课程

课程介绍

本课程是基于 CBK 的阶段式培训,由专业讲师执教,教材依据 2015 年最新修订的 CBK 十个知识领域及最新版本的 CISSP ALL IN ONE 4TH 制定,并依据信息安全行业发展实时更新,兼顾了信息安全工作实际运营需求和国际化的特殊需要,结合成人学习心理学最新成果精心设计。参加 CISSP 培训目的在于帮助从业人员系统理解和掌握信息安全知识领域的各种概念、原则、实务和运作,即使不报考 CISSP 考试,也能够借此了解信息安全国际最新进展,健全安全知识,提高安全技能。

培训对象

企业信息安全主管,信息安全业内人士 IT审计人员;
安全设备厂商或服务提供商;
信息安全类讲师或培训人员;
其他从事与信息安全相关工作的人员。

课程收益

系统理解和掌握信息安全知识领域的各种概念;
洞悉国际流行安全原则、实务和运作模式;
了解信息安全国际最新进展,提高安全技能。

知识概要

-- 安全管理务实,通讯和网络安全;
-- 应用程序与系统开发,访问控制;
-- 密码学,安全体系和模型;
-- 运作安全,业务连续性计划和灾难恢复;
-- 法律、犯罪调查及道德规范,物理安全。

课程大纲

模块

学习内容

第一天

第一章 安全与风险管理

安全与风险管理的概念;机密性、完整性与可用性

安全治理;完整与有效的安全体系

合规性(原法律法规章节);全球性法律与法规问题 (原法律法规章节)

理解专业道德(原法律法规章节);理解专业道德(原法律法规章节)

开发与实施安全策略;业务连续性与灾难恢复需求(原BCP与DRP章节)

管理人员安全;风险管理的概念

风险管理的概念;威胁建模

采购策略与实践;安全教育、培训与意识

第二天

第二章 资产安全

资产安全概念;数据管理:决定与维护所有者

数据标准;数据寿命与使用

信息分级与支持资产;资产管理

资产管理;保护隐私

确保合适的保存;数据安全控制

标准选择

第三天

第三章 安全工程(新增章节、融合了安全架构、物理安全、密码学等)

在工程生命周期中应用安全设计原则;安全模型的基本概念

信息系统安全评价模型;安全架构的漏洞

数据库安全;软件和系统的漏洞与威胁

嵌入式设备和网络物理系统的漏洞;密码学应用

站点和设施的设计考虑;站点规划

软件和系统的漏洞与威胁;设施安全的实施与运营

第四章 通信与网络安全

通信与网络安全概念;安全网络架构与设计

多层协议的含义;各类协议

网络组件安全;通信通道安全

网络攻击

第五章 身份与访问管理

身份与访问管理概念;资产的物理与逻辑访问

人员和设备的身份识别与认证;身份管理实施

身份即服务(IDaaS);集成第三方身份服务

授权机制的实施与管理;防护或缓解对访问控制攻击

识别与访问规定的生命周期

第六章 安全评估与测试

安全评估与测试概念;评估与测试策略

收集安全流程数据;内部与第三方审计

第四天

第四章 通信与网络安全

通信与网络安全概念;安全网络架构与设计

多层协议的含义;各类协议

网络组件安全;通信通道安全

网络攻击

第五章 身份与访问管理

身份与访问管理概念;资产的物理与逻辑访问

人员和设备的身份识别与认证;身份管理实施

身份即服务(IDaaS);集成第三方身份服务

授权机制的实施与管理;防护或缓解对访问控制攻击

识别与访问规定的生命周期

第六章 安全评估与测试

安全评估与测试概念;评估与测试策略

收集安全流程数据;内部与第三方审计

第五天

第七章 安全运营(融合了原DRP相关内容)

安全运营概念;调查

为资源提供配置管理;安全运营的基本概念

资源保护;事件响应

针对攻击的防御性措施;补丁和漏洞管理

变更与配置管理;灾难恢复流程

演练计划回顾;业务连续性与其他风险领域

访问控制;人员安全

第八章 软件开发生命周期安全

软件开发生命周期安全概念;软件开发安全概要

环境与安全控制;软件环境安全

软件保护机制;评估软件安全的有效性

评估软件采购安全

认证过程

考试内容:培训后参加6小时的考试,完成250道单选题,答对70%取得证书。

开班信息

暂无开班信息