信息安全管理体系培训（精选6篇）

信息安全管理体系培训 第1篇

ISO27001培训系列V1.0 ISO 27001信息安全体系培训控制目标和控制措施(条款A6-信息安全组织 2009年11月

董翼枫(dongyifeng78@hotmail.com 条款A6

信息安全组织 A6.1内部组织 ✓目标: 在组织内管理信息安全。

✓应建立管理框架,以启动和控制组织范围内的信息安全的实施。✓管理者应批准信息安全方针、指派安全角色以及协调和评审整个组织安全的实施。

✓若需要,要在组织范围内建立专家信息安全建议库,并在组织内可用。要发展与外部安全专家或组织(包括相关权威人士的联系,以便跟上行业趋势、跟踪标准和评估方法,并且当处理信息安全事件时,提供合适的联络点。应鼓励采用多学科方法,解决信息安全问题。

控制措施

管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的安全。

实施指南 ✓管理者应: a确保信息安全目标得以识别,满足组织要求,并已被整合到相关过程中;b制定、评审、批准信息安全方针;c评审信息安全方针实施的有效性;d为安全启动提供明确的方向和管理者明显的支持;e为信息安全提供所需的资源;f批准整个组织内信息安全专门的角色和职责分配;g启动计划和程序来保持信息安全意识;h确保整个组织内的信息安全控制措施的实施是相互协调的(见A6.1.2。✓管理者应识别对内外部专家的信息安全建议的需求,并在整个组织内评审和协调专家建议结果。

✓根据组织的规模不同,这些职责可以由一个专门的管理协调小组或由一个已存在的机构(例如董事会承担。

A6.1.2信息安全协调

信息安全活动应由来自组织不同部门并具备相关角色和工作职责 的代表进行协调。

A6.1.2信息安全协调

✓典型的,信息安全协调应包括管理人员、用户、行政人员、应用设计人员、审核员和安全专员,以及保险、法律、人力资源、IT 或风险管理等领域 专家的协调和协作。这些活动应: 确保安全活动的实施与信息安全方针相一致;确定如何处理不符合项;核准信息安全的方法和过程,例如风险评估、信息分类;识别重大的威胁变更和暴露于威胁下的信息和信息处理设施;评估信息安全控制措施实施的充分性和协调性;有效地促进整个组织内的信息安全教育、培训和意识;评价在信息安全事件的监视和评审中获得的信息,推荐适当的措施响应识别的信息安 全事件。

✓如果组织没有使用一个独立的跨部门的小组,例如因为这样的小组对组织 规模来说是不适当的,那么上面描述的措施应由其它合适的管理机构或单

A6.1.3信息安全职责的分配 所有的信息安全职责应予以清晰地定义。A6.1.3信息安全职责的分配

✓信息安全职责的分配应和信息安全方针(见 A5相一致。各个资产的保护 和执行特定安全过程的职责应被清晰的识别。这些职责应在必要时加以补 充,来为特定地点和信息处理设施提供更详细的指南。资产保护和执行特 定安全过程(诸如业务连续性计划的局部职责应予以清晰地定义。✓分配有安全职责的人员可以将安全任务委托给其他人员。尽管如此,他们 仍然负有责任,并且他们应能够确定任何被委托的任务是否已被正确地执 行。

✓个人负责的领域要予以清晰地规定;特别是,应进行下列工作: 与每个特殊系统相关的资产和安全过程应予以识别并清晰地定义;应分配每一资产或安全过程的实体职责,并且该职责的细节应形成文件(见 A7.1.2;授权级别应清晰地予以定义,并形成文件。

A6.1.4信息处理设施的授权过程 ✓新信息处理设施应定义和实施一个管理授权过程。

✓授权过程应考虑下列指南: 新设施要有适当的用户管理授权,以批准其用途和使用;还要获得负责维护本地系统 安全环境的管理人员授权,以确保所有相关的安全方针策略和要求得到满足;若需要,硬件和软件应进行检查,以确保它们与其他系统组件兼容;使用个人或私有信息处理设施(例如便携式电脑、家用电脑或手持设备处理业务信 息,可能引起新的脆弱性,因此应识别和实施必要的控制措施。

