TRAINOCATE - 日本市佔第一、亞洲培訓首選 - 企業最佳人力資源發展夥伴
  • 培訓課程
  • 課程目錄
    • 線上閱覽
    • 索取紙本
  • 場地服務
    • 空間租借
    • 社群服務
  • 考試中心
    • Kryterion
    • Pearson VUE
    • psi
  • 最新消息
  • 關於Trainocate
    • 公司介紹
    • 環境導覽
    • 訂閱學員報
    • 聯絡我們
  
CISSP >> 課程介紹

Certified in Information Systems Security Professional
註冊課程
CISSP 資訊安全認證課程
課程代碼
SP-CISSP
課程天數
5 天​
​課程概要
課程基於 (ISC)² CISSP CBK 包含的數種資訊安全議題如下八大領域:
  • 安全與風險管理 (安全、風險、合規、法律、法規、業務連續性)
  • 資產安全 (保護資產的安全性)
  • 安全工程 (安全工程與管理)
  • 通訊與網絡安全 (設計和保護網絡安全)
  • 身份與訪問管理 (訪問控制和身份管理)
  • 安全評估與測試 (設計、執行和分析安全測試)
  • 安全運營 (基本概念、調查、事件管理、災難恢復)
  • 軟體開發安全 (理解、應用、和實施軟體安全)
學習目標和取得技能
完成本課程後,您將能夠:
習得CISSP CBK®八大知識領域所需具備的相關知識,涵蓋風險管理、雲計算、移動安全、應用開發安全等關鍵安全議題。
教學方式
中文講師指導課程
教材與實驗
講師自編英文教材
課程適合對象
  • 資訊安全經理
  • 資訊技術經理
  • 安全經理
  • 安全顧問
  • 安全審計師
  • 安全架構師
  • 安全分析師
  • 安全系統工程師
  • 網絡架構師
前備知識
課前與考前建議先備之知識與技能
  • 欲參加CISSP考生必須在 (ISC)² CISSP CBK 八大知識域中的至少兩個或兩個以上領域,擁有至少5年全職工作經驗。
  • 擁有4年大學本科學歷或同等學歷,以及 (ISC)² 認可的其它證書可以抵免一年的工作經驗。所有教育學位最多只能抵免一年工作經驗。
  • 沒有滿足CISSP所需工作經驗的考生,如果能夠通過CISSP考試則可以成為 (ISC)² 的準會員(Associate)。 (ISC)² 的準會員可以用接下來的6年時間積累所需工作經驗。
課程大綱
CISSP 考試準備課程包括十個主要部分,涵蓋以下主題:
  • 通用考試資訊
  • 安全與風險管理
  • 資產安全
  • 安全架構和工程通訊與網路安全
  • 身份和訪問管理(IAM)安全評估和測試
  • 安全運營
  • 軟體開發安全
  • 考試實務
每日課程將通過講座、小組活動和練習題等形式來涵蓋 1-2 個 CISSP 領域
1. 課程介紹​
  • 學生和講師簡介
  • 誰應該參加本課程?
