CISAW培训方案

cisaw信息安全保障人员安全集成认证培训教材
以下是cisaw信息安全保障人员安全集成认证培训教材：
基本性质教材：《信息安全技术》、《信息安全技术应用》和《信息安全实验》。

专业领域方向的教材：《软件安全开发》、《信息系统安全集成》、《信息安全管理》、《信息安全咨询手册》、《信息系统安全运维》、《信息系统安全审计》、《信息安全风险管理》、《网络攻防技术》、《业务连续性管理》、《云计算安全》、《物联网安全》和《工业控制安全》。

实践领域方向的教材：《电子政务安全》、《电子商务安全》、《交通服务信息安全》、《能源服务信息安全》、《医疗卫生信息安全》、《教育服务信息安全》、《金融服务安全》、《通信服务信息安全》、《宾馆服务信息安全》和《物流服务信息安全》。

以上信息仅供参考，建议咨询专业人士获取准确信息。

澳门国际仲裁培训计划一、澳门国际仲裁培训计划概述澳门是一个法治国家，其司法体系稳定健全，法律体系完备，对于仲裁行业的发展有着重要的支持和推动作用。

为了推进澳门国际仲裁专业化、国际化和网络化建设，提高仲裁人才的水平和专业素养，澳门国际仲裁培训计划应运而生。

本培训计划旨在通过多种形式的教学和培训活动，提升仲裁人员的专业知识和技能，增强他们的仲裁实践能力，培养具有国际视野和竞争力的国际仲裁专业人才。

二、澳门国际仲裁培训计划内容1. 培训课程设置本次培训计划将围绕以下课程展开：（1）仲裁基础理论：包括仲裁法律基础、仲裁程序、仲裁机构和仲裁员的基本角色等内容。

（2）国际仲裁实务：包括国际商事仲裁案例分析、国际仲裁规则解读、证据规则和仲裁裁决执行等实际案例分析。

（3）专业素养培养：包括仲裁员的职业道德和行为规范、听证技巧、仲裁调解等专业培养方面的内容。

（4）国际法律知识：包括国际商法、国际投资法、国际私法等国际法律知识的学习。

2. 培训方式本次培训计划将采用多种形式的教学和培训方式：（1）课堂教学：邀请国内外仲裁专家及知名法律学者进行专题讲座和培训，分享国际仲裁实务经验和案例分析。

（2）案例分析：组织学员进行案例分析讨论，提升学员对具体案例的分析和解决问题的能力。

（3）实地考察：组织学员参观国际知名仲裁机构，深入了解国际仲裁实务操作。

（4）模拟实践：通过模拟仲裁庭审等形式，加强学员的实际操作能力和沟通技巧。

3. 培训对象本次培训计划主要面向澳门国际仲裁领域的从业人员，包括澳门仲裁机构工作人员、仲裁员、律师、法官等相关从业人员。

三、澳门国际仲裁培训计划的意义和影响通过本次培训计划，将对澳门国际仲裁行业的发展产生积极的意义和深远的影响：1. 推动澳门国际仲裁行业的发展，提升仲裁专业水平和服务质量。

2. 提升澳门国际仲裁机构的国际竞争力和知名度，吸引更多的国际商事纠纷案件选择澳门作为仲裁地。

3. 增加澳门仲裁员的国际化视野和竞争力，提高澳门仲裁员在国际商事仲裁领域的声誉和地位。

《信息安全风险管理》力求从实践出发，介绍当前信息安全保障工作中的风险管理技术，适合申请认证考试人员或从事信息安全风险管理工作的人员使用。

全书共分为5章：
第1章概述。

本章从信息安全风险管理模型出发，阐述风险的起源、特性、要素及其关系和风险管理的基本概念；
第2章信息安全风险管理相关标准。

本章从信息安全风险管理标准出发，介绍ISO/IEC31000、ISO/IEC13335、ISO/IEC27005、卡内基梅隆、GB/T20984等相关标准的内容；
第3章信息安全风险评估实现。

本章关注风险管理中的风险评估这一核心要素，详细介绍了信息安全风险评估内容，按照风险识别、风险分析、风险评价这条主线展开论述，同时辅以部分实例进行说明；
第4章信息安全风险处置。

本章从风险处置的角度出发，详细阐述了风险处置的过程框架，并讨论了几种典型的风险处置措施及其应用；
第5章信息安全风险管理案例。

本章从整体出发，依照本书中第1章提出的风险管理模型，以一个实际项目作为案例，对整个风险管理的实施过程进行了论述。

《信息安全技术》是《信息安全风险管理》的配套教程，详细介绍了信息安全的基本概念和技术原理。

全书分上下册，共23章，包括信息安全基本概念、密码技术、身份认证、访问控制、信息隐藏、容错容灾、反垃圾邮件技术、存储
介质安全技术、恶意代码及防护、传输安全、机房环境、漏洞管理、主机安全、安全审计、取证技术、安全测试、安全编码、物理边界控制、防火墙技术、入侵检测、云计算安全和物联网安全。

第23课灾难恢复和应急响应一、背景和需求二、灾难恢复概念和内容三、应急响应概念和内容四、风险评估中的灾难恢复应急响应工作•软件漏洞逐渐增加•911事件–金融机构聚集的世贸大厦里的大量数据化为乌有。

纽约银行（Bank of New York）的数据中心被毁，通讯线路中断，缺乏灾备系统和有力的应急业务恢复计划，在一个月后不得不关闭一些分支机构，数月后不得不破产清盘。