A6.1.5保密性协议

应识别并定期评审反映组织信息保护需要的保密性或不泄露协议 的要求。A6.1.5保密性协议

✓保密或不泄露协议应使用合法可实施条款来解决保护机密信息的要求。要识别保密或不泄 露协议的要求,需考虑下列因素: a 定义 要保护的信息(如机密信息;b 协议的期望 持续时间 ,包括不确定的需要维持保密性的情形;c 协议终止时所需的 措施;

d 为避免未授权信息泄露的签署者的 职责和行为;e 信息所有者、商业秘密和 知识产权 ,以及他们如何与机密信息保护相关联;f 机密信息的许可使用,及签署者使用信息的 权力;g 对涉及机密信息的活动的 审核和监视 权力;h 未授权泄露或机密信息破坏的 通知 和报告过程;i 关于协议终止时信息 归档或销毁 的条款;j 违反协议后期望采取的 措施。

✓基于一个组织的安全要求,在保密性或不泄露协议中可能需要其他因素。✓保密性和不泄露协议应针对它适用的管辖范围(见 A15.1.1遵循所有适用的法律法规。保密性和不泄露协议的要求应进行周期性 评审 ,当发生影响这些要求的变更时,也要进行

A6.1.6与政府部门的联系

✓应保持与政府相关部门的适当 联系。

✓组织应有规程指明什么时候应当与哪个部门(例如,执法部门、消防局、监管部门联系,以及怀疑已识别的信息安全事件可能 触犯了法律时,应如何及时报告。

✓受到来自互联网攻击的组织可能需要外部第三方(例如互联网服 务提供商或电信运营商采取措施以应对攻击源。

✓保持这样的联系可能是支持信息安全事件管理(A13.2或业务连续性和应急规划过程(A14的要 求。与法规部门的联系有助于预先知道组织必须遵循的法律法规方面预期的变化,并为这些变化做 好准备。与其他部门的联系包括公共部门、紧急

服务和健康安全部门,例如消防局(A14章的业务 连续性有关、电信提供商(与路由和可用性有关、供水部门(与设备的冷却设施有关。

A6.1.7与特定利益集团的联系

✓应保持与特定利益集团、其他安全专家组和专业协会的适当联系。✓应考虑成为特定利益集团或安全专家组的成员,以便: a 增进对最佳实践和最新相关安全信息的了解;b 确保全面了解当前的信息安全环境;c 尽早收到关于攻击和脆弱性的预警、建议和补丁;d 获得信息安全专家的建议;e 分享和交换关于新的技术、产品、威胁或脆弱性的信息;f 提供处理信息安全事件时适当的联络点(见 A13.2.1。A6.1.8信息安全的独立评审

✓组织管理信息安全的方法及其实施(例如信息安全的控制目标、控制措施、策略、过程和程序应按计划的时间间隔进行独立评审,当安全实施发 生重大变化时,也要进行独立评审。

✓独立评审应由管理者启动。对于确保一个组织管理信息安全方法的持续的适宜性、充分性 和有效性,这种独立评审是必须的。评审应包括评估安全方法改进的机会和变更的需要, 包括方针和控制目标。

✓这样的评审应由独立于被评审范围的人员执行,例如内部审核部门、独立的管理人员或专 门进行这种评审的第三方组织。从事这些评审的人员应具备适当的技能和经验。

✓独立评审的结果应被记录并报告给启动评审的管理者。这些记录应加以保持。

✓如果独立评审识别出组织管理信息安全的方法和实施不充分,或不符合信息安全方针文件(见 A5.1.1中声明的信息安全的方向,管理者应考虑纠正措施。

A6.2外部各方 ✓目标: 保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。

✓组织的信息处理设施和信息资产的安全不应由于引入外部方的产品或服务而降低。

✓任何外部方对组织信息处理设施的访问、对信息资产的处理和通信都应予以控制。

✓若有与外部方一起工作的业务需要,它可能要求访问组织的信息和信息处理设施、从外部方获得一个产品和服务,或提供给外部方一个产品和服务,应进行风险评估,以确定涉及安全的方面和控制要求。在与外部方签订的协议中要商定和定义控制措施。

