等级保护培训
课程介绍
信息技术已成为企业发展重要的支撑平台;日益严重的安全威胁和系统的脆弱性使得IT风险成为企业心头大患;有效的风险管理将确保业务的连续,凸现IT部门的价值。
在金融风暴的影响之下,要想安然地度过这个“冬天”,各大企业必须得适时调整策略,充分利用IT技术提高管理效率,降低运营成本。在有限的投入情况下确保信息资产的安全和业务连续,是每个IT管理者必须思考的问题。因此,2015年度甫崎咨询联合国内知名信息安全专家举办“风险管理与内控”培训,旨在帮助各企事业单位建立完善的信息安全保障体系,增强组织的抗风险能力,有效进行IT审计,使之安然度过金融危机。
IT风险与内控培训基于ISACA(国际信息系统审计和控制协会)的Certified in Risk and Information Systems Control (CRISC)课程而开发。本课程全面深入讲解IT风险治理和风险管理、企业风险管理(ERM)、内控体系、持续监控和持续审计、10大IT风险领域实践。本课程可视为应对Enterprise Risk Management/Internal Control学习的对应课程,协助企业/组织应对包括SOX 404、Basel II/III、 FDA 21 CR 11、 King III等监管要求。知识面凌驾于COBIT 5和ISO 31000等传统风控体系框架学习。
培训对象
政府部门信息管理官员、企业领导、高级经理、IT经理、系统管理人员、IT安全管理人员、从事企业管理和质量管理的人员、审核员、咨询师等信息安全管理工作相关人员。
课程内容
|
时间
|
内 容 大 纲
|
|
第一天上午
|
风险治理
|
风险管理概述
|
|
风险与机会管理
|
|
IT风险管理相关的角色与职责
|
|
风险管理的框架、标准和实践
|
|
风险治理核心概念
|
|
第一天下午
|
风险识别、分析和评估
|
风险识别、分析和评估
|
|
IT通用风险场景(36类)
|
|
风险因素
|
|
风险评估方法
|
|
第二天上午
|
风险应对与风险监控
|
风险应对流程和方法
|
|
风险监控和关键风险指标(KRIs)
|
|
第二天下午
|
风险控制实践
|
IT规划风险
|
|
项目群和项目交付风险
|
|
供应商管理风险
|
|
信息安全风险
|
|
业务连续性管理风险
|
|
IT运营管理风险
|
|
塞班斯法规 (SOX 404) 合规案例深度剖析
|
|
第三天上午
|
信息系统控制设计和实施
|
COSO企业风险管理框架
|
|
内控设计考虑
|
|
系统开发生命周期和项目管理
|
|
第三天下午
|
信息系统控制监控和维护
|
内控监控的流程
|
|
关键信息的识别和评估
|
|
监控的工具
|
|
实施自动化监控工具
|
|
实施持续控制监控(CCM)
|