江苏省电子信息产品质量监督检验研究院(江苏省信息安全测评中心)成立于1973年,隶属于江苏省工业和信息化厅,是国家物联网产品及应用系统质量检验检测中心的法人单位,是省工信厅、省委网信办、省国家密码管理局等单位的技术支撑机构,是一个专门从事电子信息产品质量检验、网络安全测评、软件测试、密码测评、计量校准、认证评审、网络安全培训与咨询的第三方科研型检测机构。自2012年起,先后承办省/市各级主管部门组织的各类网络安全竞赛、网络安全应急实战演练、网络安全培训300余场次。
联系地址:无锡市滨湖区金水路100号
培训联系人:刘缇萦 联系电话:13656190621
(1)从事网络安全技术岗位人员60余人,其中含15名专职讲师,具备CISP、数据安全官、密码技术应用员等专业认证。
(2)联合中国网络安全审查认证和市场监管大数据中心、安恒信息、中国信通院上海工创中心等机构,组建15人外部专家智库。
(3)形成“理论学者+攻防专家+法律顾问”的三维师资体系,资质覆盖检测/认证/培训全链条。
(1)以“合规性+实战性+行业性”为主线,搭建知识普及、技能提升、实战演练三维课程矩阵,覆盖了从基础理论到实战技能的全链条培训需求。
(2)涵盖40余门专业课程:
知识普及类:网络安全形势、法律法规、防护意识等;
技能提升类:风险评估、安全运维、密码应用等;
实战演练类:渗透测试、CTF攻防、应急响应等。
另外,还开设了数据安全治理、工业互联网安全、人工智能安全全景治理等特色课程。
(1)本部资源:位于无锡市金水路100号,占地面积28800㎡,为自有产权场地。其中,实训场地为700㎡,配备网络靶场、渗透测试平台及工业控制系统仿真环境;培训场地为350㎡,配备智能教学设备,支持线上线下混合式教学。
(2)联合基地:整合行业资源共建300㎡人才培养基地,形成分布式实训网络。
CTF 夺旗赛实战特训
1)赛题拆解:剖析 CTF
常见题型(Web、Reverse、Pwn、Crypto、Misc)解题思路;
2)技巧速成:传授快速定位漏洞、逆向分析、密码破解等实用夺旗技巧;
3)模拟对抗:开展线上 CTF
模拟赛,还原真实竞赛场景,积累实战经验。
模块一:CTF 基础知识
1)CTF 竞赛规则与评分机制
2)编程语言与工具基础
3)密码学与编码知识
4)CTF 竞赛团队协作模式与分工技巧
5)常见 CTF 平台功能与使用指南
模块二:分题型专项训练
1)Web 安全类题目突破
2)逆向工程与二进制漏洞利用
3)密码学与杂项题目解题方法
模块三:CTF 模拟实战
1)限时模拟竞赛
2)赛后复盘与经验分享
3)CTF 赛后技术成果转化与经验沉淀方法
10 学时(10 节课,每节课 50 分钟)
支持定制化需求
渗透测试进阶培训
1)攻防结合:深度解析渗透测试技术与防御加固策略,培养攻防兼备思维;
2)工具实战:结合 Burp Suite、Nmap
等主流工具,覆盖从漏洞扫描到权限提升全流程;
3)行业适配:针对 Web 应用、移动
APP等不同场景开展专项渗透训练。
模块一:渗透测试基础理论
1)渗透测试概念与法律规范
2)网络安全漏洞分类与原理
3)信息收集方法与技巧
4)渗透测试中的信息泄露风险与防范
5)渗透测试行业的发展趋势与前沿技术
模块二:渗透测试技术实践
1)Web 应用漏洞挖掘
2)系统权限提升与维持
3)移动 APP 渗透技术
4)逻辑漏洞挖掘
5)云服务权限滥用攻击
模块三:渗透测试综合项目
1)企业级网络渗透模拟
2)渗透测试报告撰写与修复建议
3)渗透测试中的权限维持与后门清除
4)渗透测试项目中的文档规范与模板使用
8 学时(8 节课,每节课 60 分钟)
支持定制化需求
网络安全实战演练集训
1)全场景模拟:构建企业内网、云环境、工控系统等多场景实战环境;
2)角色代入:设置红蓝对抗角色,体验攻击方突破防线与防守方应急响应全过程;
3)实时反馈:配备专业导师实时点评,针对性提升攻防实战能力。
模块一:实战演练基础
1)红蓝对抗规则与流程
2)攻击与防御策略制定
3)演练环境搭建与工具准备
4)红蓝对抗中的情报共享与分析流程
5)网络安全演练中的风险预案制定
模块二:分场景实战演练
1)企业内网渗透与防御
2)云平台安全攻防
3)工业控制系统安全对抗
模块三:演练复盘与总结
1)攻击路径分析与防御优化
2)安全事件溯源与取证
8 学时(8 节课,每节课 60 分钟)
支持定制化需求
网络安全法律法规深度解析
1)法规全面:系统梳理国内网络安全核心法律法规,紧跟立法动态;
2)实务结合:剖析法律条款在实际场景中的应用要点。
模块一:网络安全法律基础
1)网络安全法核心条款解读
2)数据安全法重点内容剖析
3)个人信息保护法要点阐释
模块二:行业法规与合规要求
1)工业和信息化领域数据安全合规标准
2)关键信息基础设施保护条例分析
模块三:法律风险防范与应对
1)企业网络安全法律风险识别
2)企业网络安全法律风险的定期评估与审计
3 学时(3 节课,每节课 40 分钟)
支持定制化需求
网络安全应急模拟实战特训
1)情景逼真:构建高还原度网络安全突发事件场景,沉浸式训练应急能力;
2)动态调整:根据学员表现实时改变模拟事件走向,提升应变能力。
模块一:应急模拟基础
1)应急模拟目标与原则
2)模拟场景设计方法
3)应急模拟角色分工
4)网络安全应急响应中的沟通协调机制
5)应急模拟中的资源调度与优先级确定
模块二:典型场景模拟演练
1)DDoS 攻击应急模拟处置
2)网站篡改事件模拟应对
3)勒索软件攻击的解密尝试与数据恢复
4)威胁的检测与应急处置
模块三:模拟复盘与优化
1)应急模拟过程问题分析
2)模拟结果评估与改进
3)应急响应方案优化策略
