一、培训简介
信息资产的重要性
信息作为一种资产，是企业或组织进行正常商务运作和管理不可或缺的资源，也是企业财产和个人隐私等的重要载体。与此同时，信息安全的重要性也越加凸显：从最高层次来讲，信息安全关系到国家的安全；对组织机构来说，信息安全关系到正常运作和持续发展；就个人而言，信息安全是保护个人隐私和财产的必然要求。因此无论是个人、组织还是国家，保持关键信息资产的安全性都是非常重要的。
员工信息安全意识的重要性
对企业而言，信息安全保障的第一道防线就是员工的信息安全意识。因为人是信息安全中最活跃的因素，也是信息安全链中最薄弱的环节。但现实情况是，为企业带来无法挽回的经济损失的，恰恰是由于企业员工信息安全意识薄弱而导致的信息安全事件。比如：
☆ 95.3%的用户曾经将自己的个人信息发布在网上；
☆ 仅有26.4%的人会定期给电脑做备份，不做备份和不定期做备份的比例共为73.6%；
☆ 针对日常办公的应用，仅有14.5%的用户设置的密码都不一样，还有14.8%的人所有密码完全一样；
☆ 58.6%的受访者半年以上更换一次密码，或者从不更换密码；
☆ 50%的用户对敏感数据没有进行安全的分类和加密操作；
。。。。。。。。。。。。。
因此，提高企业员工信息安全意识现状，普及企业员工信息安全知识，增强企业员工信息安全防范意识对企业信息安全而言具有非常重要的意义。

二、培训收益
本课程通过剖析信息安全事件的典型案例，深度挖掘导致案件发生的根本原因，揭示案例本质。针对企业中广泛存在的信息安全隐患提出防范对策及建议，增强企业员工对信息安全意识的重视，如个人信息与密码的保护意识、数据安全意识、社会工程意识、终端安全意识、上网安全意识等。进而提高企业员工的信息安全意识水平，规范员工上网行为。以期达到强化意识、丰富知识、加强防范的目的。
了解信息安全基本概念，掌握信息安全加固技术，了解常见黑客攻击方法，掌握信息安全管理体系建设ISMS,ISO/IEC 27001;学员具备提高企业信息安全的能力。

三、 培训对象
与以往培训主要针对从事网络与信息安全的专业技术人员不同，信息安全意识培训的面向对象是公司或企业的所有员工，也就是说只要是在日常工作或个人生活中使用计算机的人员均可参加。

四、培训时长
共计2天，每天6课时

五、培训大纲

模块	名称	内容
第一部分	信息安全讲座-意识部分	信息安全的严峻现状 网络面临的常见安全威胁 网络安全案例分析 安全策略的制定与实施  建立对信息安全的敏感意识和正确认识  掌握信息安全的基本概念、原则和惯例 清楚信息安全可能面临的威胁和风险  向管理要安全---遵守各项安全策略和制度（解析）  点滴行为决定安全----在日常工作中养成良好的安全习惯 如何全面提升整体的信息安全水平
第二部分	信息安全讲座-技术部分	安全系统设计的基本理念 信息与网络安全组件 常见黑客攻击方法演示(黑客渗透全过程演示-扫描、嗅探、渗透、提权、后门安装及伪装、扫尾等；前门攻击、后门攻击、暴力破解、木马攻击等) 企业信息安全管理最佳实践 安全管理原则 安全管理的实现
第三部分	ISO 27001信息安全管理体系建设	信息安全管理体系ISMS/ISO27001的收益 IT风险与信息安全的关系 信息安全技术、流程、管理 ISO 27000标准族 ISO 27001标准发展历程 信息安全管理体系基本要素 ISO 27001标准内容条款 信息安全风险评估 风险管理概述与基本概念及框架 信息资产分类与分级 风险识别、风险分析、风险评价、风险处置 风险评估案例与实操 现状调研阶段、制度审核、现场访谈、技术评估走查审核
第四部分	ISO 27001信息安全管理体系落地实施	信息安全管理体系控制措施 信息安全方针、策略与目标 信息安全组织架构与职责 信息资产保护与信息分级 人力资源安全管理 物理环境与设备安全 通信安全 操作安全管理 密码密钥管理 访问控制 符合性 关键控制措施实施案例

 
（注：大纲还可根据需求进行调整）