個人信息安全專業(yè)知識、技能與經(jīng)驗的證明

CISSP 認證考試測試專業(yè)人員在(ISC)2CISSP CBK?八大知識領(lǐng)域所具備的能力與水平，涵蓋風險管理、云計算、移動安全、應(yīng)用開發(fā)安全等關(guān)鍵安全議題。 CISSP 應(yīng)考人員必須在八大知識領(lǐng)域的兩個或以上范疇，擁有至少 5 年全職工作經(jīng)驗。 CISSP 考試對考生的綜合素質(zhì)要求較高、知識面廣、信息量大、考試時間長、與實務(wù)和經(jīng)驗緊密結(jié)合，這些是 CISSP 考試不同于其它認證考試的突出特點。

CISSP 持證人員通常在所任職公司擔任以下工作職務(wù)：

首席信息安全官

信息安全總監(jiān)

信息技術(shù)總監(jiān)/經(jīng)理

安全經(jīng)理

安全顧問

安全審計師

安全架構(gòu)師

安全分析師

安全系統(tǒng)工程師

網(wǎng)絡(luò)架構(gòu)師

CISSP CBK 八大知識領(lǐng)域：

CISSP 知識領(lǐng)域基于 (ISC)2 CBK 內(nèi)包含的各種信息安全議題，并每年更新一次，以反映全球最新的行業(yè)實踐。

安全與風險管理 （安全、風險、合規(guī)、法律、法規(guī)、業(yè)務(wù)連續(xù)性）

資產(chǎn)安全 （保護資產(chǎn)的安全性）

安全工程 （安全工程與管理）

通信與網(wǎng)絡(luò)安全 （設(shè)計和保護網(wǎng)絡(luò)安全）

身份與訪問管理 （訪問控制和身份管理）

安全評估與測試 （設(shè)計、執(zhí)行和分析安全測試）

安全運營 （基本概念、調(diào)查、事件管理、災(zāi)難恢復）

軟件開發(fā)安全 （理解、應(yīng)用、和實施軟件安全）

課程介紹：

本課程是 CISSP 官方標準認證課程。培訓內(nèi)容將涵蓋 CISSP 官方認證課程的八大知識領(lǐng)域。CISSP（Certified information System Security Professional, 注冊信息系統(tǒng)安全認證專家）是目前世界上權(quán)威、全面的國際化信息系統(tǒng)安全方面的認證，由國際信息系統(tǒng)安全認證協(xié)會(ISC)2組織和管理，(ISC)2在全世界各地舉辦考試，符合考試資格的人員在通過考試后被授予CISSP 認證證書。CISSP 可以證明證書持有者具備了符合國際標準要求的信息安全知識水平和經(jīng)驗?zāi)芰?，提升其專業(yè)可信度，并為企業(yè)和組織提供尋找專業(yè)人員的憑證依據(jù)，目前已經(jīng)得到了全世界廣泛的認可。越來越多的公司要求自己和合作伙伴的員工擁有 CISSP，該資質(zhì)持有者目前供不應(yīng)求。取得 CISSP 認證，表明持有者擁有完善的信息安全知識體系和豐富的行業(yè)經(jīng)驗，以卓越的能力服務(wù)于各大 IT 相關(guān)企業(yè)及電信、金融、大型制造業(yè)、服務(wù)業(yè)等行業(yè)，CISSP 的工作能力值得信賴。

培訓對象及學員基礎(chǔ)：

企業(yè)信息安全負責人員

企業(yè)信息安全技術(shù)人員、管理人員

企業(yè)IT運維人員（網(wǎng)絡(luò)、系統(tǒng)、機房等）

企業(yè)IT及信息安全審計人員

其他信息安全從業(yè)人員

學員至少擁有5年以上IT從業(yè)背景，具備2年以上信息安全相關(guān)工作經(jīng)驗。

培訓目標：

 安全與風險管理 (安全、風險、合規(guī)、法律、法規(guī)、業(yè)務(wù)連續(xù)性)

資產(chǎn)安全 (保護資產(chǎn)的安全性)

安全工程 (安全工程與管理)

通信與網(wǎng)絡(luò)安全 (設(shè)計和保護網(wǎng)絡(luò)安全 )

