信息安全和IT服务管理培训简介.doc

信息安全和信息安全和 ITIT 服务管理培训资料服务管理培训资料 2011 年年 10 月月 深圳市易聆科信息技术有限公司 版权声明版权声明 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属易聆科信息 技术有限公司所有，受到有关产权及版权法保护。任何单位和个人未经易聆科信息技术有限公司的书面授权许可，不 得复制或引用本文件的任何片断，无论通过电子形式或非电子形式。 CopyrightCopyright 20112011 深圳市易聆科信息技术有限公司深圳市易聆科信息技术有限公司 版权所有版权所有 目目 录录 一、一、信息安全信息安全/IT 服务初级培训服务初级培训.1 1、信息安全意识防护与技能提升.1 1.1 课程简介.1 1.2 培训收益.1 1.3 课程大纲.2 2、IT 服务意识防护与技能提升 .2 2.1 课程描述.2 2.2 培训收益.2 2.3 课程大纲.2 3、软件开发安全意识培训.3 3.1 课程描述.3 3.2 培训收益.3 4、ITIL V3 FOUNDATION.4 4.1 课程简介.4 4.2 培训收益.4 4.3 课程大纲.4 5、CISP.5 5.1 课程介绍.5 5.2 培训收益.5 5.3 课程大纲.6 6、ISO27001IA.6 6.1 课程介绍.6 6.2 培训收益.6 6.3 课程大纲.7 二、信息安全二、信息安全/IT 服务中级培训服务中级培训 .7 1、信息安全管理培训.7 1.1 课程介绍.7 1.2 培训收益.7 1.3 课程大纲.8 2、信息安全管理方法论.8 2.1 课程介绍.8 2.2 培训收益.8 2.3 课程大纲.9 3、信息安全风险评估实战演练.9 3.1 课程介绍.9 3.2 培训收益.9 3.3 课程大纲.10 4、BCP.10 4.1 课程介绍.10 4.2 培训收益.10 4.3 课程大纲.11 5、ISO27001LA .11 5.1 课程介绍.11 5.2 培训收益.11 5.3 课程大纲.11 6、ISO20000 主任审核员.12 6.1 课程介绍.12 6.2 培训收益.12 6.3 课程大纲.12 7、ITIL V3 中级模块生命周期模块 .13 7.1 课程介绍.13 7.2 培训收益.13 7.3 课程大纲.14 8、ITIL V3 中级模块能力模块 .14 8.1 课程介绍.14 8.2 培训收益.15 8.3 课程大纲.15 9、ITSM FOUNDATION.16 9.1 课程介绍.16 9.2 培训收益.16 9.3 课程大纲.17 三三、信息安全、信息安全/IT 服务高级培训服务高级培训.17 1、信息安全理念培训.17 1.1 课程简介.17 1.2 培训收益.17 1.3 课程大纲.18 2、CISSP.18 2.1 课程介绍.18 2.2 培训收益.18 2.3 课程大纲.19 3、CISA.19 3.1 课程介绍.19 3.2 培训收益.19 3.3 课程大纲.20 4、COBIT.20 4.1 课程介绍.20 4.2 培训收益.20 4.3 课程大纲.21 四、培训交付物四、培训交付物.21 五、附录五、附录.22 1、公司概要.22 2、我们的优势.25 3、选择我们.26 培训概况：培训概况： 易聆科信息技术有限公司服务团队是一支由众多信息安全领域精英及专家组成的团队。我们提供 信息安全咨询、培训、综合解决方案及相关产品的服务。 信息安全培训中心提供 ISO27001/ISO20000 体系建设、实施及信息安全意识防护/IT 服务意识防 护及技能提升、信息安全理念、信息安全管理/IT 服务管理实战演练、信息安全审计实操演练、风险 管控实战演练、网络安全攻防实战演练、ISO27001 IA/LA、ISO20000LA/IA、BS25999 业务连续性管理、 CISSP、CISA、CISP、ITIL Foundation、COBIT、PMP 等公开课程和单位内训服务。 