外部各方

✓服务提供商(例如互联网服务提供商、网络提供商、电话服务、维护和支持服务;✓受管理的安全服务;✓顾客;✓设施和运行的外包,例如,IT系统、数据收集服务、中心呼叫业务;

✓管理者,业务顾问和审核员;✓开发者和提供商,例如软件产品和IT系统的开发者和提供商;✓保洁、餐饮和其他外包支持服务;✓临时人员、实习学生和其他临时短期安排。控制措施

应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险,并在允许访问前实施适当的控制措施。

实施指南

✓当需要允许外部方访问组织的信息处理设施或信息时,应实施风险评估(见A4以识别特定控制措施的要求。

关于外部方访问的风险的识别应考虑以下问题: a外部方需要访问的信息处理设施;b外部方对信息和信息处理设施的访问类型,例如: 物理访问,例如进入办公室,计算机机房,档案室;逻辑访问,例如访问组织的数据库,信息系统;组织和外部方之间的网络连接,例如,固定连接、远程访问;现场访问还是非现场访问;c所涉及信息的价值和敏感性,及对业务运行的关键程度;d为保护不希望被外部方访问到的信息所需的控制措施;e与处理组织信息有关的外部方人员;

f能够识别组织或人员如何被授权访问、如何进行授权验证,以及多长时间需要再确认;g外部方在存储、处理、传送、共享和交换信息过程中所使用的不同的方法和控制措施;h外部方需要时无法访问,外部方输入或接收不正确的或误导的信息的影响;i处理信息安全事件和潜在破坏的惯例和程序,和当发生信息安全事件时外部方持续访问的条款和条件;j应考虑与外部方有关的法律法规要求和其他合同责任;k这些安排对其他利益相关人的利益可能造成怎样的影响。

✓除非已实施了适当的控制措施,才可允许外部方访问组织信息,可行时,应签订合同规定外部方连接或访问以及工作安排的条款和条件,一般而言,与外部方合作引起的安全要求或内部控制措施应通过与外部方的协议反映出来(见A6.2.2和A6.2.3。

✓应确保外部方意识到他们的责任,并且接受在访问、处理、通信或管理组织的信息和信息处理设施所涉及的职责和责任。

A6.2.2处理与顾客有关的安全问题 控制措施

应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。A6.2.2处理与顾客有关的安全问题 实施指南

要在允许顾客访问组织任何资产（依据访问的类型和范围，并不需要应用所有的条款）前解决安全问题，应考虑 下列条款： a 资产保护，包括： 及对已知脆弱性的管理；

保护组织资产（包括信息和软件）的程序，以

判定资产是否受到损害（例如丢失数据或修改数据）的程序； 完整性； 对拷贝和公开信息的限制； b c d 拟提供的产品或服务的允许的访问描述； 顾客访问的不同原因、要求和利益； 访问控制策略，包括： 方法，唯一标识符的控制和使用，例如用户ID和口令； 权过程； 没有明确授权的访问均被禁止的声明；

用户访问和权限的授

撤消访问权或中断系统间连接的处理； e 信息错误（例如个人信息的错误）、信息安全事件和安全违规的报告、通知和调查的安排； f g h i j k 每项可用服务的描述； 服务的目标级别和服务的不可接受级别； 监视和撤销与组织资产有关的任何活动的权利； 组织和顾客各自的义务； 相关法律责任和如何确保满足法律要求（例如，数据保护法律）。如果协议涉及与其他国家顾客的合作，特别要考虑到不同国家的法律体系（也 见A15.1）； 知识产权（IPRs）和版权转让（见A15.1.2）以及任何合著作品的保护（见A6.1.5）；-20-A6.2.3处理第三方协议中的安全问题 控制措施

