风险评估是实施信息安全管理体系的重要先决条件，基于风险评估才能使组织对当前的信息安全现状有一个系统全面的分析，找出潜在问题，分析原因，判断严重性和影响，以此来确定组织在信息安全方面的真正需求。

课程目标：

对于准备建立信息安全管理体系的组织，风险评估风险管理是基础工作。本课程在提供一套完整的风险分析方法，藉由学习如何将资产分级分类，并判断其价值与重要性，做出弱点及威胁分析，了解如何将风险管理与信息安全管理结合，进而以系统化的风险分析，做好信息安全的风险管理。

课程对象：

希望深入了解风险评估方法论的人士

信息安全部门主管或高阶主管，或是信息安全管理人员

公司内负责导入信息安全管理体系的人员

风险管理的分析与执行人员

有志成为信息安全管理体系顾问师的人员

课时：2天

课程大纲：

认识风险

风险管理及其组成要素

风险评估的重要性与ISO27001控制要点选择

资产分类与安全需求

脆弱性、威胁与风险对信息安全管理的影响

如何执行风险分析

风险评估案例演练

风险预评和业务冲击分析

建立信息安全风险管理体系

风险管理实务练习