由易聆科服务过（内训由易聆科服务过（内训/ /公开课）的部分典型客户：公开课）的部分典型客户： 企业：企业：创维、艾默生、比亚迪、万科、信华精机、中国移动、粤港供水、广州本田、广东北电、盐田 码头、宇龙计算机、中集集团、科通、中国安防、迈瑞、TCL、网神、中海油、兄弟高科等等 金融：金融：深交所、招商银行、平安保险、友邦保险、平安银行、深发展、南方保险、联合证券、金元证 券、长城证券、景顺长城、融通基金、国投瑞银、博时基金、招商基金、 学校：学校：番禺职业技术学院、广东省农工商学院、厦门大学 政府：政府：深圳市测评中心、深圳市质监局、深圳市药监局、深圳市检察院、深圳市法院、龙岗信息中心、 深圳市建筑工务署、深圳出入境检验检疫局、市委党校 军队：军队：总参部 易聆科培训简介：易聆科培训简介： 一、一、信息安全信息安全/IT 服务初级培训服务初级培训 1、信息安全意识防护与技能提升、信息安全意识防护与技能提升 1.1 课程简介课程简介 “人是信息安全中最薄弱的环节” ，提高员工的信息安全意识防护，使员工能够识别信息安全问题， 对信息安全工作认同和参与，是信息安全工作中最重要的任务之一。本课程以生动详实的案例，权威 的统计信息展现信息安全的普遍性和重要性，触发普通员工的信息安全危急意识，提高员工遵守安全 制度，主动参与信息安全工作的能动性。 课程内容聚焦员工日常工作中相关的信息安全细节，导入信息安全良好行为的建议，使员工能够 正确认识和处理身边的安全问题。本课程以问答、讨论等形式授课，充分互动，使员工记忆深刻，达 到提高员工信息安全意识，从而整体提升企业信息安全水平的效果。 1.2 培训收益培训收益 了解信息安全的基本知识 了解工作中的信息安全问题 了解和计算机相关的信息安全问题 了解对外交往中的信息安全问题 了解生活中的信息安全问题 了解信息安全的责任 提高信息安全意识 1.3 课程大纲课程大纲 信息安全基本知识 信息安全意识的重要性 办公安全 信息系统相关的安全 涉外安全 自我保护 安全责任 2、IT 服务意识防护与技能提升服务意识防护与技能提升 2.1 课程描述课程描述 通过案例阐述 IT 服务的困境，从而引入 ITIL 的概念及 ITIL 的起源、目的和历史，进而引入 ITIL V3 概貌。通过详实的案例介绍 ITIL V3 服务生命周期管理、服务战略、服务设计、服务转换、服务运 营及持续服务改进等。通过乱世英雄 、 祸根 、 火焰山 、 智慧之光 、 空中楼阁 、 区别对待 、 背叛之痛 、 躲猫猫 、 脱节 、 恐怖 、 灾难等案例剖析，全面讲解 IT 服务的核心概念和基本 原理，提高 IT 防护意识与技能。 2.2 培训收益培训收益 了解 ITIL3.0 最新趋势和最新概念 准确理解 IT 服务、服务管理、IT 服务管理和 ITIL 等核心概念 清晰描述 ITIL 框架各模块及其之间的相互关系 全面掌握 ITIL 的十个核心流程和服务台职能及其之间的相互关系 分享最佳 ITIL 实施案例，了解 IT 服务管理实施方法 2.3 课程大纲课程大纲 ITIL 导入 服务台 突发事件管理 问题管理 变更管理 发布管理 服务级别管理 可用性管理 配置管理 能力管理 信息安全管理 IT 服务连续性管理 3、软件开发安全意识培训、软件开发安全意识培训 3.1 课程描述课程描述 随着网络层、系统层安全性的加强，应用层的安全弱点变得越来越突出，已经成为黑客、病毒攻 击的头号目标和重灾区。因此，如何保证软件的安全成为组织面临的重大问题之一。 “解铃还须系铃人” ，提高软件安全的关键点是让参与软件开发的所有相关人员认识到其中的问题及其严重性。 软件开发安全意识培训从实际案例入手，徐徐掀开软件安全弱点的面纱，层层剖析，深入分析弱 点的严重性及其形成原因,探讨正确的开发习惯与行为，分享开发安全软件的经验。 3.2 培训收益培训收益 了解软件安全攻击方式 掌握软件安全弱点种类及特点 认识到软件安全弱点的严重性 掌握软件开发安全注意事项 了解软件开发安全责任 3.3 课程大纲课程大纲 软件安全攻击手段 输入验证缺失 滥用接口与开源代码 时间与状态失控 错误处理不当 业务逻辑错误 输出控制不当 配置与环境问题 架构设计缺陷 开发过程缺陷 法律法规与责任 4、ITIL V3 FOUNDATION 4.1 课程简介课程简介 ITIL V3 Foundation 是您全面了解最新 ITIL 的必经之路。