涉及访问、处理或管理组织的信息或信息处理设施以及与之通信 的第三方协议，或在信息处理设施中增加产品或服务的第三方协 议，应涵盖所有相关的安全要求。-21-A6.2.3处理第三方协议中的安全问题 实施指南

协议应确保在组织和第三方之间不存在误解。组织应使第三方的保证满足自己的需要。为满足识别的安全要求（见A6.2.1），应考虑将下列条款包含在协议中： a b c d e f g h i j k l m n 信息安全方针； 确保资产保护的控制措施，对用户和管理员在方法、程序和安全方面的培训； 确保用户意识到信息安全职责和问题； 若适宜，人员调动的规定； 关于硬件和软件安装和维护的职责； 一种清晰的报告结构和商定的报告格式； 一种清晰规定的变更管理过程； 访问控制策略； 报告、通知和调查信息安全事件和安全违规以及违背协议中所声明的要求的安排； 提供的每项产品和服务的描述，根据安全分类（见7.2.1）提供可获得信息的描述； 服务的目标级别和服务的不可接受级别； 可验证的性能准则的定义、监视和报告； 监视和撤销与组织资产有关的任何活动的权利； o p q r s t u v 审核协议中规定的责任、第三方实施的审核、列举审核员的法定权限等方面的权利； 建立逐级解决问题的过程； 服务连续性要求，包括根据一个组织的业务优先级对可用性和可靠性的测度； 协议各方的相关义务；

有关法律的责任和如何确保满足法律要求（例如，数据保护法律）。如果该协议涉及与其他国家的组织的合作，特别要考虑到不同国家的法律体系（也见 15.1）； 知识产权（IPRs）和版权转让（见15.1.2）以及任何合著作品的保护（见6.1.5）； 涉及具有次承包商的第三方，应对这些次承包商需要实施安全控制措施； 重新协商/终止协议的条件。-22-END Thank you！

董翼枫（dongyf@fugle.info）-23

信息安全管理体系培训 第2篇

信息化时代。企业的业务和管理已经离不开互联网，这也决定了信息安全对企业生存与发展的重要性。据调查，有九成以上的企业完全或高度以来互联网开展业务，企业安全问题十分常见，大到企业商业机密，小到个人隐私信息。

但即便如此，大部分企业决策者依然没有充分意识到信息安全保障的重要性，错误地认为一个杀毒软件、一道防火墙、一个IT部门，就可以完全解除这种风险存在。可以说，信息化时代企业的“生产”安全指标通常是个未知数。

此外，信息安全人才短缺是当前普遍存在的一个问题。当企业逐步意识到信息安全保障重要性，并开始着手进行体系构建的时候。却“意外”地发现信息安全人才是异常短缺。

保障信息系统的安全，人才始终是根本，信息安全人才培养是为适应信息化时代发展的现实要求，是一种时代催生的全新职业导向。当前，全球各国都急需业务能力过硬、综合素养较高的信息安全人才。

拿美国来讲，信息安全人才供需比为1：4，而我国在这方面的人才缺口更是惊人。据最新的权威数据调查显示，我国网络安全人才缺口高达上百万。截止，我国高校设有信息安全专业的才仅仅103所，而硕士点和博士点更是少得可怜，总人数不到50个，而每年我国信息安全专业毕业的人才数量不足1万人。由此可见，人才供需存在着严重失衡。

信息安全管理体系培训 第3篇

随着国家对安全生产的重视, 国家安全生产监督管理总局专门下达了《特种作业人员安全技术培训考核管理规定》:从事特种作业的从业人员应当接受与其所从事的特种作业相应的安全技术理论培训和实际操作培训;特种作业人员必须经专门的安全技术培训并考核合格, 取得《中华人民共和国特种作业操作证》 (以下简称特种作业操作证) 后, 方可上岗作业;并且要求特种作业操作证每3年复审1次。培训机构开展特种作业人员的安全技术培训, 应当制定相应的培训计划、教学安排, 并报有关考核发证机关审查、备案。为此作为培训机构, 每年都担负着几千人次的不同工种的初审、复审及换证培训工作, 而且本项工作培训时间短, 人数多, 如果很多的信息都基于纸质文本、表格的话, 工作量就太大而且容易出错, 如再要进行查询, 就得在众多的资料中翻阅、查找了, 造成查询费时、费力。基于此问题, 很有必要建立一个专门的安全培训信息管理系统。提高信息处理的速度和准确性, 特别是将人力从繁杂的工作中解放出来。

