息风险对经营的危害，保证组织的信息安全及业务的正常运营，达到事半功倍的效果。该课程参照ISO17799&27001信息安全管理体系标准设计，并吸纳了COBIT、CISA、CISSP课程精华，但摈弃了枯燥的理论化教学，而是通过丰富的案例学习和讨论让你置身其中，学有所获。

参加对象

      政府部门信息管理官员、企业领导、高级经理、IT经理、系统管理人员、IT安全管理人员、从事企业管理和质量管理的人员、审核员、咨询师等信息安全管理工作相关人员。

课程内容

1、IT风险管理概论

什么是风险管理？

IT风险管理的要素

IT风险管理体系建设方法

安全管理标准与实践

ISMS体系建设步骤和方法

案例：某制造业企业信息安全管理经验之谈

讨论：关于风险管理的讨论

2、风险识别与评估

信息分级与保护

制定风险评估计划

资产识别

威胁与脆弱性识别

风险评估过程与方法

风险处理计划

风险评估工具

案例：为你的企业进行风险评估

练习：编写风险评估报告

3、IT治理与风险管理

IT治理框架

IT管理委员会

人力资源管理

绩效评估与管理

风险管理制度

信息和沟通

讨论：安全策略与企业文化的融合

案例：风险管理制度的编写

4、信息安全管理实务

物理与环境安全

通讯与运营安全

访问控制策略

信息系统开发与交付

外包服务管理

案例：我的访问控制策略为何失效？

5、业务连续性管理

IT连续性与业务连续的关联

业务连续性规划的要点

应急响应流程设计

BCM流程设计

案例：某企业BCM得失分析

讨论：如何平衡BCM要求与投入的关系？

6、IT内部审计

IT审计概述

建立IT内审制度

制定IT内审计划

安全审核小组运作

审核员的素质与技巧

案例：某国际保险公司安全审计体系运作

7、外部审计与ISO 27001认证

ISO27001标准简介

ISO27001认证过程

PDCA管理模型

文档审核

现场审核

不符合事项

纠正措施

符合性稽查

案例：某企业ISMS体系建设过程

案例：某企业ISO27001认证之路