4)应急模拟中的人员能力评估与培训
8 学时(8 节课,每节课 60 分钟)
支持定制化需求
高级网络攻防技术精讲
1)技术前沿:讲解最新攻防技术与工具,掌握攻防核心技巧;
2)攻防双向:既学习攻击技术,也深入了解防御策略,提升综合能力。
模块一:网络攻防基础理论
1)网络攻击原理与分类
2)常见网络防御机制
3)漏洞挖掘与利用基础
4)网络攻击的社会工程学原理
模块二:攻击技术实战
1)SQL 注入攻击与防御
2)XSS 跨站脚本攻击技巧
3)缓冲区溢出攻击实践
4)内存马的植入与检测
5)供应链攻击的渗透测试方法与案例
模块三:防御体系构建
1)入侵检测与防御系统部署
2)网络安全防御中的威胁情报共享与联动响应
8 学时(8 节课,每节课 60 分钟)
支持定制化需求
高强度红蓝对抗实战课程
1)对抗激烈:红蓝双方真实对抗,在实战中提升攻防水平;
2)专家复盘:对抗结束后由行业专家深度复盘,总结经验教训。
模块一:红蓝对抗基础
1)红蓝对抗规则与流程
2)红蓝双方角色与职责
3)对抗目标与评分标准
4)红蓝对抗中的欺骗防御技术
模块二:实战对抗演练
1)红队渗透测试与攻击策略
2)蓝队监测预警与应急响应
3)多轮攻防对抗实战
4)红队的鱼叉式钓鱼攻击与社工技巧
5)蓝队的网络流量异常行为分析与溯源
6)红蓝对抗中的云环境攻防实战
模块三:对抗总结与提升
1)红蓝对抗过程技术分析
2)攻防策略优化建议
3)个人能力提升规划
4)红蓝对抗中个人技术短板的识别与弥补计划
5)未来红蓝对抗技术发展趋势与预测
8 学时(8 节课,每节课 60 分钟)
支持定制化需求
数据分类分级教程
1)真实案例:以真实案例为基础,展示分类分级方法;
2)系统全面:充分分析法律法规,技术底层原理,理论实践相结合;
3)问题导向:以解决实际问题为目标,解答实践中重点难点
模块一:数据分类分级简介
1)数据分类分级概念
2)数据分类和数据分级的关系
3)数据分类分级工作流程
模块二:数据资产识别
1)数据资产识别目的
2)数据资产识别内容
模块三:数据分类分级解析
1)数据分类分级原则
2)数据分类分级策略
3)数据分级管控
4)数据分类分级标准参考
模块四:数据分类分级案例
1)案例分享
90min
数据安全基础知识
1)内容详实,覆盖数据安全法律法规发展历程、数据全生命周期、数据安全风险评估、数据治理多个维度;
2)生动易懂,深入浅出,通过大量案例介绍概念,切实提高技术能力;
3)行业前沿,引入多个行业数据安全防护优秀案例成果,提供多行业、前沿视角。
模块一:数据安全法律法规
1)数据安全法
2)网络数据安全管理条例
3)数据出境安全管理办法
模块二:数据安全基本概念
1)数据全生命周期介绍
2)数据治理的发展
3)数据分类分级
4)常见数据安全防护技术
模块三:数据安全风险评估
模块四:数据安全防护实践指南
120min
个人信息安全专题课
1)理论深入,内容包括国内外个人信息保护法规、标准文件;
2)实践视角,以个人信息处理者视角,给出切实可操作的个人信息保护方法论;
3)专项答疑,聚焦个人信息保护实践中的常见问题、难点进行专项答疑解惑。
模块一:个人信息保护法解析
模块二:全球个人信息保护现状
模块三:个人信息保护相关标准解读
模块四:个人信息防护技术介绍
模块五:敏感个人信息专项
模块六:个人信息合规实践专项课
90min
信息安全应急响应培训
1)案例真实:选取真实网络攻击与应急处置案例,切实提高应急响应水平;
2)体系培训:从安全管理制度到技术手段,多方面介绍应急响应、处置知识;
模块一:应急响应理论
1)应急响应框架与标准
2)常见应急响应措施
3)安全事件分类
模块二:应急响应流程详解
1)应急响应演练设计
2)应急响应流程分析
模块三:典型攻击场景实战
1)勒索病毒处置
2)数据泄露事件
3)红蓝对抗
90min
CISAW安全软件
1.安全软件课程为学员提供国际主流软件安全开发理论与模型注重管理与技术能力域相结合,把握新技术趋势突出操作实践,为学员提供全方位的软件安全开发理念;
2.安全软件课程面向软件开发和软件应用领域的管理与技术人员,提供软件生命周期风险防范理念与技术方法,致力于软件的原生安全与本质安全。
课程主要针对以下人群:
从事软件项目管理的人员;企业各部门的设计、开发、测试、技术服务等管理和技术人员;有兴趣致力于在软件安全开发方向发展的人员。
1.讲解三种软件开发模型和常用的软件开发方法,了解典型的软件安全开发模型,掌握CISAW软件安全开发模型;
2.了解漏洞的相关概念,介绍安全自动化协议,介绍典型的安全漏洞及相关预防措施;
3.了解安全审计、安全通信、密码支持、用户数据保护、标识与识别(身份认证)、安全管理、隐私保护、安全功能的保护、资源利用、系统/子系统的访问记忆可信路径/信道等安全功能;
4.讲解软件开发过程中常见的安全漏洞,分别从整型、字符串、数组、指针、函数、多线程、文件、内存、面向对象、和web等方面介绍软件开发过程中常见的安全问题,并给出解决方案;
5.讲解软件安全测试的方法和过程,掌握软件安全测试的组织过程,结合例子介绍几种常见的测试工具;
6.讲解云计算、大数据、人工智能等新技术在软件开发过程中需要注意的风险以及规避方法。
32 学时(32节课,每节课45-50分钟);
支持线上直播+录播回放,方便学员灵活安排学习时间。
CISAW安全集成
1、权威性与专业性:课程由中国网络安全审查认证和市场监管大数据中心(CCRC)设计和认证,依据国际标准ISO/IEC 17024《人员认证机构通用要求》建立,具有高度的权威性和专业性。
2、系统性与全面性:课程内容涵盖了从基础概念到高级应用的多个方面,包括信息安全基础、数据安全、载体安全、环境安全、边界安全、安全集成模型、系统安全工程理论等,形成了一个完整的知识体系。