二、需求分析:

要实现一个软件系统, 首先应该进行需求分析, 这样才能令设计出的软件满足用户的各项功能。下面就对安全生产管理信息系统的设计进行需求分析。

根据培训中心的职能要求:本系统要求做到能够以下几项。

1、建立培训计划。 (包括培训班名称, 人数, 特种作业培训类别、培训时间、教师名称、理论课时、实操作课时)

2、学员信息录入 (或成批导入) 、学员信息修改、学员信息删除。

3、考试管理。 (要求根据考试人数自动生成准考证、打印准考证)

4、学员成绩查询。

三、概要设计

3.1、技术支持:本系统以B/S为体系结构, SQL server数据库管理系统和ASP技术来完成安全生产管理信息系统。

ASP技术介绍

Microsoft Active Server Pages即我们所称的ASP, 其实是一套微软开发的服务器端脚本环境。Active Server Page是创建动态网页的一个很好的工具, 它起一种编程语言的作用, 可以利用它编写动态产生HTML的程序代码。因此, 只要用户浏览Web站点并请求一个ASP页, Web服务器就可以处理相应的ASP代码, 生成HTML代码, 然后将它传递到用户浏览器并显示出网页。

SQL server数据库管理系统技术介绍

SQL Server是一个后台数据库管理系统, 它功能强大操作简便, 日益为广大数据库用户所喜爱。越来越多的开发工具提供了与SQL Server的接口。SQL Server是一个关系数据库管理系统。SQL Server数据库处理的基本结构, 采取关系型数据库模式, 尽管如此, 相信大家都可以轻易的发现, 在SQL Server的数据库处理方式, 则是使用面向对象的操作方式与精神, 也就是说, SQLServer的所有功能, 都可以基于系统已经建立好的一些对象来达成, 是相当OOP (面向对象) 的一个系统结构。

3.2、运行环境

硬件环境:

P42.0以上, 内存2G以上。

软件环境:

windowsXP或windows2003

IE浏览器6.0以上。

3.3、主要模块

根据需要分析, 安全生产培训考核管理信息系统的学员培训管理部分主要结构图如下:

3.4、通用控制的使用:

为了提高系统的可用性, 设计了一些方便系统录入的可用控件。

(1) 、日历控件:是常用控件, 在学员出生日期录入时, 可使用日历控件。

在使用中, 如果要获取帮助, 点击左上角的"?"

如果手工输入日期, 点击右上角的"×"或按ESC键关闭控件, 然后手工输入日期。

快速选择年月:需要按住"《、》"弹出年份列表, 选中某个年份即可。

(2) 、表格控件:本系统大量使用到表格控件。

表格控件的功能:

分页:在表格下部进行了页码显示, 可以通过页码进行数据导航。

排序:通过点击表格上方的标题, 进行排序方便查找。

全选/全清:通过选择标题上的复选框, 可以对数据全选从而对选中的内容进行操作, 比如删除等操作。

3.5、系统提示信息:

在进行业务操作时, 系统会根据不同的情况返回提示信息, 从而帮助了解操作过程中一些问题及反馈结果, 本系统主要建立两类提示信息,

错误提示信息:红色的叹号表示错误信息。

正确提示信息:蓝色气泡表示正确信息。

四、系统实现的关键技术分析

4.1、数据库设计

(1) 数据库是一种存储数据并对数据进行操作的工具。数据库的作用在于组织和表达信息, 简而言之, 数据库就是信息的集合。计算机的数据库可以分为两类:非关系数据库 (flat-file) 和关系数据库 (relational) 。关系数据库中包含了多个数据表的信息, 数据库含有各个不同部分的术语, 象记录、域等。

