课程大纲：

信息安全等级保护高级培训班

【面向对象】:
国家重要信息系统的建设、运营和使用的相关管理和技术人员
各级政府机构、企事业单位的信息安全主管部门的中高级管理及技术人员
IT行业从事信息安全开发、管理、咨询、服务及系统集成业务相关管理及技术人员
其他从事与信息安全相关工作的人员（如系统管理员、网络管理员、网络工程师、网络架构师等）

【课程大纲】
第一天 
信息安全管理体系ISMS（ISO27001）
1.  安全需求分析
2.  信息安全关键成功因素分析 
3.  13个安全域详解
4.  成功案例分析
信息安全模型
1.  安全模型介绍
2.  安全模型不熟与应用 
IATF信息保障技术框架
1.  安全域
2.  保障措施指南
等级保护基本要求
1.  等级保护背景的介绍
2.  等级保护标准的解析
3.  等级保护生命周期介绍
4.  等级保护概念与术语
5.  等级保护基本要求介绍

第二天 
等级保护基本要求
1.  等级保护技术要求
1)  物理安全
2)  网络安全
3)  系统安全
4)  应用安全
5)  数据安全
2.  等级保护管理要求
1)  安全管理制度
2)  安全管理机构
3)  人员安全管理
4)  系统建设管理
5)  系统运维管理 
3.  等级保护各级详细要求难点解析
1)  各级基本要求详细对照分析
2)  关键要求与企业需求结合分析
3)  关键控制类、控制点、控制项分析
4.  等级保护定级、实施指南
1)  等级保护定级原理与要素、系统定级过程
2)  定级准备阶段（定级对象的三个条件）
3)  系统初步定级（定级相关培训，用户自主定级）
4)  备案文档准备（过程表，备案表，定级报告）
5.  系统备案阶段（专家评审会，备案文档准备）

第三天   
风险评估标准的详解
1.  风险评估标准的解析
2.  风险评估流程的梳理
风险评估过程研究
1.  资产识别
2.  风险定量与定性方法解析
风险控制措施的解析
1.  基于预防的控制措施
2.  基于缓解的控制措施
3.  残留风险
基于风险的过程改进 
1.  风险的动态监测与预警
2.  风险应对措施的分析 
等级保护系统建设与整改
1.  安全需求分析方法
1）等保的基本要求需求分析
2）系统特殊安全需求分析
2.  新建系统的安全等级保护设计方案
1)  信息系统概述
2)  等级状况分析
3)  等级保护模型抽象
4)  总体安全策略
5)  边界防护策略
6)  安全域防护策略
7)  信息系统安全管理与安全保障策略
3.  系统整改实施方案设计
1)  总体方案设计
2)  安全域的设计
3)  实施方案设计
4)  整改方案设计

第四天 
信息安全渗透技术演练
1.  渗透标准测试概要介绍
2.  渗透测试方法论
3.  渗透测试技术分析
4.  渗透评审技术 
5.  威胁与脆弱性识别
6.  目标脆弱性验证
7.  信息安全渗透测试计划编制
8.  渗透测试执行
9.  渗透经验总结

信息安全等级保护高级培训班