3、实用性与实践性:课程注重理论与实践相结合,通过案例分析和研讨环节,帮助学员将所学知识应用于实际的安全集成项目中,提升解决实际问题的能力。
4、分级认证体系:根据学员的工作年限、项目经验、专业知识掌握程度等情况,从低到高划分为基础级、专业级和专业高级,针对高校在校学生开设预备级认证,满足不同层次学员的需求。
5、行业认可度高:CISAW证书在多个行业和政府机构被采信,成为网络与信息安全集成领域人才评价、考核的必备资质,有助于提升学员在信息安全领域的专业认可度和竞争力。
6、持续学习与更新:证书有效期为三年,到期前需完成继续教育学习并申请换发认证证书,促使学员持续关注和学习信息安全领域的最新知识和技术,保持其专业能力的先进性。
课程主要针对以下人群:
IT行业中涉及信息系统安全开发与建设、安全加固、安全优化、安全需求分析、安全设计、安全实施和安全保障等工作相关的管理人员、技术人员、维护人员和使用人员。
1、信息安全基础
2、数据安全
3、载体安全
4、环境安全
5、边界安全
6、安全集成基本概念与模型
7、系统安全工程基本理论
8、安全集成工程基础
29学时;
支持线上直播+录播回放,方便学员灵活安排学习时间。
CISAW安全运维
1.体系化课程内容设计:模块化知识结构,8大核心模块,从基础理论延伸至实践优化,覆盖安全运维全生命周期,确保学员建立系统化的知识框架,同时课程紧跟合规与法规要求,覆盖新兴技术场景,帮助学员理解并实际运用。
2.实战导向的培养模式:课程结合典型案例分析,培养学员从“被动防御”到“主动运营”的能力跃迁。
多维融合的教学模式:直播+回放,支持实时互动与反复复习,提供完备的配套学习资料,有助于对授课内容的进一步理解。
课程主要针对以下人群:
各行业领域从事信息系统安全运维服务及相关工作的运维人员、管理人员、骨干技术人员、各级领导和核心人员。包括CIO、运维部门经理、信息安全经理、运维管理人员、运行维护人员和IT人员等。
第一章:概述
包括信息系统、系统运维、安全运维模型以及安全运维模式。
第二章:安全运维体系
包括安全运维、运维安全、合规性要求以及评审改进。
第三章:合规要求
包括法律法规要求、信息安全标准以及运维服务标准。
第四章:安全策略
包括安全策略概述、制定安全策略方法以及安全策略内容。
第五章:运维准备
包括安全运维策划、服务预算、服务范围以及服务外包。
第六章:运维实施
包括日常运维、应急响应、优化改善以及监管评估。
第七章:运维安全
包括安全运维概述、风险评估、风险处置以及过程监控。
第八章:评审及改进
包括过程有效性评估、要点,指标以及持续改进。
4.5天,上课时间:9:00-12:00 14:00-17:30
每天6.5学时,总计29学时
钉钉群培训,线上直播,支持回放
CISAW应急服务
1、课程紧盯红蓝队实战技术,强化训练溯源分析能力,能够快速培养企事业单位开展国家、地区、行业攻防实战演练的人才培养需求。
2、提供云端攻防实训平台,课程全程融合攻防技术,强化应急处置能力。
3、全面的理论与实践结合:课程不仅涵盖了应急响应相关法律法规、信息安全事件分类分级等基础知识,还深入讲解了网络安全事件管理与应急响应组织等内容。通过典型网络安全入侵事件重现与分析,让学员能够更好地理解实际操作中的关键点。
4、实战演练丰富:课程安排了多次实操环节,如主机入侵事件检测技术总结与工具包准备、数据库渗透与应急响应实践、应急技术综合演练实践、Web渗透综合实践以及日志分析概念与技术等,旨在提升学员的实际操作能力和应对突发事件的能力。紧跟最新标准和技术:基于最新的国家标准和行业规范,确保学员掌握的知识和技能是最新的,并符合国家法规要求。
课程主要针对以下人群:
政府部门、企事业单位从事网络安全、信息安全、风险管理、应急预案、应急演练、安全事件分析、应急处置等工作相关的管理人员、技术人员、维护人员。
1、应急响应相关法律法规、信息安全事件分类分级;
2、信息安全事件分类分级、网络安全事件管理与应急响应组织、典型网络安全入侵事件重现与分析、应急响应案例分析研讨;
3、应急管理体系化建设、应急预案制定与管理、网络安全事件应急处理流程、应急安全技术保障实践之PKI应用、数据库渗透与应急响应实践;
4、主机入侵事件检测技术总结与工具包准备、数据库渗透与应急响应实践;
5、应急技术综合演练实践之SQL注入攻击分析实践与加固、应急技术综合演练实践之XSS攻击分析实践与加固、应急技术综合演练实践之CSRF攻击分析实践与加固;
6、应急安全技术保障实践之日志分析概念与技术、应急安全技术保障实践之日志集中管理与审计系统;
7、机入侵溯源分析实践I、主机入侵溯源分析实践II;
网络层应急技术与实践、攻击特征之数据流溯源分析实践。
27学时(27节课,每节课60分钟);
支持线上直播+录播回放,方便学员灵活安排学习时间。
CISAW风险管理
1、知识技能:通过CISAW风险管理培训,参训学员可以有效提升个人的安全意识,更加深刻的掌握风险管理相关的政策法规、国际和国家标准变更过程、技术前沿知识和行业最佳实践,可以更好的运用理论知识解决实际工作中出现的风险管理相关问题,不断提高职业技能,成为网络与信息安全风险管理方面的专业人才。
2、课程结构:CISAW-RM风险管理培训课程从风险管理的基本概念入手,详细介绍了风险管理的原则、框架和过程,涵盖了风险管理的方方面面,通过案例教学和师生互动,让学员能够全面地学习到风险管理的完整概念、知识体系和工作方法,提高了学员在风险管理项目中解决实际问题的能力。
