如何成为一个合格的CISP讲师

成为优秀的CISI讲师CISP运营中心主讲人：樊山——职业培训授课技巧第二次修订版版权说明本PPT是为2011年首届国家信息安全测评中心CISI培训制作，2012年1月26日第二次修订，本PPT感谢国家测评中心CISP运营中心周军老师的指正与修改。本次整理发布仅针对国家信息安全测评中心（）、CISP运营中心（）、中国首席信息安全官（）、国际信息安全学习联盟（），其他各媒体未经作者许可不得提供下载、引用、修改及其他形式的发布，一经发现作者有权根据国家知识产权保护相关法规予以追溯，版权保护适用于本PPT教学版。作者：樊山E_Mail：fanfox7405@163.com2大纲一、职业培训讲师基本功二、提高授课技巧的要点三、CISP课程授课实战演练大纲一、职业培训讲师基本功二、提高授课技巧的要点三、CISP课程授课实战演练一、职业培训讲师基本功必备的基本素质扎实的专业知识良好的表达与沟通责任心了解教育心理学对教学内容的掌握积累与更新知识域的深度与广度板书5讲师必备的基本素质责任心：重名誉、守时间，不误人子弟。激情：热爱授课工作、热爱授课内容、热爱学生。礼仪：衣冠楚楚、彬彬有礼、落落大方。洞察力：随时关注学员的情绪变化，控制节奏，变换方式扎实的专业知识如何提高专业知识能力专业知识是讲师的根基注重积累与更新注重知识域的深度与广度关系从实践中获得对理论的理解IT&IS是一门综合学科多读，多听，多看，多讨论8良好的表达与沟通目的明确、主体突出思路连贯、井然有序语音清楚、抑扬顿挫双向交流、气氛活跃如何提高表达与沟通能力表达的基础是扎实专业能力表达的前提是充分的前期准备表达的技巧取决于不断的交流表达程度来源于良好的逻辑思维听：演讲；读：名著；写：感言；10讲师的基本技能观察能力沟通能力应变能力思维能力分析能力学习能力大纲一、职业培训讲师基本功二、提高授课技巧的要点三、CISP授课课程实战演练二、提高授课技巧的要点P——认真备课，制定授课计划D——按计划实施授课C——课后检查授课效果A——总结经验，改进和提高13认真备课，制定授课计划需求分析熟悉授课内容制定授课计划准备素材与案例14认真备课——需求分析了解学习者专业程度了解学习者工作岗位了解学习者报考类别证书不是培训的唯一目的，将工作、应用与考试相结合可以让培训充满活力和生机。认真备课——熟悉授课内容授课内容在大纲中的要求（掌握、理解、了解、分值）授课内容知识点准备授课内容与前后课程关联授课内容与学员工作的关联认真备课——制定授课计划课程总时长与授课总内容的分配每节课的授课进度与内容安排重点内容与一般内容的时间分配重点内容的相关素材准备总结与回顾的周期频率授课计划知识体知识域知识子域时间备注信息安全保障基本知识信息安全保障背景信息技术发展阶段10了解信息安全发展阶段10了解信息安全保障原理信息安全的内涵与外延20理解信息安全问题产生根源20理解信息安全保障体系30理解/重点典型信息系统安全模型与框架P2DR模型30理解/难点信息保障技术框架（IATF）30理解/难点总时长150分钟+20分钟（休息）+10分钟（机动）=180分钟认真备课——准备素材与案例为了使您的授课丰富多彩，建议对重点内容进行适当的素材准备：模板（比如：信息安全管理手册、安全策略、安全事件管理记录表单）工具（比如：扫描器、检查列表、资产列表、风险评估赋值表）演示与案例PPT与板书PPT板书表现形式丰富单一利用率高低灵活性低高可视性高根据书写者不同而定义创造性一般（须预置）高（可根据思维随时表现）设计形势分析-为什么要进行这次培训培训需要达到的目的：解决什么问题？例行公事？使学员通过CISP认证考试！！