成为优秀的CISI讲师CISP运营中心主讲人:樊山——职业培训授课技巧第二次修订版版权说明本PPT是为2011年首届国家信息安全测评中心CISI培训制作,2012年1月26日第二次修订,本PPT感谢国家测评中心CISP运营中心周军老师的指正与修改。本次整理发布仅针对国家信息安全测评中心()、CISP运营中心()、中国首席信息安全官()、国际信息安全学习联盟(),其他各媒体未经作者许可不得提供下载、引用、修改及其他形式的发布,一经发现作者有权根据国家知识产权保护相关法规予以追溯,版权保护适用于本PPT教学版。作者:樊山E_Mail:fanfox7405@163.com2大纲一、职业培训讲师基本功二、提高授课技巧的要点三、CISP课程授课实战演练大纲一、职业培训讲师基本功二、提高授课技巧的要点三、CISP课程授课实战演练一、职业培训讲师基本功必备的基本素质扎实的专业知识良好的表达与沟通责任心了解教育心理学对教学内容的掌握积累与更新知识域的深度与广度板书5讲师必备的基本素质责任心:重名誉、守时间,不误人子弟。激情:热爱授课工作、热爱授课内容、热爱学生。礼仪:衣冠楚楚、彬彬有礼、落落大方。洞察力:随时关注学员的情绪变化,控制节奏,变换方式扎实的专业知识如何提高专业知识能力专业知识是讲师的根基注重积累与更新注重知识域的深度与广度关系从实践中获得对理论的理解IT&IS是一门综合学科多读,多听,多看,多讨论8良好的表达与沟通目的明确、主体突出思路连贯、井然有序语音清楚、抑扬顿挫双向交流、气氛活跃如何提高表达与沟通能力表达的基础是扎实专业能力表达的前提是充分的前期准备表达的技巧取决于不断的交流表达程度来源于良好的逻辑思维听:演讲;读:名著;写:感言;10讲师的基本技能观察能力沟通能力应变能力思维能力分析能力学习能力大纲一、职业培训讲师基本功二、提高授课技巧的要点三、CISP授课课程实战演练二、提高授课技巧的要点P——认真备课,制定授课计划D——按计划实施授课C——课后检查授课效果A——总结经验,改进和提高13认真备课,制定授课计划需求分析熟悉授课内容制定授课计划准备素材与案例14认真备课——需求分析了解学习者专业程度了解学习者工作岗位了解学习者报考类别证书不是培训的唯一目的,将工作、应用与考试相结合可以让培训充满活力和生机。认真备课——熟悉授课内容授课内容在大纲中的要求(掌握、理解、了解、分值)授课内容知识点准备授课内容与前后课程关联授课内容与学员工作的关联认真备课——制定授课计划课程总时长与授课总内容的分配每节课的授课进度与内容安排重点内容与一般内容的时间分配重点内容的相关素材准备总结与回顾的周期频率授课计划知识体知识域知识子域时间备注信息安全保障基本知识信息安全保障背景信息技术发展阶段10了解信息安全发展阶段10了解信息安全保障原理信息安全的内涵与外延20理解信息安全问题产生根源20理解信息安全保障体系30理解/重点典型信息系统安全模型与框架P2DR模型30理解/难点信息保障技术框架(IATF)30理解/难点总时长150分钟+20分钟(休息)+10分钟(机动)=180分钟认真备课——准备素材与案例为了使您的授课丰富多彩,建议对重点内容进行适当的素材准备:模板(比如:信息安全管理手册、安全策略、安全事件管理记录表单)工具(比如:扫描器、检查列表、资产列表、风险评估赋值表)演示与案例PPT与板书PPT板书表现形式丰富单一利用率高低灵活性低高可视性高根据书写者不同而定义创造性一般(须预置)高(可根据思维随时表现)设计形势分析-为什么要进行这次培训培训需要达到的目的:解决什么问题?例行公事?使学员通过CISP认证考试!!