個(gè)人信息安全專業(yè)知識、技能與經(jīng)驗(yàn)的證明

CISSP 認(rèn)證考試測試專業(yè)人員在(ISC)2CISSP CBK?八大知識領(lǐng)域所具備的能力與水平，涵蓋風(fēng)險(xiǎn)管理、云計(jì)算、移動安全、應(yīng)用開發(fā)安全等關(guān)鍵安全議題。 CISSP 應(yīng)考人員必須在八大知識領(lǐng)域的兩個(gè)或以上范疇，擁有至少 5 年全職工作經(jīng)驗(yàn)。 CISSP 考試對考生的綜合素質(zhì)要求較高、知識面廣、信息量大、考試時(shí)間長、與實(shí)務(wù)和經(jīng)驗(yàn)緊密結(jié)合，這些是 CISSP 考試不同于其它認(rèn)證考試的突出特點(diǎn)。

CISSP 持證人員通常在所任職公司擔(dān)任以下工作職務(wù)：

首席信息安全官

信息安全總監(jiān)

信息技術(shù)總監(jiān)/經(jīng)理

安全經(jīng)理

安全顧問

安全審計(jì)師

安全架構(gòu)師

安全分析師

安全系統(tǒng)工程師

網(wǎng)絡(luò)架構(gòu)師

CISSP CBK 八大知識領(lǐng)域：

CISSP 知識領(lǐng)域基于 (ISC)2 CBK 內(nèi)包含的各種信息安全議題，并每年更新一次，以反映全球最新的行業(yè)實(shí)踐。

安全與風(fēng)險(xiǎn)管理 （安全、風(fēng)險(xiǎn)、合規(guī)、法律、法規(guī)、業(yè)務(wù)連續(xù)性）

資產(chǎn)安全 （保護(hù)資產(chǎn)的安全性）

安全工程 （安全工程與管理）

通信與網(wǎng)絡(luò)安全 （設(shè)計(jì)和保護(hù)網(wǎng)絡(luò)安全）

身份與訪問管理 （訪問控制和身份管理）

安全評估與測試 （設(shè)計(jì)、執(zhí)行和分析安全測試）

安全運(yùn)營 （基本概念、調(diào)查、事件管理、災(zāi)難恢復(fù)）

軟件開發(fā)安全 （理解、應(yīng)用、和實(shí)施軟件安全）

課程介紹：

本課程是 CISSP 官方標(biāo)準(zhǔn)認(rèn)證課程。培訓(xùn)內(nèi)容將涵蓋 CISSP 官方認(rèn)證課程的八大知識領(lǐng)域。CISSP（Certified information System Security Professional, 注冊信息系統(tǒng)安全認(rèn)證專家）是目前世界上權(quán)威、全面的國際化信息系統(tǒng)安全方面的認(rèn)證，由國際信息系統(tǒng)安全認(rèn)證協(xié)會(ISC)2組織和管理，(ISC)2在全世界各地舉辦考試，符合考試資格的人員在通過考試后被授予CISSP 認(rèn)證證書。CISSP 可以證明證書持有者具備了符合國際標(biāo)準(zhǔn)要求的信息安全知識水平和經(jīng)驗(yàn)?zāi)芰?，提升其專業(yè)可信度，并為企業(yè)和組織提供尋找專業(yè)人員的憑證依據(jù)，目前已經(jīng)得到了全世界廣泛的認(rèn)可。越來越多的公司要求自己和合作伙伴的員工擁有 CISSP，該資質(zhì)持有者目前供不應(yīng)求。取得 CISSP 認(rèn)證，表明持有者擁有完善的信息安全知識體系和豐富的行業(yè)經(jīng)驗(yàn)，以卓越的能力服務(wù)于各大 IT 相關(guān)企業(yè)及電信、金融、大型制造業(yè)、服務(wù)業(yè)等行業(yè)，CISSP 的工作能力值得信賴。

培訓(xùn)對象及學(xué)員基礎(chǔ)：

企業(yè)信息安全負(fù)責(zé)人員

企業(yè)信息安全技術(shù)人員、管理人員

企業(yè)IT運(yùn)維人員（網(wǎng)絡(luò)、系統(tǒng)、機(jī)房等）

企業(yè)IT及信息安全審計(jì)人員

其他信息安全從業(yè)人員

學(xué)員至少擁有5年以上IT從業(yè)背景，具備2年以上信息安全相關(guān)工作經(jīng)驗(yàn)。

培訓(xùn)目標(biāo)：

 安全與風(fēng)險(xiǎn)管理 (安全、風(fēng)險(xiǎn)、合規(guī)、法律、法規(guī)、業(yè)務(wù)連續(xù)性)

資產(chǎn)安全 (保護(hù)資產(chǎn)的安全性)

安全工程 (安全工程與管理)

