ISO 27001 網路安全管理員指南

應用 ISO/IEC 27001 實施網路安全。理解並應用網路安全計畫( cybersecurity program )的需求。

課程介紹影片

從這 4 小時的課程，你會學到

網路安全的原則和概念
威脅和漏洞
風險與控制
一個成功的網路安全計畫的最佳實踐
如何實施 ISO/IEC 27001 需求到網路安全
常見的攻擊，它們如何運作，以及如何防止它們

要求

熟悉資安概念
對資訊科技有一般的認識

課程說明

本課程旨在為應用 ISO 27001 (資訊保安管理系統的常用標準)提供網路安全指引。

完成本課程，你將對組織設計網路安全系統的概念、原則和要求有很好的理解。

你將瞭解不同活動和過程的典型安全威脅是什麼，以及組織為了響應和保護自身可以實現的建議控管。

該課程的結構包括:

介紹性內容，包括網路空間( Cyberspace )和網路安全( Cybersecurity )的定義。
保密性、完整性、認證和不可否認性的概念是任何保安系統的重要元素;
資訊分類 – 計劃、級別和標籤方面
威脅、脆弱性、風險評估(定量和定性方法)和組織應對安全風險的選擇。
內部組織要求，包括最高管理層的支援和職責分工;
在行動裝置方面-像 BYOD (Bring Your Own Device，攜帶自己的裝置)和 COPE (Company Owned Personally Enabled，公司擁有個人啟用)
人力資源的保全 – 從篩選到就業、合同要求和紀律上的程序以及僱用的終止和變更
要求使用可移除的媒體
接觸控管和認證方面，以及如何管理特權，避免其產生安全漏洞
加密技術 – 包括基本要素及定義、數位簽署及公開密鑰基礎建設
最常見的加密攻擊(蠻力攻擊、彩虹表或生日攻擊)的簡短描述和推薦控制
涉及人身安全和裝置的控制
惡意軟體方面(病毒、邏輯炸彈、蠕蟲、木馬、間諜軟體、廣告軟體和勒索軟體的詳細說明)
阻斷服務攻擊（denial of service attacks，簡稱 DoS 攻擊）亦稱洪水攻擊
社交工程( social engineering ) 及釣魚式攻擊 ( phishing )
密碼管理方面，包括常見的密碼攻擊和控制
備份方面
組織內的變更管理程序的需求，以免影響安全性
網路保安方面 – 原理及控制 + 無線攻擊及如何防止
電郵保安要求
開發過程中的安全
供應商關係與讓供應商接觸組織中資訊資產的相關風險管理
容量管理
管理資安事故 – 從偵測到關閉和根本原因分析
業務連續性方面以及一個組織應如何準備和應對危機局勢
任何組織都必須遵守的法規要求。