信息安全和IT服务管理培训资料

信息安全和IT服务经管培训资料2011年10月深圳市易聆科信息技术有限公司版权声明本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属易聆科信息技术有限公司所有，受到有关产权及版权法保护。任何单位和个人未经易聆科信息技术有限公司的书面授权许可，不得复制或引用本文件的任何片断，无论通过电子形式或非电子形式。Copyright?20 11深圳市易聆科信息技术有限公司 版权所有目录一、信息安全 /IT服务初级培训 11、信息安全意识防护与技能提升 11.1课程简介11.2培训收益11.3课程大纲12、IT服务意识防护与技能提升 22.1课程描述22.2培训收益22.3课程大纲23、软件开发安全意识培训 33.1课程描述33.2培训收益34、ITILV3FOUNDATION44.1课程简介44.2培训收益44.3课程大纲45、CISP55.1课程介绍55.2培训收益55.3课程大纲56、ISO27001IA66.1课程介绍66.2培训收益66.3课程大纲6二、信息安全 /IT服务中级培训 71、信息安全经管培训 71.1课程介绍71.2培训收益71.3课程大纲72、信息安全经管方法论 82.1课程介绍82.2培训收益82.3课程大纲83、信息安全风险评估实战演练 93.1课程介绍93.2培训收益93.3课程大纲94、BCP104.1课程介绍104.2培训收益104.3课程大纲105、ISO27001LA105.1课程介绍105.2培训收益115.3课程大纲116、ISO20000主任审核员 116.1课程介绍116.2培训收益126.3课程大纲127、ITILV3中级模块——生命周期模块 127.1课程介绍127.2培训收益127.3课程大纲148、ITILV3中级模块——能力模块 148.1课程介绍148.2培训收益148.3课程大纲149、ITSMFOUNDATION159.1课程介绍159.2培训收益169.3课程大纲16三、信息安全 /IT服务高级培训 161、信息安全理念培训 161.1课程简介161.2培训收益161.3课程大纲172、CISSP172.1课程介绍172.2培训收益182.3课程大纲183、CISA183.1课程介绍183.2培训收益193.3课程大纲194、COBIT194.1课程介绍194.2培训收益204.3课程大纲20四、培训交付物 20五、附录 211、公司概要 212、我们的优势 243、选择我们 25培训简况：易聆科信息技术有限公司服务团队是一支由众多信息安全领域精英及专家组成的团队。 我们提供信息安全咨询、培训、综合解决技术方案及相关产品的服务。信息安全培训中心提供 ISO27001/ISO20000体系建设、实施及信息安全意识防护 /IT 服务意识防护及技能提升、信息安全理念、信息安全经管 /IT 服务经管实战演练、信息安全审计实操演练、风险管控实战演练、网络安全攻防实战演练、 ISO27001IA/LA、ISO20000LA/IA、BS25999业务连续性经管、CISSP、CISA、CISP、ITILFoundation 、COBIT、PMP等公开课程和单位内训服务。由易聆科服务过（内训 /公开课）的部分典型客户：企业：创维、艾默生、比亚迪、万科、信华精机、中国移动、粤港供水、广州本田、广东北电、盐田码头、宇龙计算机、中集集团、科通、中国安防、迈瑞、 TCL、网神、中海油、兄弟高科等等金融：深交所、招商银行、平安保险、友邦保险、平安银行、深发展、南方保险、联合证券、金元证券、长城证券、景顺长城、融通基金、国投瑞银、博时基金、招商基金、学校：番禺职业技术学院、广东省农工商学院、厦门大学政府：深圳市测评中心、深圳市质监局、深圳市药监局、深圳市检察院、深圳市法院、龙岗信息中心、深圳市建筑工务署、深圳出入境检验检疫局、市委党校军队：总参部易聆科培训简介：一、信息安全/IT服务初级培训1、信息安全意识防护与技能提升1.1课程简介“人是信息安全中最薄弱的环节” ，提高员工的信息安全意识防护， 使员工能够识别信息安全问题，对信息安全工作认同和参与， 是信息安全工作中最重要的任务之一。 本课程以生动详实的案例， 权威的统计信息展现信息安全的普遍性和重要性， 触发普通员工的信息安全危急意识， 提高员工遵守安全制度，主动参与信息安全工作的能动性。课程内容聚焦员工日常工作中相关的信息安全细节， 导入信息安全良好行为的建议， 使员工能够正确认识和处理身边的安全问题。本课程以问答、讨论等形式授课，充分互动，使员工记忆深刻，达到提高员工信息安全意识，从而整体提升企业信息安全水平的效果。1.2培训收益了解信息安全的基本知识了解工作中的信息安全问题了解和计算机相关的信息安全问题了解对外交往中的信息安全问题了解生活中的信息安全问题了解信息安全的责任提高信息安全意识1.3课程大纲信息安全基本知识信息安全意识的重要性办公安全信息系统相关的安全涉外安全自我保护安全责任2、IT服务意识防护与技能提升2.1课程描述通过案例阐述 IT服务的困境，从而引入 ITIL的概念及 ITIL的起源、目的和历史，进而引入ITILV3概貌。通过详实的案例介绍 ITILV3服务生命周期经管、服务战略、服务设计、服务转换、服务运营及持续服务改进等。通过《乱世英雄》 、《祸根》、《火焰山》、《智慧之光》、《空中楼阁》、《区别对待》、《背叛之痛》、《躲猫猫》、《脱节》、《恐怖》、《灾难》等案例剖析，全面讲解 IT服务的核心概念和基本原理，提高IT防护意识与技能。2.2培训收益了解ITIL3.0 最新趋势和最新概念准确理解 IT服务、服务经管、 IT服务经管和 ITIL等核心概念清晰描述 ITIL 框架各模块及其之间的相互关系全面掌握 ITIL 的十个核心流程和服务台职能及其之间的相互关系分享最佳 ITIL 实施案例，了解 IT服务经管实施方法2.3课程大纲ITIL导入服务台突发事件经管问题经管变更经管发布经管服务级别经管可用性经管配置经管能力经管信息安全经管IT服务连续性经管3、软件开发安全意识培训3.1课程描述随着网络层、系统层安全性的加强，应用层的安全弱点变得越来越突出，已经成为黑客、病毒攻击的头号目标和重灾区。因此，如何保证软件的安全成为组织面临的重大问题之一。 “解铃还须系铃人”，提高软件安全的关键点是让参与软件开发的所有相关人员认识到其中的问题及其严重性。软件开发安全意识培训从实际案例入手， 徐徐掀开软件安全弱点的面纱， 层层剖析，深入分析弱点的严重性及其形成原因 ,探讨正确的开发习惯与行为，分享开发安全软件的经验。3.2培训收益了解软件安全攻击方式掌握软件安全弱点种类及特点认识到软件安全弱点的严重性掌握软件开发安全注意事项了解软件开发安全责任3.3课程大纲软件安全攻击手段输入验证缺失滥用接口与开源代码时间与状态失控错误处理不当业务逻辑错误输出控制不当配置与环境问题架构设计缺陷开发过程缺陷法律法规与责任4、ITILV3FOUNDATION4.1课程简介ITILV3 Foundation

