CIMA-EY全球网络安全认证培训内容介绍（二）

CIMA特许管理会计师公会成立于1919年，是世界上最大的管理会计师认证、管理和监督的机构，特许管理会计师公会（CIMA）与美国注册会计师协会（AICPA）联合创建了全球特许管理会计师（CGMA）头衔，本次全球网络安全认证项目由CIMA与安永合作，配合AICPA的网络安全课程及安永的师资力量，介绍网络安全基础知识，同时邀请我国信息安全相关立法领域及标准制定领域的核心起草专家、权威学者进行现场授课，对网络安全法规及标准作出全面、准确的解读。

根据安永年度信息安全调研的结果：

根据预估，到 2021 年，网络攻击所造成的总损失将高达 6 万亿美元。您可以做些什么以确保您的组织为 2020 年及以后的网络攻击做好了准备？

组织需要从三个层面考虑信息安全：

1.保护企业：

专注于识别资产和建立防线

2.优化网络安全：

减少低回报活动，提高效率，并在新兴和创新技术领域重新安排投资资金，以加强现有保护

3.实现增长：

从设计层面嵌入安全，如大多数组织关心的数字化转型的关键成功因素

上一期，我们介绍了信息安全术语，参见全球网络安全认证项目内容介绍（一），本期，我们将介绍信息安全框架、信息安全风险管理及信息安全业务。

信息安全框架

美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）的网络安全框架（Cyber Security Framework，CSF）可用于理解、管理及展现网络安全风险，从识别风险开始，通过部署安全措施以确保提供基础服务，及时发现网络安全事件并对该事件及时响应，随后恢复正常业务运营，以此为循环。

另外较为常见的信息安全框架为英国标准协会（British Standard Institution, BSI）提出的ISO/IEC27001信息安全管理要求，在部署该信息安全管理体系时需要考虑以下因素：

1.第三方安全管理：

了解第三方安全管理的业务及监管要求

2.信息安全事件管理：

统一相关部门之间的信息安全事件处理流程

3.数据分类分级及保护：

在业务和法规要求的基础上建立敏感数据保护方法

4.安全意识培训：

为不同级别或职能的员工提供对应的信息安全意识培训

常用的信息安全框架标准包括但不限于下列标准：

信息安全风险管理

为了保护信息和信息系统免受网络安全威胁，可以参考以下方法：

• 确定哪些信息需要保护
• 定义企业可能遭受的风险和威胁
• 定义每个威胁发生的可能性
• 确定每个威胁的潜在影响
• 确定组织面临的每个威胁风险水平
• 实施和运行安全政策、流程和工具，以保护企业的信息资产免受这些风险的侵害

美国注册会计师协会（AICPA）制定的网络安全风险管理认可描述标准可帮助企业分析其业务和运营的特性，评估其网络安全风险管理计划的完整性和有消息，从而客观地反映企业网络安全风险管理水平。

信息安全业务

网络安全投入带来的价值

1. 减缓已识别的网络安全风险
2. 保护传输、存储以及使用中的个人识别信息（PII）和个人健康信息（PHI）
3. 作为商业优势，通过网络安全来提升顾客心目中的公司形象

网络安全事件的代价

网络安全风险管理专业人员需要证书，就像财务和公共会计专业人员一样。

企业可能有现有的网络安全部门或正在考虑创建一个安全部门，作为一个从业者或管理层，您应该知道基于角色的组织架构和您在整个组织架构中所支撑的职能。

下期介绍：数字化新常态下的IT审计变革、网络安全法介绍和等级保护2.0解读。

本次培训将在三个地点进行：

• 上海：12月5日 – 12月6日
• 深圳：12月12日 – 12月13日
• 北京：12月19日 – 12月20日

培训售价每人人民币13,980元*，在11月21日前注册更可享受优惠价每人人民币11,980元！完成线上及线下培训即可获得全球信息安全基础认证证书。

*培训价格不含食宿，可开具培训发票。

报名注册*

请访问下方链接报名：

http://ey.blue-dot.cn/conferenceplatform/public/index/index/index/c/322

*您所提供的信息将仅用于培训注册及联系，本申请提交后我们的培训专员会与您联系。如有其他疑问，欢迎咨询Aileen Zhao (aileen-wj.zhao@cn.ey.com）。