目标定位-听众类型听课的人员情况、人数、授课环境情况课程规划-你需要传达的信息是什么哪些信息你是必须要传达到的、哪些内容是你能传达清晰的实施授课准备PPT预备开始讲课调节课堂气氛总结与回顾1-1准备PPT课件的作用课程大纲引导思路制作吸引人的PPT,避免以下问题PPT变成演讲稿大量特效动画展示文字太多听众看不清幻灯片内容没有条理,不知所写1-2准备PPT字体:标题:40-50标题-标题-标题-标题正文:22-28正文-正文-正文图表:16-22图表-图表-图表-图表总结:标题:正文:图表=1:0.8:0.61-3背景与颜色尽量使用标准PPT模板界面简洁直观对重点元素采用多色阶标识重点词汇-需要关注-知识点区分表格配色1-4准备PPT英文缩写英文缩写字可以让简报内容更精简,更专业对不熟悉的听众不要用缩写,要全文拼出,如:ISMS(InformationSecurityManagerSystem,信息安全管理体系)数字的使用数字会说话,使用数字会让简报更有说服力幻灯片中表示的数字要精确口诉的数字可以用近似值1-5准备PPT描述方式根据资料统计,入侵事件随着互联网的发展呈逐年递增趋势,虽然2003年漏洞数量相比2002年有所降低,但入侵事件却有增无减,仅2003年前三个季度入侵事件就比整个2002年的总和多出近一半。表格方式025,00050,00075,000100,000125,000150,000199819992000200120022003安全事件漏洞报告实施授课——预备第一原则请提早到场,确认教学设备,熟悉环境。进行简单的自我介绍时间:不超过3分钟信息:自己的专业特长和授课经历建议:简短、低调、留有余地实施授课——开始尽量按照授课计划控制进度控制授课时间与内容建议每节课70~80分钟,休息20分钟对当天的授课内容做一个总体的简介主要内容重点内容与前后课程的关联实施授课——讲课目标明确,言简意赅逻辑严谨基本概念、基本原理描述准确;观点表达明确、前后一致、内容连贯。思路连贯、主线分明尽可能做到理论联系实际,使用素材和案例注重内容的前后关联与前后呼应实施授课——幻灯片的要点幻灯片讲解四要素:点明每张幻灯片的标题——目的明确理解每张幻灯片的意图——向学生传达什么信息注重前后幻灯片的关联——有概述、有分解描述、有前后知识点的联系含有复杂内容的幻灯片——重点讲解关键内容幻灯片是课程的纲要——骨架讲解是对幻灯片内容的丰富——血与肉两者的结合——实现丰满的表达实施授课——调节课堂气氛如何使您的讲课像“大片”一样打动学员?仔细观察学员反应,决定是否需要调节课堂气氛多使用夸张的表情、轻松幽默的语言多打比方,将专业理论通俗化理解如果可能,尽可能多提问如果可能,提出问题,请学员们分组讨论实施授课——交流学员对本知识域内容的理解情况学员在具体工作中关于本知识域中的问题在不同标准与版本的概念的理解情况横向知识域的交流如:基于业务的评估与基于资产的风险评估;风险评估与等级保护测评等实施授课——处理突发事件学员的提问讲解过程中的错误设备故障迟到课程之外的要求实施授课——总结与回顾如何使您的讲课像“长篇评书”一样吸引学员?使用“总—分---总”的方式讲课每天的开始进行简短的描述前一天课程回顾当天课程展望每天的结束则进行当天内容总结下一天课程简介实施授课——总结的技巧根据大纲概述内容以提问方式复习重点内容信息安全风险是来自外部的威胁利用了系统自身存在的脆弱性作用于资产形成。风险的4种控制方法有:减低风险/转嫁风险/规避风险/接受风险信息安全风险管理是基于可接受的成本,对影响信息系统的安全风险进行识别、控制、减少或消除的过程参照教材对本章内容进行复习检查授课效果——技巧与方法如何自我检查授课效果?