身份與訪問管理 (訪問控制和身份管理 )

安全評估與測試 (設(shè)計、執(zhí)行和分析安全測試)

安全運營 (基本概念、調(diào)查、事件管理、災(zāi)難恢復)

軟件開發(fā)安全 (理解、應(yīng)用、和實施軟件安全)

內(nèi)容介紹：

CISSP-安全與風險管理域

1. 理解并應(yīng)用機密性、完整性，和可用性的概念

2. 應(yīng)用安全治理原則

3. 符合性

4. 理解全球范圍內(nèi)屬于信息安全的法律法規(guī)問題

5. 理解職業(yè)道德

6. 制定并實施文檔化的安全策略，標準，過程，和指南

7. 理解業(yè)務(wù)連續(xù)性需求

8. 促成人員安全策略

9. 理解并應(yīng)用風險管理概念

10. 理解并應(yīng)用威脅建模

11. 將安全風險考慮整合到采購策略并實踐之

12. 建立并管理安全教育，培訓，和意識

CISSP-資產(chǎn)安全領(lǐng)域

1. 信息和支持性資產(chǎn)分級

2. 確定和維護所有權(quán)

3. 保護隱私

4. 確定合適的保存

5. 確定數(shù)據(jù)安全控制

6. 確定數(shù)據(jù)處理的需求

CISSP-安全工程域

1. 依照安全設(shè)計原則執(zhí)行和管理工程生命周期。

2. 了解安全模型的基本概念。

3. 依照信息系統(tǒng)安全標準挑選控制和對策。

4. 了解信息系統(tǒng)的安全能力。

5. 評價和抑制安全架構(gòu)、設(shè)計和解決方案元素的脆弱性。

6. 評價和抑制 Web 系統(tǒng)的脆弱性。

7. 評價和抑制移動系統(tǒng)的脆弱性。

8. 評價和抑制嵌入式設(shè)備和網(wǎng)絡(luò)化物理系統(tǒng)的脆弱性。

9. 應(yīng)用密碼技術(shù)。

10. 把安全原則應(yīng)用到場地和設(shè)施設(shè)計。

11. 設(shè)計和執(zhí)行設(shè)施安全。

CISSP-通信和網(wǎng)絡(luò)安全域

1. 將安全設(shè)計原理應(yīng)用到網(wǎng)絡(luò)架構(gòu)

2. 網(wǎng)絡(luò)組件安全

3. 設(shè)計和建立安全通信通道

4. 預防或減輕網(wǎng)絡(luò)攻擊

CISSP-身份與訪問管理領(lǐng)域

1. 資產(chǎn)的物理和邏輯訪問控制

2. 人員和設(shè)備的身份標識、認證和管理

3. 身份作為服務(wù)(IDaaS)

4. 集成的第三方身份認證服務(wù)

5. 實施和管理授權(quán)機制

6. 預防或減少訪問控制攻擊

7. 管理身份和配置訪問生命周期

CISSP-安全評估和測試領(lǐng)域

1. 設(shè)計和驗證評估和測試戰(zhàn)略

2. 執(zhí)行安全控制測試

3. 收集安全過程數(shù)據(jù)

4. 執(zhí)行或支持內(nèi)部和第三方審計

CISSP-安全運營領(lǐng)域

1. 理解和支持研究

2. 理解研究類型的需求

3. 行為記錄和監(jiān)控活動

4. 通過配置管理安全的提供資源

5. 理解和應(yīng)用基本的安全操作概念

6. 使用資源保護技術(shù)

7. 實施事件響應(yīng)

8. 操作和維護防范措施

9. 實施和支持補丁和漏洞管理

10. 參與并了解變更管理流程

11. 實施恢復策略

12. 實施災(zāi)難恢復流程

13. 測試災(zāi)難恢復計劃

14. 參與業(yè)務(wù)連續(xù)性規(guī)劃工作

15. 實施和管理物理安全

16. 參與人員安全

CISSP-軟件開發(fā)域

1. 理解安全并將其應(yīng)用于軟件開發(fā)生命周期

2. 在開發(fā)環(huán)境中實施安全控制

3. 評估軟件安全的有效性

4. 評估軟件采購安全