数据库设计的步骤:数据库结构定义、数据表定义、存储设备和存储空间组织、数据使用权限设置、数据字典设置。

(2) 数据库定义:

要设计出一个好的信息管理系统数据库, 除满足系统所要求的功能外, 还必须遵守下列原则:

基本表的个数越少越好。

主键的个数越少越好。键是表间连接的工具, 主键越少, 表间的连接就越简单。

字段的个数越少越好。

所有基本表的设计均应尽量符合第三范式。

根据以上分析本系统现列出主要表, 分别为培训项目列表、培训计划表、学员基本信息表 (studentlist) 、成绩表、账号管理表、教师列表。培训列表中存放本单位可以培训的所有项目, 培训计划表里存储培训中心所有建立的培训计划, 学员基本信息表存放本次学员参加培训及报上级单位所需要的信息。学员基本信息表如下表所列:

账号管理表保存所有用户的信息, 包括用户名, 密码。

4.2、系统安全的设计

考虑到本系统采用的是B/S结构体系, 所有机器都在Internet的开放环境下, 因此, 系统必须充分考虑到网络上存在的一切不安全因素。为此, 本系统采用防火墙机制保护系统的数据和资源。在SQL Server数据库中对用户权限验证:登录身份验证。此外在数据库中存储的数据, 存储前使用加密算法进行加密。在SQL Server数据库中只能导出没有任何意义的数据;合法客户请求数据时, 从数据库读出数据后, 首先使用对应的解密算法, 再把数据发送给用户。加密算法封装在dll文件中在源代码中调用。

五、系统的测试使用

首先进入登录界面, 输入用户名和密码, 正确则进行主页面, 不正确点击重置, 重新输入用户名和密码。

在主界面选择培训管理进行新建培训计划、报名及学员信息修改等操作。

六、结束语

安全培训管理信息系统是是基于本单位实际需要出发, 从企业特殊操作工种短期培训人员班级管理角度出发, 从项目需求分析、设计、所用技术、运行来完成。通过反复运行和修改, 得出系统使用稳定, 达到设计要求。

参考文献

[1]曹衍龙.ASP/ASP.NET数据库开发实用工程案例精选[M].北京:人民邮电出版社, 2005.

[2]李晓喆、张晓辉、李祥胜SQL Sever 2000管理及应用系统开发。人民邮电出版2005

[3]程永敬, 韩平, 董启雄等译, 《ASP.NET技术与技巧》, 机械工业出版社, 2003.2

信息安全管理体系培训 第4篇

省农业厅李建军厅长助理致词，欢迎总站领导和各位参会人员，介绍了我省渔业生产形势与产品质量安全相关工作情况；全国总站王德芬副站长强调了水产品质量安全的重要性，并提出具体要求和希望；省水产技术推广站曹杰英站长介绍了省站有关水产养殖全程质量监控试点情况；沧州中捷海辰水产养殖有限公司夏金树经理介绍该公司水产养殖质量安全工作经验。

技术支撑单位——苏州捷安科技有限公司现场向参加试点的单位发放了智能手机和彩色打印机，工程师讲解了“鱼水云水产智能服务管理平台”操作方法。

省站检疫与病防科李全振科长讲解了今年水产养殖病害测报有关要求。申红旗副站长介绍了我省今年水产养殖病害测报预报、水生动物疫病专项监测、水产养殖全程质量监控、水生动物疫病远程辅助诊断系统等工作情况与要求。培训会达到了预期目的。

