信息安全管理培训
- 格式:ppt
- 大小:1.35 MB
- 文档页数:61


信息安全培训
信息安全培训(information security training,ist)服务,是安针对一般客户不同层次的安全意识和培训需求而定制的专业培训服务。通过ist服务,金电网安专业的培训人员将向客户传授从一般性的安全意识、到具体的安全攻防操作、再到高级的信息安全管理在内的全方位的安全知识和技术,从而提升客户在信息安全实践当中“人”这个决定因素的关键作用,为有效的信息安全提供保障。
ist服务的实施对象是客户组织中不同层次的信息安全相关人员,通常被分成一般用户、技术管理员和操作人员、管理决策人员。
依据不同的人员层次(信息系统的普通用户,信息和网络系统的管理员,信息安全主管和管理层),ist服务设置了5类培训内容:
安全意识培训:面向组织的一般员工和非技术人员,目的是提高整个组织普遍的安全意识和人员安全防护能力,使组织员工充分了解既定的安全策略。
安全技术培训:面向组织的网络和系统管理员、技术开发人员等,目的是让其掌握基本的安全攻防技术,提升其安全技术操作水平,培养解决安全问题和杜绝安全隐患的技能。 安全管理培训:面向组织的最高管理层和信息安全管理人员,目的是提升组织整体的信息安全管理水平和能力,帮助组织有效建立信息安全管理体系。
专项安全培训:向客户提供一些已经成熟的、标准化的、针对某项特殊需求的培训项目,包括以下类别:
黑客攻防技术培训:时间是络和系统管理员、安全管理员、安全操作人员等,目的是提升组织辨别并处理黑客攻击事件的能力,为有效应对攻击做好准备。LOcAlhosT内容主要包括:tcp/ip协议栈安全性分析、典型的黑客攻击手段及相应的防护策略、典型的攻击案例分析、典型的漏洞剖析、系统安全配置要点、经典的安全攻防实验。
bs7799标准培训:2天基础课,5天主任审核员培训课程。bs7799是国际上最为流行的信息安全管理标准,大有与当年iso9000系列标准一样风光之势,是企业进行信息安全建设和管理的最佳依据。本培训项目针对企业各级管理层、it部门负责人及安全管理人员,目的是让其充分理解并掌握bs7799标准的核心思想和主要内容,并学会从最高层次全面考虑信息安全问题的思维及行为习惯。
1. 人员安全管理规定
1.1. 总论
第一条 人员安全管理包括人员录用、岗位人选、人员转岗和离岗、人员考核、人员惩戒、人员教育和培训以及外部人员访问管理。
1.2. 人员考核
第二条 由信息中心每年对所有岗位人员进行安全考核,并注意以下安全要求:
(一)应对所有人员进行安全意识考核;
(二)对涉及信息安全管理、检查和执行的岗位人员,应定期进行安全技能的考核,包括安全管理知识的掌握程度、所管理业务系统中安全产品的操作技能、所管理业务系统中使用的操作系统和应用软件的安全使用等;
(三)应将发生的安全事故、安全检查结果和安全审计结果纳入考核内容。
第三条 安全考核结果应进行存档,以便查询。每次考核后,都应与上次考核进行对比。
第四条 对于考核中发现有违反信息安全法规行为的人员或发现不适于承担信息安全关键岗位的人员要及时调离岗位。
第五条 信息中心应每年对信息安全保护关键岗位的人员根据职责进行一次考评,没有重大违反信息安全法规行为,考评合格的,主管部门签署意见,盖章,存入个人档案作为年度绩效考核的指标之一。
1.3. 人员惩戒
第六条 当人员违反安全策略和规定时,依照其违规程度及影响,适度进行惩戒。
第七条 如其处室领导未尽监管职责,则负连带责任。
第八条 如该安全违规涉及法律层面,则可追究该人员的刑事责任。
1.4. 人员教育和培训
第九条 由信息中心制定培训计划实施信息安全教育和培训工作,培训计划应注意在覆盖全员的前提下分层次、分阶段,循序渐进地进行(附件1)。分层次培训是指对不同层次和不同岗位的人员,如对管理层(包括决策层)、信息安全管理人员,系统管理员和所有人员开展有针对性和不同侧重点的培训。分阶段培训是指在信息安全管理体系的建立、实施和保持的不同阶段,实施不同的培训内容。
第十条 通过信息安全教育和培训,南沙区政数局各级领导及员工应明确了解信息安全管理体系,并明确各自在体系中的安全职责,明确自身对于维护保障信息系统正常、安全运行所需承担的相关责任和义务。
1 / 3
信息安全培训考核管理规范
第一章总则
第一条为加强XX公司信息安全培训管理工作,提高员工安全防护意识和能力,依据有关法律、法规及信息安全标准,特制定本规范。
第二条本办法适用于《XXXX》大数据管理服务中心人员安全培训考核管理工作。
第二章培训、考核管理领导机构和执行机构第三条XX公司领导小组(以下简称领导小组)为《XXXX》信息安全相关人员培训、考核的领导机构。
第四条信息安全人员培训考核执行机构为XX运维部。
第五条信息安全培训考核执行机构的主要职责如下:(一)制定每年信息安全培训计划,联系相关培训部门和讲师,召集各单位和部门培训人员;
(二)对培训材料和大纲进行审核,对培训质量进行把控;
(三)对参与培训的人员进行考核和记录。
第三章安全知识和技能培训
第六条运维部每年定期对各部门人员进行下列信息安全知识和技能的培训:
(一)信息安全法律法规及行业规章制度的培训;(二)信息安全意识培训;
(三)信息安全基本技能的培训;
(四)对系统建设、运维人员和数据安全从业人员的专项技能培训。
第七条各部门员工应定期进行信息安全法律法规、安全意识和基本技能的培训和考核(至少每年一次),信息安全人员及关键岗位人员还需进行专项技能的培训和考核。
2 / 3
第八条定期派遣信息安全骨干人员参加国家或行业内的信息安全技能培训和资质考试。
第四章安全意识教育
第九条由运维部负责制定人员信息安全意识教育计划,详细规定人员意识教育的内容、方法和过程。
第十条安全意识教育包括信息安全基础知识、各类人员的安全责任和惩戒措施等。
第十一条采用常规宣传、短期培训等方式,每年至少一次对所有人员进行安全意识教育。
第十二条安全意识教育应进行必要的考核(至少每年一次),并将考核结果及日常情况进行记录、保存,作为人员考核的内容之一。
第五章关键岗位人员的培训与考核
第十三条关键岗位的人员,除进行安全意识培训与考核外,还应进行专项技能的培训和考核。第十四条对关键岗位人员应实行定期考查制度,关键岗位人员应定期接受专项安全培训,加强自身安全意识和风险防范意识。
XXXXXX
信息安全培训管理办法
文档信息
基本信息
文档名称 信息安全培训管理办法 保密级别 内部
文档编号 XX-ISMS-III-11 牵头部门 信息安全领导小组
分发范围
版本修订
生效日期 版本号 版本说明 制作 复审 批准
2016.1.1 1.0 初稿
目录
1. 总则 .............................................................................................................................................. 1
1.1 目的 .............................................................................................................................................. 1
1.2 适用范围 ...................................................................................................................................... 1
2. 培训类别 ...................................................................................................................................... 1
3. 培训工作的组织实施 ................................................................................................................... 2