课后与学员交流、侧面了解与班主任交流、正面了解收集和总结自己的讲课反馈调查表听自己的讲课视频听其他老师的讲课视频身体姿势过于僵硬、小动作、背对学员视线只看电脑屏幕或者天花板,不看学员语言语调平淡、口头禅、虚字词语、念PPT……38改进与提高——常见问题改进与提高——注意事项职业讲师的风范:保持微笑不要坐着讲课不要朗诵PPT注意学员的表情和肢体动作合理分配时间充分使用现场教具为学员拷贝资料时作好保密/知识产权保护工作改进与提高——要诀如何提高自己,不要被学员评价为“毁人无数”?请牢记以下四项基本原则:1、请遵循国际质量管理体系的方法:PDCA!2、学海无涯、艺无止境!3、为人师表,诲人不倦!4、台上一分钟、台下十年功!40授课技巧小结P——认真备课,制定授课计划D——按计划实施授课C——课后检查授课效果A——总结经验,改进与提高41大纲一、职业培训讲师基本功二、提高授课技巧的要点三、CISP课程授课实战演练三、CISP课程授课实战演练CISP课程体系简介CISP知识讲解——风险管理风险评估素材与案例43CISP三元组大纲教材PPT讲师CISP知识体分类串讲CISP课程授课要素合-CISP的整合纵-贯穿的要素连-前阶段的复习横-广度的追溯风险管理——知识点描述知识类:信息安全管理分值:CISE-20、CISO-40,本知识类分值重点、难点、工作中的应用涉及到的标准、在PDCA的位置、贯穿于整个保障体系中的作用简要描述各知识域的要点和课时分配。复习与本节相关内容风险管理驱动力保障的诱因风险评价风险管理PDCA实施阶段(D)PDCA检查与改进(C-A)五个过程:计划-开发采购-实施交付-运行维护=废弃四要素:管理、技术、工程、人三个特征:机密性、完整性、可用性PDCA计划阶段(P)讲解知识域相邻标准与参考教材ISO27002、ISO17799、BS7799、ISO13335、SP800GB/T20984CISSPCISA难点、考点难点、考点难点、考点难点、考点重点、考点重点、考点介绍性内容、案例介绍性内容、案例风险的理解(CISSP)威胁因素(Threatagent)威胁(Threat)脆弱性(vulnerability)风险(Risk)资产(Asset)暴露(exposure)安全措施(Safeguard)GivesrisetoExploitsleadstoCandamageAndcausesanCanbecountermeasuredbyaDirectlyaffects风险的理解(用例)雨威胁源作用于对象身体健壮者身体素质较差病人或者体弱者1、影响及后果低2、接受风险1、存在一定影响,可能造成不良后果2、需要一定措施消减1、一定会有影响,会造严重后果2、需要措施消减或者规避风险或者转嫁风险脆弱性影响风险处置风险的理解(引入概念)概念:风险53最简单的定义是“起作用的不确定性”,它之所以起作用,是因为它能够影响一个或多个目标。机会(发生的概率)脆弱性威胁机密性完整性可用性资产人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。-GB/T20984风险管理与前后章节关联风险管理风险技术风险信息安全组织信息安全策略资产管理人类资源安全物理与环境安全通信及操作管理访问控制信息系统的获取、开发与维护信息安全事故管理业务连续性管理符合性网络安全物理安全系统安全应用安全数据安全风险评估风险处置风险跟踪与改进风险评估——案例分析1风险评估方法定量分析定性分析组合分析常用工具扫描器检查表风险评估——案例分析2具体操作分析:漏洞扫描结果分析网络拓扑分析风险赋值报告总结为什么要讲(明确目的)给谁去讲(明确对象)如何讲(确定方法)讲到什么程度(把握能力)不断的更新(自我学习能力)理论结合实践(学以致用)讨论和交流2011-11