通信與網(wǎng)絡(luò)安全 (設(shè)計(jì)和保護(hù)網(wǎng)絡(luò)安全 )

身份與訪問管理 (訪問控制和身份管理 )

安全評估與測試 (設(shè)計(jì)、執(zhí)行和分析安全測試)

安全運(yùn)營 (基本概念、調(diào)查、事件管理、災(zāi)難恢復(fù))

軟件開發(fā)安全 (理解、應(yīng)用、和實(shí)施軟件安全)

內(nèi)容介紹：

CISSP-安全與風(fēng)險(xiǎn)管理域

1. 理解并應(yīng)用機(jī)密性、完整性，和可用性的概念

2. 應(yīng)用安全治理原則

3. 符合性

4. 理解全球范圍內(nèi)屬于信息安全的法律法規(guī)問題

5. 理解職業(yè)道德

6. 制定并實(shí)施文檔化的安全策略，標(biāo)準(zhǔn)，過程，和指南

7. 理解業(yè)務(wù)連續(xù)性需求

8. 促成人員安全策略

9. 理解并應(yīng)用風(fēng)險(xiǎn)管理概念

10. 理解并應(yīng)用威脅建模

11. 將安全風(fēng)險(xiǎn)考慮整合到采購策略并實(shí)踐之

12. 建立并管理安全教育，培訓(xùn)，和意識

CISSP-資產(chǎn)安全領(lǐng)域

1. 信息和支持性資產(chǎn)分級

2. 確定和維護(hù)所有權(quán)

3. 保護(hù)隱私

4. 確定合適的保存

5. 確定數(shù)據(jù)安全控制

6. 確定數(shù)據(jù)處理的需求

CISSP-安全工程域

1. 依照安全設(shè)計(jì)原則執(zhí)行和管理工程生命周期。

2. 了解安全模型的基本概念。

3. 依照信息系統(tǒng)安全標(biāo)準(zhǔn)挑選控制和對策。

4. 了解信息系統(tǒng)的安全能力。

5. 評價(jià)和抑制安全架構(gòu)、設(shè)計(jì)和解決方案元素的脆弱性。

6. 評價(jià)和抑制 Web 系統(tǒng)的脆弱性。

7. 評價(jià)和抑制移動系統(tǒng)的脆弱性。

8. 評價(jià)和抑制嵌入式設(shè)備和網(wǎng)絡(luò)化物理系統(tǒng)的脆弱性。

9. 應(yīng)用密碼技術(shù)。

10. 把安全原則應(yīng)用到場地和設(shè)施設(shè)計(jì)。

11. 設(shè)計(jì)和執(zhí)行設(shè)施安全。

CISSP-通信和網(wǎng)絡(luò)安全域

1. 將安全設(shè)計(jì)原理應(yīng)用到網(wǎng)絡(luò)架構(gòu)

2. 網(wǎng)絡(luò)組件安全

3. 設(shè)計(jì)和建立安全通信通道

4. 預(yù)防或減輕網(wǎng)絡(luò)攻擊

CISSP-身份與訪問管理領(lǐng)域

1. 資產(chǎn)的物理和邏輯訪問控制

2. 人員和設(shè)備的身份標(biāo)識、認(rèn)證和管理

3. 身份作為服務(wù)(IDaaS)

4. 集成的第三方身份認(rèn)證服務(wù)

5. 實(shí)施和管理授權(quán)機(jī)制

6. 預(yù)防或減少訪問控制攻擊

7. 管理身份和配置訪問生命周期

CISSP-安全評估和測試領(lǐng)域

1. 設(shè)計(jì)和驗(yàn)證評估和測試戰(zhàn)略

2. 執(zhí)行安全控制測試

3. 收集安全過程數(shù)據(jù)

4. 執(zhí)行或支持內(nèi)部和第三方審計(jì)

CISSP-安全運(yùn)營領(lǐng)域

1. 理解和支持研究

2. 理解研究類型的需求

3. 行為記錄和監(jiān)控活動

4. 通過配置管理安全的提供資源

5. 理解和應(yīng)用基本的安全操作概念

6. 使用資源保護(hù)技術(shù)

7. 實(shí)施事件響應(yīng)

8. 操作和維護(hù)防范措施

9. 實(shí)施和支持補(bǔ)丁和漏洞管理

10. 參與并了解變更管理流程

11. 實(shí)施恢復(fù)策略

12. 實(shí)施災(zāi)難恢復(fù)流程

13. 測試災(zāi)難恢復(fù)計(jì)劃

14. 參與業(yè)務(wù)連續(xù)性規(guī)劃工作

15. 實(shí)施和管理物理安全

16. 參與人員安全

CISSP-軟件開發(fā)域

1. 理解安全并將其應(yīng)用于軟件開發(fā)生命周期

2. 在開發(fā)環(huán)境中實(shí)施安全控制

3. 評估軟件安全的有效性

4. 評估軟件采購安全