課程大綱

1、安全與風險管理15%

理解和運用保密性、完整性和可用性的概念

評估和應用安全治理的原理

確定合規要求

理解與信息安全的全球背景相關的法律和監管問題

理解、遵從與提升職業道德

開發、撰寫與實現安全政策、標準、流程和指南

對業務連續性進行識別、分析及優先級排序

促進與實行人員安全的策略與流程

理解與運用風險管理的概念

理解與運用威脅建模的概念和方法論

將基于風險的管理概念運用到供應鏈

建立與維護安全意識、教育和培訓計劃

2、資產安全10%

識別與分類信息和資產

確定與維護信息和資產所有權

保護隱私

確保適當的資產保留

確定數據安全控制

建立信息和資產的處理要求

3、安全架構與工程15%

理解安全模型的基本概念

基于系統安全需求選擇控制措施

理解信息系統的安全功能（例如：內存保護、可信平臺模塊

（TPM）、加密/解密）

評估與緩解安全架構、設計和解決方案要素的漏洞

評估和緩解Web系統中的漏洞

評估與緩解移動系統的漏洞

評估與緩解嵌入式設備的漏洞

運用密碼學

將安全原理運用到場所與設施的設計上

實施場所與設施的安全控制

4、通信與網絡安全14%

在網絡架構中實施安全設計原則

網絡組件安全

根據設計實施安全通信通道

5、身份與訪問管理13%

控制對資產的物理和邏輯訪問

管理對人員、設備和服務的身份識別與驗證

集成身份為第三方服務

實施和管理授權機制

管理身份和訪問配置生命周期

6、安全評估與測試12%

設計和驗證評估、測試和審計策略

對安全控制進行測試

收集安全流程數據(如：技術和管理)

分析測試輸出并生成報告

執行或協助安全審計

7、安全運營13%

理解和支持調查、了解調查類型的要求

進行日志記錄和持續監測活動、安全配置資源

理解和應用基本的安全運營概念

應用資源保護技術、執行事件管理

檢測和預防措施的運營及維護、實施和支持補丁和漏洞管理

理解并參與變更管理流程

實施災難恢復(DR)過程、流程、測試災難恢復計劃(DRP)

參與業務連續性(BC)計劃制定和演練

實施和管理物理安全、解決人員安全問題

8、軟件開發安全10%

理解安全并將其融入軟件開發生命周期（SDLC）中

開發環境中識別和應用安全控制

評估軟件安全的有效性

評估獲得軟件對安全的影響

定義并應用安全編碼準則和標準

9、CISSP中文考前輔導

CISSP考前模擬考試

結業典禮全方位后續服務保障，協助你CISSP背書、申請認證，維持CPE、走入信息安全管理實踐

課程價值

理解CISSP八個CBK關鍵知識和概念，熟練掌握各章重點；

豐富、實踐、互動性的授課方式，強化信息安全管理與技術知識，順利通過CISSP考試；

結合學習內容切入案例，幫助學員解決實踐問題引入信息安全管理實踐；

專業的講師團隊和獨立的后續服務團隊為學員的認證和實踐提供持續服務；

課程對象：企業信息安全負責人員；信息安全管理人員；信息安全技術人員；IT經理；』

企業IT負責人；企業IT運維人員；IT及信息安全審計人員；IT工程師；其他信息安全從業人員等；