本课程内容均基于国际 IT 管理最佳实践 标准库 ITIL 的实践理念和流程规范，告诉您“应该做些什么！” ITIL V3 Foundation课程通过结合 ITIL2.0 和 ITIL3.0，全面讲解 IT 服务的核心概念和基本原 理，ITIL 的核心流程以及这些流程之间的关系，通过丰富的案例剖析，使学员对 ITIL 有最新的、全面 的掌握和了解，具备 ITIL V3 Foundation 认证考试的能力，为在组织内部实施 IT 服务管理打下良好的 基础。 4.2 培训收益培训收益 了解 ITIL3.0 最新趋势和最新概念 准确理解 IT 服务、服务管理、IT 服务管理和 ITIL 等核心概念 清晰描述 ITIL 框架各模块及其之间的相互关系 全面掌握 ITIL 的十个核心流程和服务台职能及其之间的相互关系 分享最佳 ITIL 实施案例，了解 IT 服务管理实施方法 4.3 课程大纲课程大纲 ITILV3 介绍 服务管理概述 服务战略 服务设计 服务转换 服务运营 持续服务改进 模拟测试 正式考试：考试合格者，颁发由正式考试：考试合格者，颁发由 Exin 权威发放的权威发放的 ITIL V3 Foundation 证书及徽章（考试费用证书及徽章（考试费用 1500 元元/人，需提前人，需提前 10 个工作日将身份证号码及报名表提交到培训中心，以便订试卷）个工作日将身份证号码及报名表提交到培训中心，以便订试卷） 5、CISP 5.1 课程介绍课程介绍 注册信息安全专业人员（简称 CISP）是经测评认证中心实施的国家认证，代表国家对信息安全人 员资质的最高认可，也是信息安全企业申请安全服务资质必备的条件。CISP 既“注册信息安全专业人 员” ，英文为 Certified Information Security Professional (简称 CISP)，根据实际岗位工作需要， CISP 分为三类,分别是“注册信息安全工程师”,英文为 Certified Information Security Engineer（简称 CISE）; “注册信息安全管理人员” ， 英文为 Certified Information Security Officer(简称 CISO)， “注册信息安全审核员” 英文为 Certified Information Security Auditor(简 称 CISA)。其中 CISE 主要从事信息安全技术开发服务工程建设等工作，CISO 从事信息安全管理等相关 工作，CISA 从事信息系统的安全性审核或评估等工作。 5.2 培训收益培训收益 掌握 CISP 的知识体系结构和知识要点 满足行业信息安全规划、建设、维护能力要求，解决企业遇到的各类信息安全问题 提升个人在安全技术、管理等方面的专业性和服务能力，从而为内外部客户提供更加专业和有 效的安全服务 作为国家最高级别的信息安全专业资格认证将帮助安全从业人员在信息安全领域登上职业生涯 的顶峰 5.3 课程大纲课程大纲 信息安全保障体系、信息安全模型 密码技术概述、应用-VPN/SSL、密码技术应用-PKI/CA 网络与通信安全基础、网络安全应用、UNIX 操作系统安全、Windows 操作系统安全、 Web 与数据库安全管理、恶意代码防护、安全编程、安全攻防 信息安全管理体系、风险管理、安全工程、应急响应、灾难备份与恢复、物理安全 信息安全标准、信息安全法律法规 6、ISO27001IA 6.1 课程介绍课程介绍 如何检验信息安全管理是否有效？如何发现其中潜藏的问题？如何评价信息安全管理的绩效？ 这些难题将通过本课程得到启发。 信息安全内审培训从信息安全管理体系审核入手，讲解信息安全内审的基本原理、审核原则、 审核人员的职责和要求、审核方法、审核过程、证据的收集和分析、审核报告的制定，以及持续 审核的重要性和要求。本课程从实践出发，以问答、讨论、沙盘演练等形式授课，充分互动，深 入浅出地教授学员如何做信息安全体系的内审。 