是您全面了解最新

ITIL

的必经之路。本课程内容均基于国际

IT

经管最佳实践规范库

ITIL 的实践理念和流程规范，告诉您“应该做些什么！

”ITILV3Foundation》课程通过结合ITIL2.0和ITIL3.0，全面讲解IT服务的核心概念和基本原理，ITIL

的核心流程以及这些流程之间的关系，通过丰富的案例剖析，使学员对

ITIL

有最新的、全面的掌握和了解，具备

ITILV3Foundation

认证考试的能力，为在组织内部实施

IT

服务经管打下良好的基础。4.2培训收益了解ITIL3.0 最新趋势和最新概念准确理解 IT服务、服务经管、 IT服务经管和 ITIL等核心概念清晰描述 ITIL 框架各模块及其之间的相互关系全面掌握 ITIL 的十个核心流程和服务台职能及其之间的相互关系分享最佳 ITIL 实施案例，了解 IT服务经管实施方法4.3课程大纲ITILV3介绍服务经管概述服务战略服务设计服务转换服务运营持续服务改进模拟测试? 正式考试：考试合格者，颁发由 Exin权威发放的 ITILV3Foundation 证书及徽章（考试费用1500元/人，需提前 10个工作日将身份证号码及报名表提交到培训中心，以便订试卷）5、CISP5.1课程介绍注册信息安全专业人员（简称 CISP）是经测评认证中心实施的国家认证，代表国家对信息安全人员资质的最高认可，也是信息安全企业申请安全服务资质必备的条件。