•911事件–德意志银行（Deutsche Bank）早在1993年就制订了严谨可行可信的业务连续性计划（BCP），灾难发生后，德意志银行调动4000多名员工及全球分行的资源，短时间内在距离纽约30公里的地方恢复了业务运行，得到了客户和行业的好评–摩根士丹利（Morgan Stanley）在25层办公场所全毁，3000多员工被迫紧急疏散的情况下，半小时内就在灾备中心建立了第二办公室，第二天就恢复全部业务。

•灾难–由于人为或自然的原因，造成信息系统严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。

通常导致信息系统需要切换到灾难备份中心运行•灾难恢复–为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程•RPO–Recovery Time Objective •RTO–Recovery Point Objective•RPO–Recovery Time Objective–指灾难发生后，从IT 系统宕机导致业务停顿之时开始，到IT 系统必须恢复至可以支持各部门运作、恢复运营之时•RTO–Recovery Point Objective–指灾难发生后，要实现能够恢复至可以支持各部门业务运作，系统及生产数据必须恢复到怎样的程度•主系统（生产系统）–是指正常情况下支持组织日常运作的信息系统。

包括主数据、主数据处理系统和主网络•灾难备份系统–是指用于灾难恢复目的，由数据备份系统、备用数据处理系统和备用的网络系统组成的信息系统•主中心（主站点/生产中心）–是指主系统所在的数据中心•灾难备份中心（备用站点）–是指用于灾难发生后接替主系统进行数据处理和支持关键业务功能运作的场所，可提供灾难备份系统、备用的基础设施和专业技术支持及运行维护管理能力，此场所内或周边可提供备用的生产设施•信息系统灾难恢复规范（GB/T20988-2007）•《关于加强信息安全保障工作的意见》（中办发『2003』27号文）指出：“信息安全保障工作的要点在于，实行信息安全等级保护制度，建设基于密码技术的网络信任体系，建设信息安全监控体系，重视信息安全应急处理工作，推动信息安全技术研发与产业发展，建设信息安全法制与标准”•莫里斯蠕虫–Robert Tappan Morris–首个通过互联网传播的蠕虫–有6000台计算机遭到破坏，造成1500万美元的损失•CERT–计算机安全应急响应组（Computer Emergency Response Team）–专门处理计算机网络安全问题的组织•信息安全应急响应计划规范（GB/T 24363-2009）–信息安全事件–由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件–应急响应–组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施•《信息安全事件分级分类指南》GB/Z 20986-2007灾难恢复概念和内容分级要素系统损失社会影响信息系统重要程度•我国信息安全事件分级方法（GB/Z 20986）–特别重大事件–指能够导致特别严重影响或破坏的信息安全事件–重大事件–指能够导致严重影响或破坏的信息安全事件–较大事件–指能够导致严重影响或破坏的信息安全事件–一般事件–指不满足以上条件的信息安全事件，包括以下情况：–会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失，一般信息系统遭受严重或严重以下级别的系统损失–产生一般的社会影响•应急响应方法论–第一阶段：准备–第二阶段：检测–第三阶段：遏制–第四阶段：根除–第五阶段：恢复–第六阶段：跟踪总结•工作手段–访谈–调查表–人工检查•检查内容–需求和合规性–是否建立相关组织–是否建立相关制度和处理规范–是否部署相关设备和系统–是否进行过演练Thank you!感谢聆听。

第24课项目管理一、项目管理概念和内容二、风险评估项目管理三、风险评估项目成功关键要素四、示例•在了解什么是项目管理之前，先简单地说什么是项目，举办一次展览会、开发一种新产品、建一个新小区、企业制定一个新战略等都可以称之为一个项目。

•什么是项目管理？–项目管理就是指把各种知识、技能、工具和技术应用于项目活动中，以达到项目的要求。

项目管理通过应用和综合诸如启动、规划、实施、监控和收尾等项目管理过程来进行组织单位Organization Unit固定预算Fix Budget 固定时间Fix Time按一定的技术标准Quality Assurance资源的利用Resource Utilization交付结果Delivery Result•项目的定义•项目特点–a) 具体的起始时间（The exact starting time)–b) 具体的终止日期（The exact finishing date)–c) 严格定义的最终目标（The exact definition of the final goal)–d) 只发生一次（Only one time)–e) 包含有时间（T），质量（Q）和成本（C）的详细计划（Including Time, Quality and Cost)–f) 有具体的结果（The exact Result)–g) 随时都具有的风险性（Full of the Risk)•项目生命周期•作为项目进行管理–合理安排项目的进度，有效使用项目资源，确保项目能够按期完成，并降低项目成本。

•降低项目风险，提高项目实施的成功率。

项目管理中重要的一部分是风险管理，通过风险管理可以有效降低项目的不确定因素对项目的影响。

•项目管理内容风险评估项目成功关键要素•项目成功的要素–领导重视–人、财、物的支持–时间安排–合理安排时间和进度–团队合作–加强项目的团队合作，提高项目团队的战斗力–风险管理–降低项目风险，提高项目实施的成功率–项目控制–增强项目的可控性（需求变更控制、范围控制）•按照项目进行管理–按照项目管理理论进行组织，依照生命周期进行管理•加强沟通•合法合规–项目来源合法合规–项目实施合法合规要素——风险评估项目成功的关键要素（1）•工作原则–最小影响原则–安全可控原则–标准指导原则–保密性原则–可重复原则•加强文档记录和签署–内部会议纪要、协调会议纪要、会议签到表–安全评估实施方案、同意实施意见单–文件（设备）移交清单、文档接收和归还确认单–安全检查与测试委托书、安全扫描委托书、评估工具清单–项目日报、资产/脆弱性/威胁报告、风险评估报告Thank you!感谢聆听。