課程介紹
CISSP 英文全稱:Certified Information Systems Secu- rity Professional,中文全稱:"(ISC)2注冊信息系統安全專家",由(ISC)2組織和管理,是目前全球范圍內最權威,最專業,最系統的信息安全認證。CISSP是一種反映信息系統安全專業人員水平的證書,既可以證明證書持有者具備了符合國際標準要求的信息安全知識和經驗能力,也為企業和組織提供了尋找專業人員的憑證依據,并且已經得到了全球范圍的廣泛認可。
培訓對象
企業信息安全主管,信息安全業內人士 IT審計人員;
安全設備廠商或服務提供商;
信息安全類講師或培訓人員;
其他從事與信息安全相關工作的人員。
課程收益
系統理解和掌握信息安全知識領域的各種概念;
洞悉國際流行安全原則、實務和運作模式;
了解信息安全國際最新進展,提高安全技能。
知識概要
-- 安全管理務實,通訊和網絡安全;
-- 應用程序與系統開發,訪問控制;
-- 密碼學,安全體系和模型;
-- 運作安全,業務連續性計劃和災難恢復;
-- 法律、犯罪調查及道德規范,物理安全。
課程大綱
第一天
第一章 安全與風險管理
安全與風險管理的概念;機密性、完整性與可用性
安全治理;完整與有效的安全體系
合規性(原法律法規章節);全球性法律與法規問題 (原法律法規章節)
理解專業道德(原法律法規章節);理解專業道德(原法律法規章節)
開發與實施安全策略;業務連續性與災難恢復需求(原BCP與DRP章節)
管理人員安全;風險管理的概念
風險管理的概念;威脅建模
采購策略與實踐;安全教育、培訓與意識
第二天
第二章 資產安全
資產安全概念;數據管理:決定與維護所有者
數據標準;數據壽命與使用
信息分級與支持資產;資產管理
資產管理;保護隱私
確保合適的保存;數據安全控制
標準選擇
第三天
第三章 安全工程(新增章節、融合了安全架構、物理安全、密碼學等)
在工程生命周期中應用安全設計原則;安全模型的基本概念
信息系統安全評價模型;安全架構的漏洞
數據庫安全;軟件和系統的漏洞與威脅
嵌入式設備和網絡物理系統的漏洞;密碼學應用
站點和設施的設計考慮;站點規劃
軟件和系統的漏洞與威脅;設施安全的實施與運營
第四章 通信與網絡安全
通信與網絡安全概念;安全網絡架構與設計
多層協議的含義;各類協議
網絡組件安全;通信通道安全
網絡攻擊
第五章 身份與訪問管理
身份與訪問管理概念;資產的物理與邏輯訪問
人員和設備的身份識別與認證;身份管理實施
身份即服務(IDaaS);集成第三方身份服務
授權機制的實施與管理;防護或緩解對訪問控制攻擊
識別與訪問規定的生命周期
第六章 安全評估與測試
安全評估與測試概念;評估與測試策略
收集安全流程數據;內部與第三方審計
第四天
第四章 通信與網絡安全
通信與網絡安全概念;安全網絡架構與設計
多層協議的含義;各類協議
網絡組件安全;通信通道安全
網絡攻擊
第五章 身份與訪問管理
身份與訪問管理概念;資產的物理與邏輯訪問
人員和設備的身份識別與認證;身份管理實施
身份即服務(IDaaS);集成第三方身份服務
授權機制的實施與管理;防護或緩解對訪問控制攻擊
識別與訪問規定的生命周期
第六章 安全評估與測試
安全評估與測試概念;評估與測試策略
收集安全流程數據;內部與第三方審計
第五天
第七章 安全運營(融合了原DRP相關內容)
安全運營概念;調查
為資源提供配置管理;安全運營的基本概念
資源保護;事件響應
針對攻擊的防御性措施;補丁和漏洞管理
變更與配置管理;災難恢復流程
演練計劃回顧;業務連續性與其他風險領域
訪問控制;人員安全
第八章 軟件開發生命周期安全
軟件開發生命周期安全概念;軟件開發安全概要
環境與安全控制;軟件環境安全
軟件保護機制;評估軟件安全的有效性
評估軟件采購安全
認證過程
考試內容:CISSP CAT的最長管理時間為3小時,答對70%獲得證書。每位參加CISSP CAT考試的考生均會由一個遠低于及格標準的考題開始。在考生對某道題作答之后,評分算法會根據所有題目的難度和作答情況重新估算考生的能力。每多作答一道題,計算機對考生能力就會估算更加精確,與傳統的線性考試相比,它能更有效、盡可能多地收集有關考生真實能力水平的信息。
開班信息
暫無開班信息