CISP

既“注册信息安全专业人员”，英文为

CertifiedInformationSecurityProfessional(

简称CISP)，根据实际岗位工作需要，CISP

分为三类

,分别是“注册信息安全工程师”

,英文为

CertifiedInformationSecurityEngineer（简称

CISE）。“注册信息安全经管人员” ，英文为

CertifiedInformationSecurityOfficer(

简称CISO)，“注册信息安全审核员”

英文为

CertifiedInformationSecurityAuditor(

简称

CISA)。其中

CISE主要从事信息安全技术开发服务工程建设等工作，

CISO从事信息安全经管等相关工作，

CISA从事信息系统的安全性审核或评估等工作。5.2培训收益掌握CISP的知识体系结构和知识要点满足行业信息安全规划、建设、维护能力要求，解决企业遇到的各类信息安全问题提升个人在安全技术、经管等方面的专业性和服务能力，从而为内外部客户提供更加专业和有效的安全服务作为国家最高级别的信息安全专业资格认证将帮助安全从业人员在信息安全领域登上职业生涯的顶峰5.3课程大纲信息安全保障体系、信息安全模型密码技术概述、应用-VPN/SSL、密码技术应用-PKI/CA网络与通信安全基础、网络安全应用、UNIX操作系统安全、Windows操作系统安全、Web与数据库安全经管、恶意代码防护、安全编程、安全攻防信息安全经管体系、风险经管、安全工程、应急响应、灾难备份与恢复、物理安全信息安全规范、信息安全法律法规6、ISO27001IA6.1课程介绍如何检验信息安全经管是否有效？如何发现其中潜藏的问题？如何评价信息安全经管的绩效？这些难题将通过本课程得到启发。信息安全内审培训从信息安全经管体系审核入手，讲解信息安全内审的基本原理、审核原则、审核人员的职责和要求、审核方法、审核过程、证据的收集和分析、审核报告的制定，以及持续审核的重要性和要求。本课程从实践出发，以问答、讨论、沙盘演练等形式授课，充分互动，深入浅出地教授学员如何做信息安全体系的内审。6.2培训收益理解CAPD在信息安全经管体系中的应用理解内部审核对信息安全经管体系持续改进的作用理解信息安全经管体系内部审核的原则理解内部审核人员的职责和要求掌握组织内部审核的能力掌握收集和分析证据的能力掌握评估和报告内部审核结果的能力理解跟踪审核的重要性6.3课程大纲信息安全经管体系PDCA和CAPD模型审核的基本概念内审的要求和职责内审的计划和执行内审的报告和跟进二、信息安全/IT服务中级培训1、信息安全经管培训1.1课程介绍“信息安全、人人有责” ，最关键的是组织中领导们的积极参与和配合。如何让这些领导理解、重视信息安全，并且主动有效地驱动信息安全工作， 是一项困扰组织信息安全建设的难题。 信息安全经管培训就是破解这道难题的方法之一。信息安全体系经管培训从组织日常的信息安全问题入手， 剖析其中的根源和应对之策； 介绍信息安全经管的基础知识和信息安全经管体系的基本组成，内容涵盖组织中信息安全建设和经管的所有方面；使参与者对信息安全有全面的理解和把握。本课程案例充实，结合互动讨论，将理论与实践充分结合，达到学以致用的目标。1.2培训收益掌握信息安全的基本概念领悟信息安全的重要性体会信息安全的独特性把握开展信息安全工作的诀窍掌握信息安全建设的核心要素以及经管与技术的关系了解风险评估和经管的过程和方法了解ISO2700X家族的组成和作用，以及 ISO17799的11个安全领域1.3课程大纲信息安全经管概述信息安全经管体系风险评估和风险经管ISO2700X介绍2、信息安全经管方法论2.1课程介绍什么样的人才能担负起组织在信息安全建设的总体推动和规划重任是经管层最为关注的问题。 信息安全在国内刚刚起步，即了解信息安全经管、了解信息安全技术，又有实操经验的人才最为难得，本课程是专门为组织培养信息安全领军人物的“黄埔军校” 。信息安全经管方法论为各行业培养信息安全实战高级人才的高端课程。 此课程以信息安全经管过程为主线，以经管和技术融合为核心， 全面详细讲授组织中信息安全经管所需的知识和技能。 包括信息安全经管体系研习、信息安全技术体系剖析、信息安全风险评估实战演练、信息安全经管体系建设、信息安全落实与完善等内容， 重在信息安全理念的培养和实战能力的提升。 本课程为全封闭、 高强度训练课程，以研讨、问答、沙盘演练等形式授课，充分互动，让学员充分系统地掌握信息安全经管的核心。2.2培训收益掌握信息安全经管概念领悟信息安全经管的重要性把握开展信息安全工作的诀窍掌握信息安全建设的核心要素以及经管与技术的关系了解风险评估和经管的过程和方法理解ISO2700X家族的组成和作用，以及 ISO27002的11个安全领域精髓2.3课程大纲信息安全经管概述信息安全经管体系规划信息安全经管体系落实信息安全经管体系认证ISO27001规范介绍ISO27002规范介绍信息安全风险评估和风险经管? 考试（考试合格，颁发国家认可之 ISO27001IA注册证书）3、信息安全风险评估实战演练3.1课程介绍对于信息安全经管来说， 最头痛的是不知道从何处下手。 信息安全风险评估就是解决这个问题的好方法。通过信息安全风险评估， 可以找到目前存在的安全问题或缺陷， 指明信息安全经管的方向和落脚点。此课程分为信息安全风险评估理论讲解和实战演练两大阶段， 使学员对组织中风险经管和信息安全风险评估的理论有准确的掌握，