目标定位-听众类型听课的人员情况、人数、授课环境情况课程规划-你需要传达的信息是什么哪些信息你是必须要传达到的、哪些内容是你能传达清晰的实施授课准备PPT预备开始讲课调节课堂气氛总结与回顾1-1准备PPT课件的作用课程大纲引导思路制作吸引人的PPT,避免以下问题PPT变成演讲稿大量特效动画展示文字太多听众看不清幻灯片内容没有条理,不知所写1-2准备PPT字体：标题：40-50标题-标题-标题-标题正文：22-28正文-正文-正文图表：16-22图表-图表-图表-图表总结：标题：正文：图表=1：0.8：0.61-3背景与颜色尽量使用标准PPT模板界面简洁直观对重点元素采用多色阶标识重点词汇-需要关注-知识点区分表格配色1-4准备PPT英文缩写英文缩写字可以让简报内容更精简，更专业对不熟悉的听众不要用缩写,要全文拼出，如：ISMS（InformationSecurityManagerSystem，信息安全管理体系）数字的使用数字会说话,使用数字会让简报更有说服力幻灯片中表示的数字要精确口诉的数字可以用近似值1-5准备PPT描述方式根据资料统计，入侵事件随着互联网的发展呈逐年递增趋势，虽然2003年漏洞数量相比2002年有所降低，但入侵事件却有增无减，仅2003年前三个季度入侵事件就比整个2002年的总和多出近一半。表格方式025,00050,00075,000100,000125,000150,000199819992000200120022003安全事件漏洞报告实施授课——预备第一原则请提早到场，确认教学设备，熟悉环境。进行简单的自我介绍时间:不超过3分钟信息：自己的专业特长和授课经历建议：简短、低调、留有余地实施授课——开始尽量按照授课计划控制进度控制授课时间与内容建议每节课70~80分钟，休息20分钟对当天的授课内容做一个总体的简介主要内容重点内容与前后课程的关联实施授课——讲课目标明确，言简意赅逻辑严谨基本概念、基本原理描述准确；观点表达明确、前后一致、内容连贯。思路连贯、主线分明尽可能做到理论联系实际，使用素材和案例注重内容的前后关联与前后呼应实施授课——幻灯片的要点幻灯片讲解四要素：点明每张幻灯片的标题——目的明确理解每张幻灯片的意图——向学生传达什么信息注重前后幻灯片的关联——有概述、有分解描述、有前后知识点的联系含有复杂内容的幻灯片——重点讲解关键内容幻灯片是课程的纲要——骨架讲解是对幻灯片内容的丰富——血与肉两者的结合——实现丰满的表达实施授课——调节课堂气氛如何使您的讲课像“大片”一样打动学员？仔细观察学员反应，决定是否需要调节课堂气氛多使用夸张的表情、轻松幽默的语言多打比方，将专业理论通俗化理解如果可能，尽可能多提问如果可能，提出问题，请学员们分组讨论实施授课——交流学员对本知识域内容的理解情况学员在具体工作中关于本知识域中的问题在不同标准与版本的概念的理解情况横向知识域的交流如：基于业务的评估与基于资产的风险评估；风险评估与等级保护测评等实施授课——处理突发事件学员的提问讲解过程中的错误设备故障迟到课程之外的要求实施授课——总结与回顾如何使您的讲课像“长篇评书”一样吸引学员？使用“总—分---总”的方式讲课每天的开始进行简短的描述前一天课程回顾当天课程展望每天的结束则进行当天内容总结下一天课程简介实施授课——总结的技巧根据大纲概述内容以提问方式复习重点内容信息安全风险是来自外部的威胁利用了系统自身存在的脆弱性作用于资产形成。风险的4种控制方法有：减低风险/转嫁风险/规避风险/接受风险信息安全风险管理是基于可接受的成本，对影响信息系统的安全风险进行识别、控制、减少或消除的过程参照教材对本章内容进行复习检查授课效果——技巧与方法如何自我检查授课效果？