6.2 培训收益培训收益 理解 CAPD 在信息安全管理体系中的应用 理解内部审核对信息安全管理体系持续改进的作用 理解信息安全管理体系内部审核的原则 理解内部审核人员的职责和要求 掌握组织内部审核的能力 掌握收集和分析证据的能力 掌握评估和报告内部审核结果的能力 理解跟踪审核的重要性 6.3 课程大纲课程大纲 信息安全管理体系 PDCA 和 CAPD 模型 审核的基本概念 内审的要求和职责 内审的计划和执行 内审的报告和跟进 二、信息安全二、信息安全/IT 服务中级培训服务中级培训 1、信息安全管理培训、信息安全管理培训 1.1 课程介绍课程介绍 “信息安全、人人有责” ，最关键的是组织中领导们的积极参与和配合。如何让这些领导理解、重 视信息安全，并且主动有效地驱动信息安全工作，是一项困扰组织信息安全建设的难题。信息安全管 理培训就是破解这道难题的方法之一。 信息安全体系管理培训从组织日常的信息安全问题入手，剖析其中的根源和应对之策；介绍信息 安全管理的基础知识和信息安全管理体系的基本组成，内容涵盖组织中信息安全建设和管理的所有方 面；使参与者对信息安全有全面的理解和把握。本课程案例充实，结合互动讨论，将理论与实践充分 结合，达到学以致用的目标。 1.2 培训收益培训收益 掌握信息安全的基本概念 领悟信息安全的重要性 体会信息安全的独特性 把握开展信息安全工作的诀窍 掌握信息安全建设的核心要素以及管理与技术的关系 了解风险评估和管理的过程和方法 了解 ISO2700X 家族的组成和作用，以及 ISO17799 的 11 个安全领域 1.3 课程大纲课程大纲 信息安全管理概述 信息安全管理体系 风险评估和风险管理 ISO2700X 介绍 2、信息安全管理方法论、信息安全管理方法论 2.1 课程介绍课程介绍 什么样的人才能担负起组织在信息安全建设的总体推动和规划重任是管理层最为关注的问题。信 息安全在国内刚刚起步，即了解信息安全管理、了解信息安全技术，又有实操经验的人才最为难得， 本课程是专门为组织培养信息安全领军人物的“黄埔军校” 。 信息安全管理方法论为各行业培养信息安全实战高级人才的高端课程。此课程以信息安全管理过 程为主线，以管理和技术融合为核心，全面详细讲授组织中信息安全管理所需的知识和技能。包括信 息安全管理体系研习、信息安全技术体系剖析、信息安全风险评估实战演练、信息安全管理体系建设、 信息安全落实与完善等内容，重在信息安全理念的培养和实战能力的提升。本课程为全封闭、高强度 训练课程，以研讨、问答、沙盘演练等形式授课，充分互动，让学员充分系统地掌握信息安全管理的 核心。 2.2 培训收益培训收益 掌握信息安全管理概念 领悟信息安全管理的重要性 把握开展信息安全工作的诀窍 掌握信息安全建设的核心要素以及管理与技术的关系 了解风险评估和管理的过程和方法 理解 ISO2700X 家族的组成和作用，以及 ISO27002 的 11 个安全领域精髓 2.3 课程大纲课程大纲 信息安全管理概述 信息安全管理体系规划 信息安全管理体系落实 信息安全管理体系认证 ISO27001 标准介绍 ISO27002 标准介绍 信息安全风险评估和风险管理 考试（考试合格，颁发国家认可之 ISO27001IA 注册证书） 3、信息安全风险评估实战演练、信息安全风险评估实战演练 3.1 课程介绍课程介绍 对于信息安全管理来说，最头痛的是不知道从何处下手。信息安全风险评估就是解决这个问题的 好方法。通过信息安全风险评估，可以找到目前存在的安全问题或缺陷，指明信息安全管理的方向和 落脚点。 此课程分为信息安全风险评估理论讲解和实战演练两大阶段，使学员对组织中风险管理和信息安 全风险评估的理论有准确的掌握，能从信息的机密性、完整性和保密性三要素着手，甄别信息资产的 重要性，发现组织中的信息安全方面的短板。另一方面通过沙盘演练的方式进行身入其境的实践，让 学员深刻掌握“OCTAVE + DELPHI + ISO2700 2”的风险评估方法。 3.2 培训收益培训收益 理解风险评估和风险管理的意义 理解风险评估和风险管理的概念 掌握风险计算方法 了解风险评估的标准 掌握风险管理的原理和过程 掌