3、个人能力:经过CISAW风险管理培训后,学员的学习理解能力、逻辑推理能力、实际操作能力、沟通交流能力和综合应用能力都会得到极大的提升,尤其是在考取了国家颁发的CISAW-RM风险管理证书后,个人的职业竞争力会更上一层楼。
课程主要针对以下人群:
政府部门、企事业单位从事网络与信息安全服务的各级管理人员和技术人员,特别是从事信息安全风险管理、信息安全风险评估的专业人员,以及与信息安全保障工作相关的人员。
1、风险管理基本概念
2、项目管理基础和环境建立
3、风险识别
4、风险分析与计算
5、风险评价和评估输出
6、风险处置和风险接受
7、沟通咨询和监视评审
31学时(31节课,每课时长约50分钟);
线上直播+录播回放
CCRC-CDO首席数据官
1、全面的课程体系框架
2、发挥数据价值,全面提升首席数据官五大核心能力
3、情景式教学法,多维立体课程设计
4、提供360°陪伴式教学服务
课程主要针对以下人群:
1、企业CDO或负责数字化转型的企业决策层,包括数据战略规划、数据架构师、数据建模人员、数据解决方案工程师等;
2、企业数据管理或利用数据赋能的相关中层管理者,涵盖业务支持、项目管理、质量管理等,包括数据产品经理、数据分析师、数据质量与数据安全管理人员等;
3、有志于从事企业数据管理工作的大数据人才。
1、CDO的职责
2、基于AI的数据治理
3、数据资产运营与数据安全
4、AIGC赋能:企业数智化转型实战
AIGC在各行业的落地场景应用
28 学时(28节课,每节课50--55分钟);
支持线上直播+录播回放,方便学员灵活安排学习时间。
CCRC-PIPP个人信息保护专业人员
1、全面性——内容涵盖从法律法规标准要点、合规管理体系搭建、数据安全技术通识四个维度出发,从法律到技术,从理论到实践案例,侧重学员的应用能力培养。
2、前沿性——培训在传统的个人信息保护知识的基础上,融合了前沿的国际合规框架体系,既有微观的个人信息保护具体实践方法,又涵盖宏观个人信息保护合规组织体系建设、制度体系建设、风险预防与监控体系建设。
3、针对性——培训针对当前个人信息保护合规领域的重点和热点话题进行深入解析,从个人信息保护影响评估、个人信息保护合规审计、隐私设计与安全设计、数据安全与个人信息保护技术基础等必备技能出发,帮助学员掌握个人信息保护实践必备知识和技能。
4、实践性——培训通过“知识点+场景+案例+实践”四个维度融合讲解互动,帮助学员构建个人信息保护合规场景概念,启发学员结合工作实践进行思考,使学员具备识别风险并提出解决方案的能力。
课程主要针对以下人群:
律师、审计师、咨询顾问等;企业法务、安全、运营、产品、合规、审计部门工作人员等与个人信息保护、数据安全、网络安全相关工作人员;党政机关首席数据官、信息专员、数据专员等与个人信息保护、数据安全、网络安全相关工作人员。
1、个人信息保护之法律基础
2、个人信息跨境提供规则及个人信息主体权利
3、App个人信息保护合规要点
4、未成年人个人信息保护
5、个人信息出境合规要点
6、个人信息保护合规体系搭建
7、个人信息保护影响评估
8、个人信息保护合规审计
9、隐私设计与隐私工程
10、信息安全与数据安全基础
24 学时(24节课,每节课50--55分钟);
支持线上直播+录播回放,方便学员灵活安排学习时间。
CCRC-PIPCA个人信息保护合规审计师
1、可落地性与实操性:
培训课程设计注重案例分析和实际操作,通过模拟审计、角色扮演等互动教学方法,提高学员的实战能力和问题解决技巧,确保学员能够在实际工作中有效执行合规审计。
2、法律+技术+管理+审计:培训课程设计和课堂教学围绕个人信息保护合规审计师应具备的“法律+技术+管理+审计”四个方面的知识与技能。
3、紧跟监管热点与政策动向:培训教材根据最新监管热点、监管重点编写,内容紧密结合《个人信息保护法》《个人信息保护合规审计管理办法》《个人信息保护合规审计参考要点》等政策法规、热门案例并持续更新,确保培训与监管重点、政策动向同步。
4、实践导向的教学:培训课程设计注重案例分析和实际操作,通过模拟审计、角色扮演等互动教学方法,提高学员的实战能力和问题解决技巧,确保学员能够在实际工作中有效执行合规审计。
课程主要针对以下人群:
律师、审计师、IT审计、咨询顾问等第三方机构相关从业人员;企业合规岗、审计岗、信息安全岗、数据隐私岗、法务岗、技术研
发岗、产品经理岗以及个人信息保护、数据安全和网络安全相关的岗位人员以及对个人信息保护合规审计感兴趣的从业人员,均可申请个人信息保护专业人员认证。
1、个人信息保护合规审计框架
2、个人信息保护合规审计准则
3、个人信息保护合规审计策划与实施
4、个人信息保护合规审计底稿与审计报告
5、个人信息处理的合法性基础与告知同意及合规审计
6、第三方管理的个人信息处理合规审计
7、个人信息处理特殊情形的合规审计
8、个人信息权利保障的合规审计
9、大型互联网平会特殊要求的合规审计
10、个人信息保护合规管理体系及合规审计
11、个人信息保护合规审计项目案例模拟
12、个人信息保护安全技术措施的合规审计
13、个人信息安全事件应急预案与应急处置的合规审计
14、个人信息保护常见技术场景的合规审计
24 学时(24节课,每节课50--55分钟);
支持线上直播+录播回放,方便学员灵活安排学习时间。
CCRC-DSO 数据安全官
1、系统体系化的数据安全课:CCRC-DSO数据安全官课程体系全面,内容覆盖数据安全国际国内态势分析、数据安全相关监管文件及重要法律文件解读、数据安全国标行标梳理、数据安全管理体系、技术实训、数据分类分级及数据出境等典型数据合规场景进行重点讲解。
