CISAW风险管理方向认证培训课程

 

一、CISAW风险管理是什么

中国网络安全审查技术与认证中心(英文缩写为:CCRC,原为中国信息安全认证中心)于2006年由中央机构编制委员会办公室批准成立,为国家市场监督管理总局直属正司局级事业单位。依据《网络安全法》《网络安全审查办法》及国家有关强制性产品认证法律法规,承担网络安全审查技术支撑和认证工作;在批准范围内开展与网络安全相关的产品、管理体系、服务、人员认证和培训等工作;同时设有国家信息安全产品质量监督检验中心(北京)。

信息安全保障人员认证(CISAW)风险管理方向的考试主要考查考生对信息安全风险管理相关基础知识和基本技能的掌握情况、综合运用所学知识分析和解决实际问题的能力。该课程对信息安全风险管理知识体系进行系统和详细的讲解,让学员们了解风险管理的基本概念和一般原则,掌握风险管理的过程和方法,运用所学知识解决实际工作中遇到的问题,为认证考试做好准备。
 

二、CISAW风险管理适合谁学?

部门、企事业单位从事网络与信息安全服务的各级管理人员和技术人员,特别是从事信息安全风险管理、信息安全风险评估的专业人员,以及与信息安全保障工作相关的人员。
 

三、CISAW风险管理方向认证级别划分

CISAW风险管理方向认证分为基础级、专业级,认证申请人员在通过基础专业级考试后,可依据工作经历和项目经历要求申请基础级或专业级认证,具体级别工作经历要求见下:

基础级认证工作经历要求

获证人员应通过CISAW风险管理方向考试,同时至少满足下面一项要求:
a) 本科(含)以上学历, 1 年以上从事信息安全有关工作经历;
b) 专科毕业,3 年以上从事信息安全有关的工作经历;
c) 5 年以上从事信息安全有关的工作经历;
d) 具有信息技术相关专业的初级技术职称,并且至少 1 年以上从事信息安全保障相关工作经历。
 

专业级认证工作经历要求

获证人员应通过信息安全保障人员认证(CISAW)风险管理方向考试,同时至少满足下面一项要求:
a) 硕士研究生(含)以上学历,2 年以上从事信息安全有关工作经历,并且至少 1 年从事与风险管理专业方向相关的工作经历;
b) 本科毕业,4 年以上从事信息安全有关工作经历,并且至少 2 年以上从事风险管理专业方向相关的工作经历;
c) 专科毕业,6 年以上从事信息安全有关工作经历,并且至少 2 年以上从事风险管理专业方向相关的工作经历;
d) 7 年以上从事信息安全有关工作经历,并且至少 2 年以上从事与风险管理专业方向相关的工作经历;
e) 具有信息技术相关专业的中级技术职称,并且从事至少 2 年以上风险管理专业方向相关的工作经历。
 

四、CISAW风险管理课程内容大纲

序号

课程名称

课程内容

课时

1

风险管理基本概念
  1. 信息安全
  2. 风险管理
  3. 信息安全风险
  4. 信息安全风险管理
  5. 信息安全风险评估
  6. 风险管理标准化组织及风险管理标准体系
  7. 风险管理标准ISO 31000
  8. 信息安全风险管理标准ISO/IEC 27005
  9. 信息安全风险评估标准GB/T 20984

6

2

项目管理基础 和环境建立
  1. 项目管理相关定义
  2. 项目生命周期和项目管理知识体系
  3. 环境建立相关定义
  4. 环境建立过程和示例

3

3

风险识别
  1. 风险评估准备和风险识别概述
  2. 发展战略和业务识别内容
  3. 发展战略和业务识别分析、赋值
  4. 发展战略和业务识别过程、输出和示例
  5. 资产识别相关定义
  6. 资产识别方法和工具
  7. 资产识别分析和赋值
  8. 资产识别过程、输出和示例
  9. 威胁识别相关定义
  10. 威胁识别方法和工具
  11. 威胁调查、分析和赋值
  12. 威胁识别过程、输出和示例
  13. 脆弱性识别概述
  14. 物理脆弱性识别
  15. 网络脆弱性识别
  16. 系统软件脆弱性识别
  17. 应用中间件脆弱性识别
  18. 应用系统脆弱性识别
  19. 管理脆弱性识别
  20. 已有安全措施识别相关定义
  21. 已有安全措施识别方法和工具
  22. 已有安全措施识别分析
  23. 已有安全措施识别过程、输出和示例

6

4

风险分析与计算
  1. 风险分析概述和原理
  2. 风险可能性和损失分析
  3. 风险计算结果分析
  4. 风险要素关联方法
  5. 风险计算概述
  6. 矩阵法及示例
  7. 相乘法及示例

3

5

风险评价和评估输出
  1. 风险评价定义和准则
  2. 风险评价过程
  3. 风险评价结果
  4. 风险评估文档输出
  5. 风险评估报告

3

6

风险处置和风险接受
  1. 风险处置概念、原则、方式和流程
  2. 风险处置准备和实施
  3. 风险处置效果评价
  4. 残余风险和风险接受

3

7

沟通咨询和监视评审
  1. 沟通咨询概述
  2. 沟通咨询过程
  3. 监视评审概述
  4. 监视评审内容
  5. 监视评审过程

3

8

考前辅导

  1. 全面复习所学习的内容,梳理知识点。

3

考试
  1. 认证考试

 

五、培训考试安排

学习方式:面授或在线直播;
培训时间: 5天
考试情况:第五天下午参加考试,考试形式为笔试,包括单选题、多选题以及主观论述题,考试总分为120分,考试84分(含)为及格。
 

六、师资力量

樊老师

信息安全资深顾问、中国网络安全审查技术与认证中心 CISAW-HSP 教材编写组成员及CISAW授权讲师、中国信息安全测评中心 CISP 认证讲师、中国关键信息基础设施技术创新联盟智库专家、;OWASP 中国区高级会员国家认证认可监督管理委员会检查机构资质认定内审员/实验室资质认定内审员,ISO/IEC 27001:2005 内审员,国内早期司法机关认证声响资料司法鉴定员,广东信息安全自由技术论坛发起人。熟悉网络安全架构设计、安全体系建设、网络故障排查和信息安全攻防演练。