数字化时代企业业务运营与信息风险分析OPEN FAIR最佳实践

第一天上午
Part 1 企业信息风险概述
1. 课程简介
2. 数字化时代存在的信息风险管理问题
3. 企业信息风险的常见事件
4. 企业信息风险的主要种类
5. 信息风险与业务连续性
6. 应急响应与灾难恢复的困局
7. 全面风险管理的必要性与必然
8. 信息风险分析趋势及需求
第一天下午

Part2 开展信息风险顶层设计
1. 标准化的信息风险风险方法
2. 风险管理基本概念
3. 业务安全与信息安全的关系
4. 企业信息安全能力蓝图
5. 开展信息风险管理框架设计
6. 开展信息风险治理架构设计
7. 风险管理与信息安全的保障
8. 基于 OPEN FAIR 的信息风险分析
第二天上午
PART3 做好信息科技风险规划
1. 信息科技风险管理通用框架-OPEN FAIR
2. 规划信息科技风险管理方法
3. 设置业务连续性目标与原则
4. 设置信息风险总体目标构成
5. 设计信息风险评估体系
6. 规划信息风险应急处置
7. 定期开展信息风险监控
第二天下午
PART4 构建风险评估度量与控
制体系
1. OPEN FAIR 体系下的评估方法
2. 风险度量
? 校准
? 分布
? 最可能的值
? 蒙特卡罗
? 会计的不确定性
? 准确度和精密度
? 主观性与客观性
? 如何获得漏洞
3. 全生命周期的风险评估过程
4. 信息化顶层设计下风险评估
5. 信息系统建设过程风险评估
6. 信息服务运营过程风险评估
7. 风险评估的主要流程与步骤
第三天上午
PART5 FAIR风险分析过程
1. 信息风险分析的角色假定
2. 风险分析中的场景定义
? 识别有风险的资产
? 识别威胁的沟通
? 识别风险事件
? 场景解析
? 确定与定义场景目标
3. 文档记录原理
? 什么是度量理论
? 如何应用度量理论
4. 选择抽象级别
? 使用高级别或低级别抽象的原因
? 数据质量
? 定义需求格雷文
5. 人力资源分析场景的例子
6. 如何识别潜在信息来源的各种风险因素
7. 故障风险分析的方法
第三天下午
Part6 风险结果的解释与沟通
1. 风险分析结果解释
? 主要损失事件
? 主要损失大小
2. 风险分析结果传达
? 结果检验
? 将定量结果转化为定性陈述
? 损失的容忍度和承受能力
3. 基于风险分析的业务案例
? 业务中的风险定义
? 业务中的风险管理成熟度
4. 如何融合其他风险评估框架
? FAIR 与 ISO/IEC 270054
? FAIR 与 COBIT
Part7 建设风险组织执行考核
1. 设置信息科技风险管理委员会
2. 设置信息科技风险经理的角色
3. 设置信息科技风险管理的岗位
4. 开展信息科技风险工作的考核

李老师 企业IT服务运营与企业架构专家。北京大学 光华管理学院工商管理硕士。商业模式设计与创新、企业战略管理、业务运营管理、企业架构规划专家。12年国际一线咨询公司就职经历，曾参与华为技术、宝马中国、四川水电等大型机构数字化服务运营规划设计工作，曾参与中国建设银行、中国交通银行、中国进出口信用保险公司、中国招商银行、上海证券交易所、中央结算公司、中国联通、华为技术、联想中国、中国铁建等知名机构企业信息化架构规划咨询工作，曾协助中央结算公司、中国铁建组建集团信息科技公司。

武老师 10年的网络安全风险管理和咨询工作经验，熟悉ISO27001、等级保护、COBIT、工业物联网以及ITIL等标准体系和最佳实践，熟悉各类安全工具技术知识以及策略配置，前谷安天下CISSP、CISA、ISO27001、信息科技风险培训讲师。擅长网络安全规划以及网络运营落地推进，涉及内容包括网络安全架构设计和规划、管理体系建设和安全流程、合规（ISO27001、等级保护、网络安全法等）审计、IT治理（Cobit、ITIL）、工控安全、风险管控、应用系统生命周期安全管控、安全培训和意识宣贯、安全产品实施方案（如SOC选型、防火墙、堡垒机等）以及安全策略和配置基线审计和优化等，为企业提供长期的信息安全咨询、运营和培训服务。面向的客户涉及央企、金融、城市管网、生产制造、电力、运营商等客户。

各有关企业IT总监、IT高级经理、IT咨询顾问、IT支持专家；信息安全经理、信息系统管理专业人士；内部/外部信息系统审计师和质量流程控制人员；其他息风险相关人员等。