2、以复合为培养目标,着重培养学员六大核心能力:课程以培养懂数据、懂技术、懂合规的综合人才为目标,补充传统技术及法律人才在处理数据安全问题时的知识盲区,帮助数据安全从业人员提升以下六项核心能力:数据安全意识、战略规划能力、安全运营能力、法律合规能力、安全技术理解能力、数据要素开发及数据价值应用能力。
3、培训中配套落地工具、
输入与输出相结合:课程除了扎实的理论方法,还提供多项数据安全工具,帮助企业对实务过程中的内外部数据进行安全风险评估。
4、权威CCRC证书,助力职业发展:学员可获得由中国网络安全审查认证和市场监管大数据中心(CCRC)颁发的CCRC-DSO数据安全官人员认证证书。
1、态势篇:数据安全定位及态势分析
2、数据篇 数据要素开发与治理
3、合规篇 数据合规立法、监管要求与典型合规场景
4、跨境篇 数据出境合规及路径选择
5、标准篇 数据安全相关标准解读
6、管理篇 企业数据安全管理体系构建及实施
7、技术篇 数据安全技术实践与落地(理论)
8、技术篇 数据安全技术实践与落地(实践)
4天,24小时培训
支持线上直播+录播回放,方便学员灵活安排学习时间
CCRC-DSA 数据安全评估师
1、立足法律要求:以《数据安全法》《数据出境安全评估办法》等法律法规为准绳,以金融、电信、工业等行业规范为参考,详细讲解不同行业数据安全检测评估和数据安全风险评估的相关要求。
2、参考境外规范:以全球数据安全管理认证发展历程及现状为参考,详细讲解国内国外数据安全管理认证政策环境、法理依据及制度背景,帮助参训人员全面了解和掌握数据安全管理认证的目标和意义。
3、以标准为中心:以《关于开展数据安全管理认证工作的公告》为基础,详细讲解《信息安全技术
网络数据处理安全要求(GB/T 41479)》、《信息安全技术
重要数据识别指南》(征求意见稿)及其相关标准。
4、以案例为背景:课程全程穿插多部实际案例,从实战出发,以案例分析为主,让学员在学习理论知识的同时,感受真实环境。
5、以实训为导向:讲授与实战相结合,通过实训案例模拟,让学员开展现场案例讨论。通过实训实操、案例演练,协助学员深刻理解重要数据识别、数据分类分级、数据安全风险评估、应急演练的实操过程。
6、权威CCRC证书,助力职业发展:学员可获得由中国网络安全审查认证和市场监管大数据中心(CCRC)颁发的CCRC-DSA数据安全评估师人员认证证书。
1、数据认证探索与实践
2、不同行业数据识别与数据保护目录制定
3、数据分类分级规则与应用实践
4、数据处理安全技术要求(收集、存储、使用、加工、传输)
5、数据处理安全技术要求(提供、公开、删除及匿名化、访问控制、注销等)
6、数据处理活动风险评估与审计追踪
7、数据安全责任人设定及人力资源要求
8、数据安全应急响应与处理要求
9、数据跨境合规及路径选择
10、数据安全管理认证审核技术验证及案例分析
4天,24小时培训
支持线上直播+录播回放,方便学员灵活安排学习时间
CISAW-PIS 个人信息安全
1、深入理解个人信息保护法律背景:学员将深入学习个人信息保护的社会背景、立法历程和相关法律法规,包括《个人信息保护法》的具体内容、适用范围及相关国家标准,使其具备全面的法律知识。
2、精准掌握个人信息安全概念:通过课程,学员将对个人信息与敏感个人信息的区别、个人信息处理活动的相关概念(如去标识化与匿名化)有深入理解,并掌握个人信息保护的技术措施与实践。
3、理清个人信息保护法律和标准的逻辑关系:学员将学习个人信息保护法和GB/T
35273《个人信息安全规范》的映射对照,掌握个人信息合规收集的原则与要求、存储、使用、权利响应等安全合规要求。
4、实践个人信息合规审计技能:学员将学习个人信息保护合规审计的实际操作,包括审计内容框架、操作流程、数据出境安全评估等,以提升在跨境传输和合规审计领域的实际应用能力。
5、掌握个人信息跨境传输的关键要点:介绍数据出境的监管背景与当前的监管框架,并重点解读《规范和促进数据跨境流动规定》下的合规要求。分别介绍个人信息出境标准合同、个人信息保护认证、数据出境安全评估的具体适用场景、开展申报的工作流程、申报相关材料的准备事宜与实务注意事项等。
6、提升个人信息保护实战安全管理能力:通过课程,学员将学习个人信息的存储和使用方法,包括存储时间最小化、去标识化处理、个人信息访问控制措施等,并了解个人信息安全事件的分类分级和响应流程,增强其在实际工作中的安全管理和应急处置能力。
7、权威CCRC证书,助力职业发展:学员可获得由中国网络安全审查认证和市场监管大数据中心(CCRC)颁发的CISAW-PIS个人信息安全人员认证证书。
1、个人信息保护发展与重要概念辨析
2、个人信息保护司法、执法及重要标准介绍
3、个人信息的收集
4、个人信息的存储
5、个人信息的使用
6、个人信息主体的权利
7、个人信息的委托处理、共享、转让、公开披露
8、个人信息管理和安全处置
9、个人信息跨境传输
10、个人信息保护合规审计
4.5天,26小时培训
支持线上直播+录播回放,方便学员灵活安排学习时间
CISAW-ICS 工业控制系统网络安全
1、构建系统化知识体系,掌握工业安全核心技术:本认证课程全面覆盖工业控制系统网络安全知识体系,重点讲授工业协议安全、工控系统威胁与漏洞分析、入侵检测技术及安全防护策略等核心内容。通过系统学习,学员不仅能深入理解工业网络与传统IT网络的安全特性差异,更能精准识别工控系统脆弱性,掌握符合国际标准的安全防护技术,从而建立完整的理论框架和技术能力。
2、提升安全防护能力,掌握行业最佳实践:课程以工业控制系统安全防护技术为核心,系统讲解安全架构设计、访问控制机制、安全审计流程及风险评估方法等关键内容。学员将通过典型案例分析和实战演练,掌握工控系统安全配置、异常行为监测、安全运维管理等实用技能,全面提升工业网络威胁的识别与防御能力。课程特别注重安全策略的实操落地,帮助学员将理论知识有效转化为实际工作中的防护措施,为工业企业提供切实可靠的安全保障。