（申红旗 河北省水产养殖病害防治监测总站 050011）

信息安全教育培训管理制度 第5篇

第一条 为加强我局信息安全建设，提高全体税务干部的信息安全意识和技能，保障我局信息系统安全稳定的运行，特制定本制度。

第二条 信息安全培训旨在强化我局全体税务干部的信息安全意识，使之明确信息安全是每个人的责任，并掌握其岗位所要求的信息安全操作技能。

第三条 针对不同的培训对象进行分层次的培训，信息安全培训分为管理层培训、技术层培训和普通用户层培训三个层面，分层培训内容的参考范围和需达到的标准如下：

一、管理层信息安全培训

(一)对象：市局、各区县局的各级领导。

(二)内容：宏观信息安全管理理念及高级信息安全管理知识。

(三)标准：使管理层人员能够了解其信息安全职责，具备其工作所需的信息安全管理知识和信息安全管理能力。

二、技术层信息安全培训

(一)对象：各级信息化管理部门的各类技术管理人员。

(二)内容：系统安全策略； 内部和外部攻击的检测；常用计算机及网络安全保护手段、日常工作中需要注意的信息安全方面的事项； 《北京市地方税务局信息系统安全管理框架》下包括的所有制度内容。

(三)标准：使技术层人员能够了解其所从事岗位的信息安全职责，熟悉与其工作相关的各项信息安全制度，具备工作所需的信息安全知识和技能。

三、普通用户层信息安全培训

(一)对象：全局的普通计算机用户。

(二)内容：所在岗位的信息安全职责；计算机病毒预防和查杀的基本技能；计算机设备物理安全知识和网络安全常识； 《北京市地方税务局信息系统安全管理框架》下的所有普通用户应掌握和了解的制度内容。

(三)标准：使普通用户了解其信息安全职责，熟悉与工作相关的各项信息安全制度，具备工作所需的信息安全知识和技能。

信息安全管理体系培训 第6篇

本文分析了当前信息安全培训的体系结构和分类，重点以CISP培训为例研究了信息安全保障工作所需的基础、标准、法规、技术、管理和工程等领域的知识点和注册要求，最后给出了高校信息安全专业培训体系构建的相关建议。

信息安全是国家安全的基础和关键，在信息安全保障的三大要素(人员、技术、管理)中，管理要素的地位和作用越来越受到重视。面对越来越严重的安全威胁，不单在IT技术领域，各行业的企业组织都越来越意识到信息安全的重要性，但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题，因此这对当前高校的信息安全专业的人才培养也提出了更高的要求。

一、信息安全培训体系概况

信息安全培训作为高校信息安全专业教育的一种重要补充，主要用于解决学历教育和社会实践、社会认证培训的结合、信息安全人才培养不规范等问题。现有培训主要可分为四类。

第一，安全意识培训：其面向机构一般员工、非技术人员以及所有信息系统的用户，目的是提高整个组织普遍的安全意识和人员安全防护能力，使组织员工充分了解既定的安全策略，并能够切实执行。

第二，安全技能培训：其面向机构网络和系统管理员、安全专职人员、技术开发人员等，目的是让其掌握基本的安全攻防技术，提升其安全技术操作水平，培养解决安全问题和杜绝安全隐患的技能。

第三，安全管理培训：其面向组织的管理职能和信息系统、信息安全管理人员，目的是提升组织整体的信息安全管理水平和能力，帮助组织有效建立信息安全管理体系。

第四，认证资质培训：其针对特殊岗位所需的职能人员，包括审核部门、监管部门、信息保障部门等。通过提供国际信息安全相关认证考试的辅导培训，可以帮助人员顺利通过考试获得各类信息安全资质认证培训。

前三类认证主要依托专业的培训机构或安全设备厂商进行。第四类培训是当前培训的主体。

二、信息安全相关资质认证培训情况

资质认证类培训是针对资质认证特点和内容要求设计，依托专业机构进行的。一些认证的培训机构是由资质管理机构专门指定的。当前，信息安全相关资质认证主要分三类：

第一，国内以信息产业部，信息安全评测机构为代表的组织来管理实施的信息安全资格认证(或与国际组织联合颁发);这类的认证培训有：CISP培训、NCSE培训、CISM培训、INSPC培训、CIW认证培训等。

第二，由国外软件、网络产品厂商自己组织管理的产品专家认证(侧重于厂商产品、技术认证);相关的认证培训有：微软Microsoft认证培训、思科安全认证CCSP培训、趋势认证信息安全TCSE培训等。