能从信息的机密性、 完整性和保密性三要素着手，

甄别信息资产的重要性，发现组织中的信息安全方面的短板。

另一方面通过沙盘演练的方式进行身入其境的实践，

让学员深刻掌握“OCTAVE+DELPHI+ISO27002

”的风险评估方法。3.2培训收益理解风险评估和风险经管的意义理解风险评估和风险经管的概念掌握风险计算方法了解风险评估的规范掌握风险经管的原理和过程掌握风险评估方法论能够组织和实施风险评估3.3课程大纲风险评估导入风险计算方法风险评估规范风险经管原理风险评估方法论风险评估演练4、BCP4.1课程介绍突如其来的灾难事件对社会和经济的发展会造成巨大的冲击， 严重影响政府、企业的正常运作和秩序，甚至会给一些企业带来灭顶之灾。例如美国“ 9·11”事件、中国“非典”疫情等，传统的经管方法及流程在面临这些事件时将完全崩溃。因此，借助信息技术，构建一个有效应对危机的经管体系，使经管科学化、手段现代化，是各级政府、每一个企业家所必须掌握的知识和必须采取的措施。4.2培训收益业务持续计划 (BCP)是在对企业进行业务冲击分析及风险分析并将其量化的基础上，开发制定各种相应应急及恢复计划、方法和流程，以减轻灾难对于企业的不利影响。在危机发生前，作好充分的预防准备，采取有力的措施，把危机带来的损失降至最低，甚至避免危机的发生。在危机来临时，不仅仅恢复 IT基础架构，而且包括关键性业务的持续、迅速恢复并履行商业契约。业务持续性计划（ BCP）成为应对这类危机的国际通用规则。4.3课程大纲企业总经理、副总经理、COO、CIO/IT总监；控制中心、运营中心、安全中心、技术中心、维护中心经理及高级主管。5、ISO27001LA5.1课程介绍信息安全经管体系规范 BS7799 规范共分两部分，第一部分（ BS7799-1）已经在 2000年被采纳为ISO17799国际规范，当前最新版本为ISO27002:2005；第二部分（BS7799-2）也于2005年被采纳为ISO27001:2005 。该规范当前已被诸多国家采纳为国家规范， 截止2007年12月已经有超过 4000家组织通过了 ISO27001 的认证，获得了信息安全经管体系认证证书。本课程共5天，IRCA认可课程。从规范的背景和发展， 到体系的建立和实施， 深入和全面剖析 ISO27001:2005/ISO27002:2005规范和相关经管技术。配合大量的案例，教授学员如何经管和领导信息安全经管体系审核活动。5.2培训收益对ISO27001:2005/ISO27002:2005 规范有深层次的理解掌握信息安全风险的识别、评估与控制的基本技巧有能力领导、策划、实施和经管信息安全经管体系审核活动5.3课程大纲信息安全经管人员信息安全经管咨询顾问内部审核员、第二方审核员、第三方审核员欲将ISO27001导入组织的人员有志为第三方认证机构工作的人员6、ISO20000 主任审核员6.1课程介绍IT对于当今的业务交付是必不可少的。 然而，人们越来越担心 IT服务（无论是内部还是外包）无法与业务需求和客户需求保持一致。这一问题的公认解决技术方案便是使用基于 IT服务经管的国际规范 ——ISO/IEC 20000 的 IT服务经管体系 (ITSMS)。通过此规范的认证便可向客户证明您采用的是最佳做法。ISO/IEC20000 建立在国际公认的英国规范 BS15000 的基础之上并取而代之。ISO/IEC20000 的发布分为两个部分：第一部分是服务经管规范，涵盖了 IT服务经管。 认证机构根据此部分对您的组织进行审核，它规定了要通过认证须达到的最低要求。第二部分是服务经管的实施准则，描述了规范范围内服务经管流程的最佳做法。6.2培训收益全面了解 ISO20000与ITIL等的差异及 ISO20000之优点掌握ISO20000体系的基本要素掌握该体系的具体执行程序和规范掌握审核的技巧，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧6.3课程大纲ISO20000简介及与ITIL\COBIT等的差异。ISO20000IT服务经管体系要求详解。ISO20000IT服务经管体系审核及其技巧。ISO20000规范的认证。