個人信息安全專業(yè)知識、技能與經驗的證明

CISSP 認證考試測試專業(yè)人員在(ISC)2CISSP CBK?八大知識領域所具備的能力與水平，涵蓋風險管理、云計算、移動安全、應用開發(fā)安全等關鍵安全議題。 CISSP 應考人員必須在八大知識領域的兩個或以上范疇，擁有至少 5 年全職工作經驗。 CISSP 考試對考生的綜合素質要求較高、知識面廣、信息量大、考試時間長、與實務和經驗緊密結合，這些是 CISSP 考試不同于其它認證考試的突出特點。

CISSP 持證人員通常在所任職公司擔任以下工作職務：

首席信息安全官

信息安全總監(jiān)

信息技術總監(jiān)/經理

安全經理

安全顧問

安全審計師

安全架構師

安全分析師

安全系統工程師

網絡架構師

CISSP CBK 八大知識領域：

CISSP 知識領域基于 (ISC)2 CBK 內包含的各種信息安全議題，并每年更新一次，以反映全球最新的行業(yè)實踐。

安全與風險管理 （安全、風險、合規(guī)、法律、法規(guī)、業(yè)務連續(xù)性）

資產安全 （保護資產的安全性）

安全工程 （安全工程與管理）

通信與網絡安全 （設計和保護網絡安全）

身份與訪問管理 （訪問控制和身份管理）

安全評估與測試 （設計、執(zhí)行和分析安全測試）

安全運營 （基本概念、調查、事件管理、災難恢復）

軟件開發(fā)安全 （理解、應用、和實施軟件安全）

課程介紹：

本課程是 CISSP 官方標準認證課程。培訓內容將涵蓋 CISSP 官方認證課程的八大知識領域。CISSP（Certified information System Security Professional, 注冊信息系統安全認證專家）是目前世界上權威、全面的國際化信息系統安全方面的認證，由國際信息系統安全認證協會(ISC)2組織和管理，(ISC)2在全世界各地舉辦考試，符合考試資格的人員在通過考試后被授予CISSP 認證證書。CISSP 可以證明證書持有者具備了符合國際標準要求的信息安全知識水平和經驗能力，提升其專業(yè)可信度，并為企業(yè)和組織提供尋找專業(yè)人員的憑證依據，目前已經得到了全世界廣泛的認可。越來越多的公司要求自己和合作伙伴的員工擁有 CISSP，該資質持有者目前供不應求。取得 CISSP 認證，表明持有者擁有完善的信息安全知識體系和豐富的行業(yè)經驗，以卓越的能力服務于各大 IT 相關企業(yè)及電信、金融、大型制造業(yè)、服務業(yè)等行業(yè)，CISSP 的工作能力值得信賴。

培訓對象及學員基礎：

企業(yè)信息安全負責人員

企業(yè)信息安全技術人員、管理人員

企業(yè)IT運維人員（網絡、系統、機房等）

企業(yè)IT及信息安全審計人員

其他信息安全從業(yè)人員

學員至少擁有5年以上IT從業(yè)背景，具備2年以上信息安全相關工作經驗。

培訓目標：

 安全與風險管理 (安全、風險、合規(guī)、法律、法規(guī)、業(yè)務連續(xù)性)

資產安全 (保護資產的安全性)

安全工程 (安全工程與管理)

通信與網絡安全 (設計和保護網絡安全 )

身份與訪問管理 (訪問控制和身份管理 )

安全評估與測試 (設計、執(zhí)行和分析安全測試)

安全運營 (基本概念、調查、事件管理、災難恢復)

軟件開發(fā)安全 (理解、應用、和實施軟件安全)

內容介紹：

CISSP-安全與風險管理域

1. 理解并應用機密性、完整性，和可用性的概念

2. 應用安全治理原則

3. 符合性

4. 理解全球范圍內屬于信息安全的法律法規(guī)問題

5. 理解職業(yè)道德

6. 制定并實施文檔化的安全策略，標準，過程，和指南

7. 理解業(yè)務連續(xù)性需求

8. 促成人員安全策略

9. 理解并應用風險管理概念

10. 理解并應用威脅建模

11. 將安全風險考慮整合到采購策略并實踐之

12. 建立并管理安全教育，培訓，和意識

CISSP-資產安全領域

1. 信息和支持性資產分級

2. 確定和維護所有權

3. 保護隱私

4. 確定合適的保存

5. 確定數據安全控制

6. 確定數據處理的需求

CISSP-安全工程域

1. 依照安全設計原則執(zhí)行和管理工程生命周期。

2. 了解安全模型的基本概念。

3. 依照信息系統安全標準挑選控制和對策。

4. 了解信息系統的安全能力。

5. 評價和抑制安全架構、設計和解決方案元素的脆弱性。

6. 評價和抑制 Web 系統的脆弱性。

7. 評價和抑制移動系統的脆弱性。

8. 評價和抑制嵌入式設備和網絡化物理系統的脆弱性。

9. 應用密碼技術。

10. 把安全原則應用到場地和設施設計。

11. 設計和執(zhí)行設施安全。

CISSP-通信和網絡安全域

1. 將安全設計原理應用到網絡架構

2. 網絡組件安全

3. 設計和建立安全通信通道

4. 預防或減輕網絡攻擊

CISSP-身份與訪問管理領域

1. 資產的物理和邏輯訪問控制

2. 人員和設備的身份標識、認證和管理

3. 身份作為服務(IDaaS)

4. 集成的第三方身份認證服務

5. 實施和管理授權機制

6. 預防或減少訪問控制攻擊

7. 管理身份和配置訪問生命周期

CISSP-安全評估和測試領域

1. 設計和驗證評估和測試戰(zhàn)略

2. 執(zhí)行安全控制測試

3. 收集安全過程數據

4. 執(zhí)行或支持內部和第三方審計

CISSP-安全運營領域

1. 理解和支持研究

2. 理解研究類型的需求

3. 行為記錄和監(jiān)控活動

4. 通過配置管理安全的提供資源

5. 理解和應用基本的安全操作概念

6. 使用資源保護技術

7. 實施事件響應

8. 操作和維護防范措施

9. 實施和支持補丁和漏洞管理

10. 參與并了解變更管理流程

11. 實施恢復策略

12. 實施災難恢復流程

13. 測試災難恢復計劃

14. 參與業(yè)務連續(xù)性規(guī)劃工作

15. 實施和管理物理安全

16. 參與人員安全

CISSP-軟件開發(fā)域

1. 理解安全并將其應用于軟件開發(fā)生命周期

2. 在開發(fā)環(huán)境中實施安全控制

3. 評估軟件安全的有效性

4. 評估軟件采購安全