第三，国际权威信息安全组织、研究部门或培训机构组来管理组织的国际化专业资格认证。相关的认证培训有：信息系统安全认证CISSP培训、信息安全管理体系主任审核员ISO 27001培训、国际注册信息系统审计师认证CISA培训、国际IT运营与服务管理资格认证ITIL培训等。

下面以CISP培训为例，分析其知识体系构建情况。

CISP即“注册信息安全专家”，是国家对信息安全人员资质的最高认可。其经由中国信息安全测评中心实施国家认证。CISP认证和培训赋予如下专业资质和能力：有关信息安全企业、咨询服务机构、测评认证机构、授权测评机构和企事业有关信息系统建设、运行和应用管理的技术部门和标准化部门必备的专业岗位人员。

在整个CISP的知识体系结构中，共包括信息安全保障概述、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规这五个知识类。 CISP知识体系以信息安全保障为主线，全面覆盖信息安全保障工作所需的基础、标准、法规、技术、管理和工程等领域。CISP培训知识体系结构共包含五个知识类，分别为：(1)信息安全保障概述：介绍了信息安全保障的框架、基本原理和实践，它是注册信息安全专业人员首先需要掌握的基础知识。(2)信息安全技术：主要包括密码技术、访问控制、审计监控等安全技术机制，网络、操作系统、数据库和应用软件等方面的基本安全原理和实践，以及信息安全攻防和软件安全开发相关的技术知识和实践。(3)信息安全管理：主要包括信息安全管理体系建设、信息安全风险管理、安全管理措施等相关的管理知识和实践。(4)信息安全工程：主要包括信息安全相关的工程的基本理论和实践方法。(5)信息安全标准法规：主要包括信息安全相关的标准、法律法规、政策和道德规范，是注册信息安全专业人员需要掌握的通用基础知识。

CISP的注册要求如下：

第一，教育与工作经历：硕士研究生以上，具有1年工作经历;或本科毕业，具有2年工作经历;或大专毕业，具有4年工作经历。

第二，专业工作经历：至少具备1年从事信息安全有关的工作经历。

第三，培训资格：在申请注册前，成功地完成了CNITSEC或其授权培训机构组织的注册信息安全专业人员培训课程相应资质所需的分类课程，并取得培训合格证书。

第四，通过由CNITSEC举行的注册信息安全专业人员考试。

三、信息安全专业培训体系构建的建议

1。构建完善的高校信息安全专业人才培训体系

传统的培训体系，比较侧重于知识和技能传授的过程控制，在对知识的共享、隐性知识的转换等方面，已经不能满足当前的要求，高校可以通过借鉴、学习CISP认证和培训体系结构和CISSP认证课程内容设置，从信安全岗位所需的基础、标准、法规、技术、管理和工程等领域来完善信息安 全专业人才培训体系。根据培训对象的不同将课程分为五种类型(层次)：操作层面的基本安全意识培训;

技术层面的各项安全技能培训;管理层面的信息安全管理培训;专家级的资质认证培训。当然在培训体系里面信息安全技术方面的培训仍然是重点，为了加强网络基础设施等新兴重点网络安全技术领域的培训，可以参考思科安全认证CCSP培训的模式，对当前使用的.防火墙、侵入检测、VPN、身份验证和安全管理等主流网络安全防护装备进行系统性的专题培训。

2。建立逐级培训的信息安全专业人才培训模式

当前信息安全技术的发展日新月异，信息化的网络攻防形式也发生着翻天覆地的变化，因此对于信息安全专业人员的培训，仅靠一两次培训是远远不够的，必须连续、有针对性的接受相应岗位和层次的逐级培训，才能保证知识、能力结构的不断优化和提高。在逐级培训过程中要明确不同职务、技术等级的不同要求，使得逐级培训过程级与级之间层次清晰又衔接有序。如果没有通过低级别的培训、认证，便不能参加后门高级别的培训。同时利用职业资格证、学历证书、执行证书等为牵引，通过多阶段培训、资格培训、升级培训使得知识结构、能力素质、岗位需求同步发展，取得相应的职业证书才能晋升上岗，否则不予任用。

3。通过合理的认证标准来动态更新和完善培训体系的目标任务