ISO20000归纳总结和回顾。7、ITILV3 中级模块——生命周期模块7.1课程介绍ITIL3版本包括5个核心部分：服务战略、服务设计、服务转移、服务运营及服务优化，以促进业务协调，提高运营效率。官方 ITILV3资格认证描述两种流程，服务生命周期流和服务能力流。服务生命周期流程集中在 ITILV3的实践以及服务生命周期内容本身，进一步说主要体现在周期本身的操作和自身实践。服务能力流主要是针对那些想要获得对 ITILV3操作和角色更深理解的对象。本课程一部分注重到服务生命周期流程上面，但这主要集中在过程活动，执行力和整个服务生命周期使用上面。ITILV3ST（服务转移）课程是ITILV3能力认证流的中间部分。 本课程为学员提供参加 ITILV3 服务提供与协议考试的专业知识，该知识对以后的工作很有帮助。7.2培训收益在ITIL 服务生命周期中创造逻辑价值组织的战略资产，服务特定客户的性能潜力或市场空间（内部或外部）适合整个服务生命周期规划和执行的服务的正式定义服务价值评估，需求建模，业务划分和分析，以及业务影响分析服务组合经管，服务经管和服务相关的方法和流程高级战略需求经管可以通过整个服务生命周期功能支持服务战略是如何被推动以及如何被服务生命周期的其他元素通知 CourseApproach:术语“服务运营”，以及它如何结合整个核心的 ITIL 生命周期覆盖其他生命周期阶段的流程运营活动服务操作流程组织问题，包括：功能，小组，团队，处和司服务运营活动服务运营技术注意事项及要求规划和实施服务经管技术经管服务运营中的变革挑战，关键成功因素和风险持续服务改进的目的和目标持续服务改进如何同生命周期的其它阶段相结合持续改善取决于组织内对变更的理解活动和技能的本性要求 7步改善流程工具如何能够帮助持续服务改进中的部分或所有活动组织挑战面临着持续服务改进影像服务设计原则和服务组合工程要求的活动和技术功能角色分析和 RACI矩阵使用用于服务设计的工具类型与应用经管的活动和技术设计配套制度，特别是服务组合业务服务经管（ BSM）和面向服务的架构（ SOA）原则7.3课程大纲学员将学习在服务生命周期服务设计阶段的活动， 技术和实施考虑的原理及核心元素。 该阶段的服务设计与服务战略一致，更注重能够服务发布。采用交互式方法，使用讲座，讨论和案例研究体验相结合，使参与者准备 ITILv3的中级服务战略认证考试，并能提供迅速在工作场所应用的宝贵实践知识。易聆科境外讲师结合自身经历的综合案例研究加深了与会者的理解，即为了提高 IT绩效，ITIL最佳实践是如何应用的。实践安排贯穿整个过程，用以提高学习经验。8、ITILV3 中级模块——能力模块8.1课程介绍作为全球 IT服务经管领域事实上的规范， ITIL认证已成为事实上的 IT经管职业认证规范。 ITILExpert被称之为“IT界的EMBA”，是较高级别的 ITIL认证。拥有该认证已经成为担任 ITSM咨询工程经理、企业 CIO、IT经理的前提条件， 更是获得高薪职位的 “金牌通行证”。ITIL中级课程能力模块由四门课程组成，分别是：运营支持与分析（ OSA）；计划、保护与优化PPO）；发布、控制与验证（RCV）；服务提供和协议（SOA）。通过每门课程的考试即可获得相应的证书，并为获取ITILExpert证书积累学分。与中级课程生命周期模块相比，能力模块中的内容更利于实践，并且学习周期更短。所以也是V2学习路径截止后首选的V3学习路径。8.2培训收益深入理解 ITIL 各流程的概念、原则、目的和目标；相关角色，以及这些流程与服务生命周期中其他流程的关系；流程中使用的活动、方法和功能；所需要的技术和实施要求；相关的挑战、关键成功因素和风险；通过相应的考试，获得对应的认证证书。8.3课程大纲OSA：运营支持与分析事件经管突发事件经管请求满足问题经管访问经管服务台PPO：计划、保护与优化容量经管可用性经管IT服务连续性经管IT信息安全经管RCV：发布、控制与验证变更经管服务资产与配置经管发布与部署经管行业补充指导及工具发布与部署经管SOA：服务提供和协议服务组合经管服务目录经管服务级别经管供应商经管财务经管考试9、ITSMFOUNDATION9.1课程介绍ITSM