课后与学员交流、侧面了解与班主任交流、正面了解收集和总结自己的讲课反馈调查表听自己的讲课视频听其他老师的讲课视频身体姿势过于僵硬、小动作、背对学员视线只看电脑屏幕或者天花板，不看学员语言语调平淡、口头禅、虚字词语、念PPT……38改进与提高——常见问题改进与提高——注意事项职业讲师的风范：保持微笑不要坐着讲课不要朗诵PPT注意学员的表情和肢体动作合理分配时间充分使用现场教具为学员拷贝资料时作好保密/知识产权保护工作改进与提高——要诀如何提高自己，不要被学员评价为“毁人无数”？请牢记以下四项基本原则：1、请遵循国际质量管理体系的方法：PDCA！2、学海无涯、艺无止境！3、为人师表，诲人不倦！4、台上一分钟、台下十年功！40授课技巧小结P——认真备课，制定授课计划D——按计划实施授课C——课后检查授课效果A——总结经验，改进与提高41大纲一、职业培训讲师基本功二、提高授课技巧的要点三、CISP课程授课实战演练三、CISP课程授课实战演练CISP课程体系简介CISP知识讲解——风险管理风险评估素材与案例43CISP三元组大纲教材PPT讲师CISP知识体分类串讲CISP课程授课要素合-CISP的整合纵-贯穿的要素连-前阶段的复习横-广度的追溯风险管理——知识点描述知识类：信息安全管理分值：CISE-20、CISO-40，本知识类分值重点、难点、工作中的应用涉及到的标准、在PDCA的位置、贯穿于整个保障体系中的作用简要描述各知识域的要点和课时分配。复习与本节相关内容风险管理驱动力保障的诱因风险评价风险管理PDCA实施阶段（D）PDCA检查与改进（C-A）五个过程：计划-开发采购-实施交付-运行维护=废弃四要素：管理、技术、工程、人三个特征：机密性、完整性、可用性PDCA计划阶段（P）讲解知识域相邻标准与参考教材ISO27002、ISO17799、BS7799、ISO13335、SP800GB/T20984CISSPCISA难点、考点难点、考点难点、考点难点、考点重点、考点重点、考点介绍性内容、案例介绍性内容、案例风险的理解(CISSP)威胁因素（Threatagent）威胁（Threat）脆弱性（vulnerability）风险（Risk）资产（Asset）暴露（exposure）安全措施（Safeguard）GivesrisetoExploitsleadstoCandamageAndcausesanCanbecountermeasuredbyaDirectlyaffects风险的理解(用例)雨威胁源作用于对象身体健壮者身体素质较差病人或者体弱者1、影响及后果低2、接受风险1、存在一定影响，可能造成不良后果2、需要一定措施消减1、一定会有影响，会造严重后果2、需要措施消减或者规避风险或者转嫁风险脆弱性影响风险处置风险的理解(引入概念)概念：风险53最简单的定义是“起作用的不确定性”，它之所以起作用，是因为它能够影响一个或多个目标。机会（发生的概率）脆弱性威胁机密性完整性可用性资产人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。-GB/T20984风险管理与前后章节关联风险管理风险技术风险信息安全组织信息安全策略资产管理人类资源安全物理与环境安全通信及操作管理访问控制信息系统的获取、开发与维护信息安全事故管理业务连续性管理符合性网络安全物理安全系统安全应用安全数据安全风险评估风险处置风险跟踪与改进风险评估——案例分析1风险评估方法定量分析定性分析组合分析常用工具扫描器检查表风险评估——案例分析2具体操作分析：漏洞扫描结果分析网络拓扑分析风险赋值报告总结为什么要讲(明确目的)给谁去讲(明确对象)如何讲(确定方法)讲到什么程度(把握能力)不断的更新（自我学习能力）理论结合实践(学以致用)讨论和交流2011-11