一、培訓簡介
信息資產的重要性
信息作為一種資產，是企業或組織進行正常商務運作和管理不可或缺的資源，也是企業財產和個人隱私等的重要載體。與此同時，信息安全的重要性也越加凸顯：從最高層次來講，信息安全關系到國家的安全；對組織機構來說，信息安全關系到正常運作和持續發展；就個人而言，信息安全是保護個人隱私和財產的必然要求。因此無論是個人、組織還是國家，保持關鍵信息資產的安全性都是非常重要的。
員工信息安全意識的重要性
對企業而言，信息安全保障的第一道防線就是員工的信息安全意識。因為人是信息安全中最活躍的因素，也是信息安全鏈中最薄弱的環節。但現實情況是，為企業帶來無法挽回的經濟損失的，恰恰是由于企業員工信息安全意識薄弱而導致的信息安全事件。比如：
☆ 95.3%的用戶曾經將自己的個人信息發布在網上；
☆ 僅有26.4%的人會定期給電腦做備份，不做備份和不定期做備份的比例共為73.6%；
☆ 針對日常辦公的應用，僅有14.5%的用戶設置的密碼都不一樣，還有14.8%的人所有密碼完全一樣；
☆ 58.6%的受訪者半年以上更換一次密碼，或者從不更換密碼；
☆ 50%的用戶對敏感數據沒有進行安全的分類和加密操作；
。。。。。。。。。。。。。
因此，提高企業員工信息安全意識現狀，普及企業員工信息安全知識，增強企業員工信息安全防范意識對企業信息安全而言具有非常重要的意義。

二、培訓收益
本課程通過剖析信息安全事件的典型案例，深度挖掘導致案件發生的根本原因，揭示案例本質。針對企業中廣泛存在的信息安全隱患提出防范對策及建議，增強企業員工對信息安全意識的重視，如個人信息與密碼的保護意識、數據安全意識、社會工程意識、終端安全意識、上網安全意識等。進而提高企業員工的信息安全意識水平，規范員工上網行為。以期達到強化意識、豐富知識、加強防范的目的。
了解信息安全基本概念，掌握信息安全加固技術，了解常見黑客攻擊方法，掌握信息安全管理體系建設ISMS,ISO/IEC 27001;學員具備提高企業信息安全的能力。

三、 培訓對象
與以往培訓主要針對從事網絡與信息安全的專業技術人員不同，信息安全意識培訓的面向對象是公司或企業的所有員工，也就是說只要是在日常工作或個人生活中使用計算機的人員均可參加。

四、培訓時長
共計2天，每天6課時

五、培訓大綱

模塊	名稱	內容
第一部分	信息安全講座-意識部分	信息安全的嚴峻現狀 網絡面臨的常見安全威脅 網絡安全案例分析 安全策略的制定與實施  建立對信息安全的敏感意識和正確認識  掌握信息安全的基本概念、原則和慣例 清楚信息安全可能面臨的威脅和風險  向管理要安全---遵守各項安全策略和制度（解析）  點滴行為決定安全----在日常工作中養成良好的安全習慣 如何全面提升整體的信息安全水平
第二部分	信息安全講座-技術部分	安全系統設計的基本理念 信息與網絡安全組件 常見黑客攻擊方法演示(黑客滲透全過程演示-掃描、嗅探、滲透、提權、后門安裝及偽裝、掃尾等；前門攻擊、后門攻擊、暴力破解、木馬攻擊等) 企業信息安全管理最佳實踐 安全管理原則 安全管理的實現
第三部分	ISO 27001信息安全管理體系建設	信息安全管理體系ISMS/ISO27001的收益 IT風險與信息安全的關系 信息安全技術、流程、管理 ISO 27000標準族 ISO 27001標準發展歷程 信息安全管理體系基本要素 ISO 27001標準內容條款 信息安全風險評估 風險管理概述與基本概念及框架 信息資產分類與分級 風險識別、風險分析、風險評價、風險處置 風險評估案例與實操 現狀調研階段、制度審核、現場訪談、技術評估走查審核
第四部分	ISO 27001信息安全管理體系落地實施	信息安全管理體系控制措施 信息安全方針、策略與目標 信息安全組織架構與職責 信息資產保護與信息分級 人力資源安全管理 物理環境與設備安全 通信安全 操作安全管理 密碼密鑰管理 訪問控制 符合性 關鍵控制措施實施案例

 
（注：大綱還可根據需求進行調整）