3、权威CCRC证书,助力职业发展:成功通过考核的学员将获得由中国网络安全审查认证和市场监管大数据中心(CCRC)颁发的“CISAW工业控制系统网络安全人员认证”证书。
4、对接政策与行业需求,助力企业安全合规:在《网络安全法》《关键信息基础设施安全保护条例》等政策法规持续深化的背景下,工业网络安全人才需求呈现快速增长态势。本认证既助力个人专业能力提升,又为企业培养符合国家合规要求的专业技术人才,有效支持企业满足等级保护测评、行业监管审查等要求。持证人员能够在企业安全体系建设、风险评估、安全运维等关键岗位发挥专业价值,切实帮助企业降低安全风险,全面提升防护能力水平。
工业控制系统及网络安全发展历程
工业控制安全事件及网络安全形势
工业控制系统及网络安全基础与组成
国内法律法规要求
典型行业监管要求
国际标准发展
工控安全标准总览
典型工控标准解读
风险评估基本原理与方法
工控安全风险评估特点
工控安全风险评估实施
工业控制系统网络安全保障模型
工业控制系统网络安全架构
工业控制系统信息安全防护能力成熟度模型
工业控制系统网络安全管理
工业控制系统网络安全运营
工业控制系统网络安全运营效果评估
工业控制环境安全技术特点
工业控制边界防御技术
工业控制安全检测技术
工业控制终端安全技术
工业控制典型安全产品与部署
典型的行业规范
典型行业建设实践
工业互联网发展与安全
4.5天,26小时培训
支持线上直播+录播回放,方便学员灵活安排学习时间
AI人工智能安全认证课程
1、系统化治理框架,直击企业痛点:课程涵盖大模型从内生安全到应用安全的全景治理,结合实际案例,为企业提供从风险识别到应对策略的全流程解决方案,助力企业突破AI治理难题。
2、法规与技术深度融合,AI合规无忧:深入解析国内外人工智能监管框架、核心法规及合规要点,结合生成式AI专项合规内容,帮助企业在技术发展的同时满足法律要求,避免合规风险。
3、权威专家授课,实战经验分享:行业资深专家,分别从技术、法律不同角度授课,结合实际案例分享前沿技术、合规路径和行业最佳实践。
4、权威CCRC证书,助力职业发展:完成课程后,学员可获得由中国网络安全审查认证和市场监管大数据中心(CCRC)颁发的结业证书,提升个人在AI治理领域的专业资质,为职业发展加分。
1、AIGC 认知——解锁人工智能新范式
2、人工智能监管框架与合规要点
3、大模型安全全景治理——威胁识别与应对策略
4、大模型对齐与防护——技术路线与实施框架
2天,8小时培训
支持线上直播+录播回放,方便学员灵活安排学习时间
数据跨境合规及路径选择
1、政策法规精准解读:系统梳理数据跨境管理制度体系,帮助学员快速构建跨境数据合规全景图。
2、路径选择实用指导:系统讲解“评估、认证、合同”三条合规路径的适用条件、实施流程、备案要求和常见误区,提供路径选择决策树参考。
3、互动研讨与风险识别:设计情景讨论与模拟评估环节,引导学员基于自身业务场景,识别潜在的数据出境合规风险,讨论路径选择合理性,提升风险评估与沟通能力。
1、数据跨境安全管理政策背景
2、《促进和规范数据跨境流动规定》新规要点
3、合规路径一:数据出境安全评估解析与案例
4、合规路径二:个人信息跨境处理活动安全认证解析与案例
5、合规路径三:个人信息出境标准合同解析与案例
一天,6小时培训
支持线上直播+线下授课
数据安全认证审核技术验证
1、系统对标认证标准,聚焦技术与管理双维验证:课程紧密围绕国家认证标准框架,系统梳理数据处理的总体、技术和管理要求,帮助学员建立结构化的审核知识体系,明确各类控制项的实质性验证方法。
2、贯通“制度+技术”审核路径,强化实操技能:通过实例化讲解审核中的典型场景,如数据识别、访问控制、匿名化处理、应急响应等,帮助学员掌握从制度合规检查到技术验证落地的审核方法与关键要点。
3、实践驱动,融合案例教学与审核演练:课程结合重点行业实际案例与审核问题清单,设计审核模拟演练环节,推动学员“看得懂标准、问得到重点、查得出问题”。
1、对数据处理安全总体要求的评价与验证
2、对数据处理安全技术要求的评价与验证
3、对数据处理安全管理要求的评价与验证
一天,6小时培训
支持线上直播+线下授课
政务数据共享与安全
1、政务数据共享政策解读:介绍《政务数据共享条例》核心制度,包括共享机制、责任体系、负面清单等。
2、政务数据安全管理制度:讲解政务数据的定义、分类分级依据与应用规则,配套操作演练。
3、政务数据安全运营机制:符合政务数据场景的数据安全保障与运营框架。
4、政务数据安全技术措施:传输加密、访问控制、脱敏技术及零信任架构的应用。
5、政务数据安全事件管理:数据安全事件分级响应与责任追溯机制。
6、政务数据合规要点:聚焦数据出境、供应链安全、共享合规边界及监管要求。
1、《政务数据共享条例》政策框架
2、政务数据定义与分级分类
3、政务数据共享流程与应用
4、政务数据安全技术措施
5、政务数据安全运营机制
6、政务数据共享过程安全保障
7、政务数据共享场景合规要点
8、政务数据安全事件响应
一天,6小时培训
支持线上直播+线下授课
数据要素流通安全
1、深入理解《实施方案》七大任务与数据要素市场化改革方向。
2、掌握数据流通安全规则设计、技术应用与责任界定方法。
3、提升企业数据合规流通与风险防控能力。
1、数据流通安全治理政策
2、企业数据流通安全规则
3、公共数据流通安全管理
4、数据流通安全技术应用
5、隐私计算技术路线与应用
6、数据匿名化技术与应用
7、数据流通安全服务供给
8、数据滥用风险防范
一天,6小时培训
支持线上直播+线下授课
