培训目标

风险评估有时候也称为风险分析，是组织使用适当的风险评估工具，依据国内外有关信息安全相关标准，对信息和信息处理设施的威胁、影响和薄弱点及其发生的可能性的评估，包括信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，从信息资产、信息系统、业务流程等多个维度，评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。

**此次培训可以：

理解风险评估的原理与原则

掌握风险评估的流程与方法

**资产重要性分析明确企业需要重点保护的资产信息

掌握金融行业信息安全风险评估的完整流程、并结合培训与辅助资料切入企业实践

培训对象

信息科技管理人员/IT工作人员；

风险管理人员；审计人员；稽核人员；

负责信息系统安全管理和规划的经理及技术人员；

灾难恢复管理、业务连续性管理等领域的管理人员和工作人员等。

信息中心工作人员

培训时间与地点

具体培训实施时间需由培训顾问与客户协调沟通确认。

本次培训的实施地点为客户现场。

本次培训课程时间共计3天。

培训内容

主 题

内 容

培 训 目 标

一、什么是信息安全风险评估风险评估用途，风险评估的原理和原则

风险评估的概念

使学员了解风险评估的概念，风险管理的原则，为下面的培训打好基础

风险评估工作解决的问题

风险管理的原则

二、信息安全管理及相关标准的理解与实施

信息安全管理标准

信息安全以及相关标准介绍

IT治理标准的理解

三、风险评估常用方法、工具以及方法优势和劣势

风险评估方法

介绍常用和流行的风险评估方法，评估优势和劣势以及风险评估工具的简单介绍

风险评估工具

四、风险评估基本流程

基本过程

使学员了解风险评估的关键步骤和重要概念资产、威胁、脆弱性以及相互关系

识别评估资产

识别并评估威胁

识别并评估脆弱性

识别评估现有安全措施

评估风险

五、风险评估实施

收集资料

介绍风险评估的实施过程，使学员了解风险评估的具体实施过程

人员访谈

问卷调查

安全扫描

渗透测试

六、风险消减

确定风险消减策略

为学员讲解如何**风险评估的结果，为企业制定和实施安全计划

选择安全措施

制定安全策略

实施安全策略

七、风险控制

风险控制维护

介绍风险管理的其他部分内容

风险监视

事件响应

安全意识

八、信息安全风险评估技术评估

安全扫描

让学员详细了解信息安全风险评估技术各种技术手段原理以及使用

人工检查

渗透测试

九、案例分析

某移动通信运营商信息安全评估环境

**具体案例，引领学员进行一次风险评估案例的体验，加强学员的动手能力和实际操作能力

某移动通信运营商信息安全评估方法

某移动通信运营商信息安全评估的过程

学员分析与讨论