国际规范个人资格认证体系是全球

IT

服务经管认证体系中最全面、最权威的一套

IT

服务经管认证体系。同其他

IT

服务经管类的最佳实践规范认证考试相比，该认证体系涵盖了多项

IT

服务经管最佳实践及治理框架如：

ITIL,SixSigma,Cobit

的同时又涉及到

IT

服务经管国际规范

ISO/IEC20000

的相关规范规范。该认证体系彻底解决了那些即想了解如何在企业中实施

IT

服务经管的同时又希望在近期获得

IT

服务经管相关国际规范

ISO/IEC20000

资格的企业。自推出后受到了全球行业用户的广泛支持。该

ITSM

课程体系获得了

2008

年

itSMF

欧洲分会颁发的全球

IT

服务经管认证体系最佳创新奖项，同时该认证体系也受到了 itSMF国际的支持和认可。9.2培训收益理解服务质量经管的定义与原则掌握ISO/IEC20000 在IT服务经管中的位置掌握IT 服务经管质量规范掌握IT 服务经管实践规范9.3课程大纲? 负责建立和实施 ISO20000 体系的人员IT服务经管工程相关人员其他想了解国际最新信息技术服务经管理念的人员、信息安全/IT服务高级培训1、信息安全理念培训1.1课程简介“信息安全是一把手工程” ，组织中高层对信息安全起着至关重要的作用。如果高层对信息安全不知道如何决策，那么信息安全很难取得成效。 因此，信息安全建设的第一项工作就是让高层对信息安全有正确的认识，能够做出正确的决策。信息安全理念培训从实际案例入手， 引入信息安全经管的重要性， 分析安全经管与安全技术的关系。剖析组织中信息安全经管的核心要点和关键环节， 分享在由各行业实际安全经管工作中归纳总结出来的信息安全建设的重要原则， 使经管层对信息安全的理念、 规律有清晰的认识， 便于在组织中信息安全决策过程中把握核心要点，有效地推动整个组织的信息安全工作。1.2培训收益领悟信息安全的重要性掌握信息安全的规律和特点理解高层在信息安全中的作用和责任掌握信息安全建设的重点和难点把握信息安全建设的方向避免信息安全建设的误区能对信息安全做出准确决策1.3课程大纲您身边的信息安全问题企业信息安全建设现状信息安全经管体系经管与技术的关系信息安全经管的难点企业信息安全建设基本原则2、CISSP2.1课程介绍CISSP（CertifiedInformationSystemSecurityProfessional,