数据安全风险评估
1、紧扣国标,权威解读:深度解析GB/T 45577《数据安全技术
数据安全风险评估方法》核心内容,从制定背景、适用范围到核心概念、流程方法,构建权威、规范的风险评估知识体系。
2、体系完整,逻辑闭环:8课时系统教学,覆盖风险评估“准备→识别→分析→评估→报告→处置→跟踪”全生命周期,建立从理论到实践、从评估到治理的完整闭环能力。
3、方法落地,实操性强:详解定性、定量、半定量风险分析方法。掌握风险矩阵法与等级评定规则(影响×可能性)。学习数据资产识别、威胁源分析、脆弱性检查、情景构建与攻击路径分析等核心技能。明确风险处置策略(接受/规避/缓解/转移)与优先级设定。
4、行业聚焦,案例驱动:精选五大高风险/高监管行业:政务、医疗、金融、制造/工业互联网、互联网。深度剖析行业特性与风险痛点,如政务数据共享风险、医疗PHI保护、金融交易安全、工控数据融合风险、互联网用户隐私与算法风险。
5、真实案例全景演示:通过政务云平台、三甲医院信息系统等代表性案例,手把手演示评估流程、风险识别分析及控制措施制定。
6、合规融合,风险关联:明确课程内容与《网络安全法》、等保2.0、数据分级分类等关键法规标准的衔接点,帮助学员理解风险评估在整体合规框架中的定位与价值。
1、数据安全风险评估总体概述
2、风险评估流程详解
3、风险分析与风险评估方法
4、评估结果输出与整改建议
5、政务行业数据安全风险评估案例
6、医疗行业数据安全风险评估案例
7、金融/制造/互联网行业典型案例
8、数据安全风险评估实务总结与行业发展趋势
一天,6小时培训
支持线上直播+线下授课
网络与数据安全课程
1、了解企业数字化转型中的安全合规要求,掌握数字化转型中的数据安全挑战。
2、掌握数据安全的基本概念、法律法规与行业标准,了解数据安全防护的关键技术,了解工业数据安全管理体系建设要点。
3、以工业领域为例,了解工业数据安全管理体系建设要点,学习数据安全风险评估方法,提升工业数据安全管理与风险评估能力;了解企业如何通过体系化建设提升数据安全能力。
4、掌握数据治理框架及数据安全管理制度,了解数据基础设施的安全要求与关键防护措施。
5、了解数据要素市场化机制以及数据安全在数据要素市场中的核心价值。理解数据交易安全保障机制,掌握数据交易的安全合规要求与风险管控措施。
1、数字化转型与数据安全
2、数据安全基础知识
3、数据安全技术与应用
4、工业数据安全保护与能力建设
5、工业数据安全管理与风险评估
6、数据基础制度探索
7、数据交易基础设施与安全保障
8、发挥数据要素价值
一天,6小时培训
支持线上直播+线下授课
数据安全相关标准解读
课程内容紧密结合国家数据安全相关标准,如《个人信息影响评估》《数据安全风险评估》《数据安全能力成熟度模型》《ISO27701个人信息保护标准》等,确保学员所学知识符合行业规范和监管要求,可直接应用于实际工作,帮助企业或机构满足合规需求。
通过案例分析、实战演练、项目实践等方式,让学员在学习理论知识的同时,能够深入理解数据安全标准在实际场景中的应用,如数据分类分级、数据安全风险评估、数据安全防护措施等,提升学员解决实际问题的能力。
1、数据安全能力成熟度模型标准解读
2、数据分类分级保护标准解读
3、个人信息安全影响评估指南
4、个人信息管理体系
5、网络数据安全管理条例
一天,6小时培训
支持线上直播+线下授课
数据安全管理体系框架、流程与路径
随着数据安全领域的不断发展和变化,课程内容会及时更新,引入数据安全标准、技术手段和管理理念,涵盖数据安全的各个方面,从基础概念、法律法规,讲解如何建立和完善数据安全管理体系,包括数据安全管理框架的设计、数据安全策略的制定、数据安全组织架构的搭建、数据安全制度和流程的建立等内容。
使学员能够系统地掌握数据安全标准的全貌,构建完整的知识体系。
1、政策解读及相关方平衡分析
2、关键挑战及战略管理框架体系
3、数据保护践行实务“五部曲”
一天,6小时培训
支持线上直播+线下授课
数据要素开发与治理
通过课程讲授了解国内外数字经济发展态势,掌握数据价值、数据要素的基本概念和内涵,了解数据要素立法过程,了解我国当前数据要素发展以及数据交易所现状,掌握数据交易合规要点和数据要素市场化难点。
了解数据要素市场化过程中数据确权、数据定价等问题及应对措施,充分介绍数据要素如何在数字企业中进行数据价值释放以及应用。
重点传授数据资源入表国家战略导向以及相关标准,讲解数据资产管理、数据资源入表政策指引,详细介绍企业数据资产化从数据治理、数据要素权利界定及保护、数据资产量化估值到数据价值转换的实现路径。
让学员既能从宏观层面了解数据资源入表价值及意义,也可以掌握数据资产入表的整体流程和具体实现方式,通过将数据要素开发与治理知识应用于实践工作中,奠定数据资产化和数据交易的基础,实现数据流通的价值最大化。
1、国内外数字经济发展态势
2、数据价值化与数据要素内涵概念
3、数据要素市场建设
4、数字企业数据价值释放
5、数据资源入表实践
一天,6小时培训
支持线上直播+线下授课
车联网政策法规与安全管理
1、政策全图谱:国内外合规动态一网打尽;深度解析中国“三法一标”(《网络安全法》《数据安全法》《个人信息保护法》+GB/T
45577);揭秘欧美最新政策:GDPR罚款案例、美国《14117规则》“数据脱钩”条款、英国UK
GDPR实操陷阱。
2、技术四重盾:从加密到灾备的实战方案。数据加密:传输/存储/端到端加密场景拆解(含金融级实施案例);智能访问控制:基于属性的动态权限管理(ABAC)设计指南;脱敏技术选型:动态脱敏
vs 静态脱敏的适用场景与法律边界。