注册信息系统安全认证专家）是目前世界上最权威、

最全面的国际化信息系统安全方面的认证，

由国际信息系统安全认证协会

(ISC)2组织和经管，

(ISC)2

在全世界各地举办考试，符合考试资格的人员在通过考试后被授予

CISSP认证证书。CISSP可以证明证书持有者具备了符合国际规范要求的信息安全知识水平和经验能力，提升其专业可信度，并为企业和组织提供寻找专业人员的凭证依据，目前已经得到了全世界广泛的认可。课程涵盖 CISSP认证考试公共知识体系 CBK的十大领域，对信息安全整体知识框架进行详细讲解；采用理论与实际相结合的手法， 从实践的角度深入分析信息系统安全原理、 方法和技巧。本课程以讲授为主，结合问答、讨论等形式授课；为学员提供互动交流的平台，充分交流各自的心得，全面系统地理解和掌握信息系统安全方面的知识，为通过 CISSP国际认证做好充足的准备。2.2培训收益掌握CBK知识框架理解并掌握 CBK难点和要点全面提升信息安全理论水平和实践能力抓住考试重点，掌握应考技巧2.3课程大纲CISSP认证概述安全经管实务应用程序与系统开发安全体系和模型密码学访问控制通信和网络安全运作安全物理安全业务连续性计划法律、调查及道德规范3、CISA3.1课程介绍CISA（CertifiedInformationSystemAuditor,

国际注册信息系统审计师）

,由

ISACA（信息系统审计与控制协会）授予，是信息系统审计领域的惟一的职业资格，受到全世界的广泛认可。

CISA

证书可以证明证书持有者具备了符合国际规范要求的信息安全审计知识水平和经验能力。

CISA

证书已经成课程涵盖

CISA要求的六大知识领域，帮助学员全面系统地建立和完善

IT

审计所必备的知识技能。培训采用理论与实际相结合的手法，从实践的角度深入分析

IT

审计的原理、方法和技巧。本课程以讲授为主，结合问答、讨论等形式授课；为学员提供互动交流的平台，充分交流各自的心得，全面系统地理解和掌握信息系统安全方面的知识，为通过 CISA国际认证做好充足的准备。3.2培训收益掌握CISA知识体系理解并掌握信息系统审计的难点和要点全面提升信息系统审计理论水平培养实践能力掌握应考技巧3.3课程大纲信息系统审计实务IT治理系统和架构生命周期经管IT服务交付和支持信息资产的保护业务连续性和灾难恢复4、COBIT4.1课程介绍CobiT

是国际上公认的、最全面、最权威的

IT

治理、安全与控制框架，它可以辅助经管层进行

IT治理，指导组织有效利用信息资源，

有效地管控与信息技术相关的风险。

该规范体系已在世界一百多个国家的重要政府部门与企业中运用， 美国《萨班斯—奥克斯利法案》 对上市公司内部控制监管的严格要求，更拓宽了它的使用范围。目前，国内的监管机构如国务院国资委、银监会、证监会等也纷纷出台了相应的

IT

治理与风险监管办法，

IT

治理，IT

风险经管和

IT

审计等议题不仅正迅速成为关注的焦点，

也已经进入更多政府和企业董事会、经管层的重要议事日程。越来越多的政府部门和企业迫切需要：加强

IT

治理与风险经管工作、建立健全

IT

治理与风险管控机制、进一步提高

IT

治理与风险管控水平。4.2培训收益深入了解并掌握最新的信息系统审计规范了解COBIT与ISO27001、ISO20000、ITIL、COSO之间的关系通过考试获得 ISACA颁发的COBIT证书真正成为中国 IT治理及风险经管的专家4.3课程大纲IT治理的现状、问题和发展趋势IT治理的先进理念和方法? CobiT概览及核心内容详细介绍 (34个高级控制目标及详细控制目标、经管指南和成熟度模型 )IT治理实施方法论和路线图IT风险管控体系信息系统审计IT风险管控矩阵设计与执行效果评价的实战演练四、培训交付物满意度调查表：课程结束后，参加培训的人员将填写满意度调查表电子版教材：赠送每位学员一份授权的电子版本教材培训证明：根据组织需要提供培训证明材料五、附录1、公司概要2004年，公司全面转型，专注信息安全产品集成2006年，确定以信息安全服务为核心的经营理念2008年，在信息安全服务方面进一步拓展，形成自己特色的核心竞争力：2009年，专注信