3、车联网专项:政策+技术+案例三维突破。政策红线:工信部数据本地化要求、事故数据存储规范;安全设计:V2X通信加密、车载系统防入侵实战演示;案例复盘:某车企因用户轨迹数据违规出境被罚800万事件全解析。
4、运维审计双保障:让合规可落地、可验证。运维三板斧:日志自动化分析(ELK+AI异常检测)、应急响应沙盘演练(勒索病毒事件处置模拟)、人员权限生命周期管理(从入职到离职的权限流水线)。审计四步法:用数据流向图谱工具锁定高风险链路、按《DSMM数据安全成熟度模型》定制检查项、输出可直接交付监管的审计报告模板。
1、国内国外的数据安全合规政策情况
2、数据安全技术保护措施
3、车联网相关的政策法规
4、数据安全运维、审计措施
5、数据安全治理行业实践
一天,6小时培训
支持线上直播+线下授课
数据合规立法、监管要求与典型合规场景
1、全面系统:课程全面系统地梳理了数据合规的基本概念、法规体系、监管格局和合规要点,帮助学员建立数据合规的完整知识体系,培养评估商业模式和业务功能法律风险的意识能力,促进技术人员和合规人员互相理解和高效沟通。
2、深入理解:课程结合数据合规的最新实践,详细说明合规工作的重点难点,帮助学员理解各项合规要求的准确含义,学会识别个人信息范围、类型和敏感程度,辨析个人信息共享、转让、提供、委托处理和跨境提供等不同场景,准确适用相关要求。
3、触类旁通:课程内容不仅限于对合规要点的梳理罗列,还会讲清楚数据基础制度和各项合规要求的内在逻辑和实际风险,帮助学员理解数据领域的政策精神、监管动向和执行标准,以及如何在合规落地过程中平衡原则性和灵活性。
1、合规的含义、作用、流程和依据
2、数据合规的法规体系、监管格局和基础制度
3、数据活动的具体合规要求
4、数据活动的法律责任
一天,6小时培训
支持线上直播+线下授课
企业数据安全意识提升
1、法律故事化:用真实判例解读《个保法》《数安法》,直击“赔钱 /
丢工作 / 坐牢”风险。
2、岗位定制风险:销售 / HR / 研发 /
管理层专属案例(如:HR误发薪酬表被罚80万)。
3、高频场景避坑指南:微信办公泄密预防、钓鱼WiFi识别、误发数据紧急处置3步法。
4、沉浸式实战:“找间谍”互动:在模拟聊天记录中揪出5个泄露点。
模块1:数据安全——为什么与你息息相关
模块2:全员必守的 5 条法律高压线
模块3:办公场景 “避坑” 实战
模块4:数据泄露 “急救箱” 使用指南
一天,6小时培训
支持线上直播+线下授课
网络安全政策解读与合规实践指引
1、政策权威解读:逐条解析《网络安全法》《数据安全法》《个保法》核心条款。
2、典型案例驱动:医疗行业:剖析上海互联网医疗企业因数据未加密遭境外攻击被罚案,揭示“制度缺失
+
技术薄弱”双重风险;金融行业:模拟支付系统遭勒索攻击处置流程,演示“1小时初报
→ 灾备切换 → 舆情管控”合规闭环。
3、合规红线清单:提炼企业十大高危场景(如员工误发含敏感信息邮件、第三方合作数据泄露、跨境传输未申报)。
4、行业差异指南:对比政务、金融、医疗、互联网四行业合规重点。
模块1:网络安全法规框架与监管趋势
模块2:企业合规红线与典型案例
模块3:合规体系搭建三步法
模块4:应急响应实战工作坊
模块5:合规审计与持续改进
一天,6小时培训
支持线上直播+线下授课
用户个人信息安全保护方法与实践
结合典型个人信息泄露事件案例,国内外个人信息安全相关标准规范,讲解个人信息生命周期安全保护原则、脱敏处理技术和方法,以及企业如何规避侵犯用户隐私的风险。
模块1:全球法规演进与典型案例剖析
模块2:个人信息全生命周期防护
模块3:技术防护体系构建
模块4:脱敏技术深度实战
模块5:企业合规实践工作坊
模块6:审计整改与持续治理
一天,6小时培训
支持线上直播+线下授课
个人信息保护合规审计
1、可落地性与实操性:培训课程设计注重案例分析和实际操作,通过模拟审计、角色扮演等互动教学方法,提高学员的实战能力和问题解决技巧,确保学员能够在实际工作中有效执行合规审计。
2、法律+技术+管理+审计:培训课程设计和课堂教学围绕个人信息保护合规审计师应具备的“法律+技术+管理+审计”四个方面的知识与技能,培训复合型人才,这些人才将成为企业和第三方服务机构在个人信息保护领域的中坚力量。
3、紧跟监管热点与政策动向:培训教材根据最新监管热点、监管重点编写,内容紧密结合《个人信息保护法》《个人信息保护合规审计管理办法》《个人信息保护合规审计参考要点》等政策法规、热门案例并持续更新,确保培训与监管重点、政策动向同步。
4、实践导向的教学:培训课程设计注重案例分析和实际操作,通过模拟审计、角色扮演等互动教学方法,提高学员的实战能力和问题解决技巧,确保学员能够在实际工作中有效执行合规审计。
1、个人信息处理的合法性基础与告知同意及合规审计
2、第三方管理的个人信息处理合规审计
3、个人信息处理特殊情形的合规审计
4、个人信息权利保障的合规审计
5、个人信息保护合规管理体系及合规审计
6、个人信息保护安全技术措施的合规审计
一天,6小时培训
支持线上直播+线下授课
金融行业内数据安全建设
1、通过解读金融行业主要数据安全要求和标准,帮助培训人员理解金融行业数据安全管理的重点。
2、结合行业内主要的数据安全建设需求,帮助培训人员梳理金融行业数据安全建设的典型方法。
3、通过典型案例和场景分析,帮助培训人员了解金融行业数据安全建设的难点,并形成解决思路。
1、《银行保险机构数据安全管理办法》要点解读
2、《中国人民银行业务领域数据安全管理办法》要点解读
3、金融行业数据分类分级要求介绍
4、数据生命周期安全要求介绍
5、数据安全风险评估方法介绍
6、金融行业数据安全建设需求分析
7、金融行业典型场景的数据安全建设
一天,6小时培训
支持线上直播+线下授课