  • 關於(ISC)2
  • CISSP 認證
  • CISSP 考試
  • CBK 審查、領域和職能領域
2. 安全 & 風險管理
  • ​了解並應用機密性、完整性和可用性的概念
  • 評估並應用安全治理原則
  • 使安全功能與業務戰略、目標、任務和目標保持一致
  • 組織流程(例如收購、資產剝離、治理委員會)
  • 組織角色和職責
  • 安全控制框架
  • 應有的注意/盡職調查
  • 確定合規要求
  • 合約、法律、行業標準和法規要求
  • 隱私要求
  • 了解全球範圍內與信息安全有關的法律和法規問題
  • 網絡犯罪和數據洩露
  • 許可和知識產權要求
  • 導入/導出控件
  • 跨境數據流
  • 隱私權
  • 了解、堅持和促進職業道德
  • (ISC)²職業道德守則
  • 組織道德守則
  • 制定、記錄和實施安全策略、標準、過程和準則
  • 識別、分析業務連續性(BC)需求並確定其優先順序
  • 制定並記錄範圍和計劃
  • 業務影響分析(BIA)
  • 制定並執行人員安全政策和程序
  • 成員篩选和招聘
  • 就業協議和政策
  • 入職和離職流程
  • 供應商、顧問和承包商協議和控制
  • 合規政策要求
  • 隱私政策要求
  • 了解並應用風險管理概念
  • 識別威脅和漏洞
  • 風險評估/分析
  • 風險應對
  • 對策選擇與實施
  • 適用的控件類型(例如預防、偵查、糾正)
  • 安全控制評估(SCA)
  • 監控和測量
  • 資產評估
  • 報告
  • 連續的提高
  • 風險框架
  • 了解並應用威脅建模概念和方法
  • 威脅建模方法
  • 威脅建模概念
  • 將基於風險的管理概念應用於供應鏈
  • 與硬體、軟體和服務相關的風險
  • 第三方評估和監控
  • 最低安全要求
  • 服務水平要求
  • 建立並維護安全意識,教育和培訓計劃
  • 進行認識和培訓的方法和技巧
  • 定期內容審查
  • 計劃有效性評估
3. 資產安全
  • 識別和分類資訊和資產
  • 數據分類
  • 資產分類
  • 確定並維護資訊和資產所有權
  • 保護隱私
  • 數據所有者
  • 數據處理器
  • 數據剩餘
  • 收藏限制
  • 確保適當的資產保留
  • 確定數據安全控制
  • 了解數據狀態
  • 範圍和剪裁
  • 標準選擇
  • 數據保護方法
  • 建立資訊和資產處理要求
4. 安全架構和工程
  • 使用安全的設計原則實施和管理工程流程
  • 了解安全模型的基本概念
  • 根據系統安全要求選擇控件
  • 了解資訊系統的安全功能(例如內存保護、可信平台模塊(TPM)、加密/解密)
  • 評估和緩解安全體系結構,設計和解決方案元素的漏洞
  • 基於客戶端的系統
  • 基於服務器的系統
  • 數據庫系統
  • 密碼系統
  • 工業控制系統(ICS)
  • 基於雲的系統
  • 分佈式系統
  • 物聯網(IoT)
  • 評估和緩解基於Web系統中的漏洞
  • 評估和緩解移動系統中的漏洞
  • 評估和緩解嵌入式設備中的漏洞
  • 應用加密
  • 密碼生命週期(例如密鑰管理、算法選擇)
  • 加密方法(例如對稱、不對稱、橢圓曲線)
  • 公鑰基礎結構(PKI)
  • 關鍵管理實踐
  • 數位簽名
  • 不可否認
  • 完整性(例如hashing)
  • 了解密碼分析攻擊的方法
  • 數位版權管理(DRM)
  • 將安全原則應用於站點和設施設計
  • 實施站點和設施安全控制
  • 配線間/中間分配設施
  • 服務器機房/數據中心
  • 媒體存儲設施
  • 證據存儲
  • 受限和工作區安全
  • 公用事業與暖氣、通風和空調(HVAC)
  • 環境問題
  • 防火、偵查和撲救
5. 通訊 & 網路安全
  • ​在網絡架構中實施安全設計原則
  • 開放系統互連(OSI)和傳輸控制協議/互聯網協議(TCP / IP)模型
  • Internet協議(IP)網絡
  • 多層協議的含義
  • 融合協議
  • 軟件定義的網絡
  • 無線網絡
  • 安全的網絡組件
  • 硬件操作
  • 傳輸媒體
  • 網絡訪問控制(NAC)設備
  • 端點安全
  • 內容分發網絡
  • 根據設計實現安全的通訊渠道
  • 語音
  • 多媒體協作
  • 遠程訪問
  • 數據通訊
  • 虛擬網絡
6. 身份 & 訪問管理
  • 控制對資產的物理和邏輯訪問
            1. 資訊
            2. 系統
            3. 設備
            4. 設施
  • 管理人員、設備和服務的標識和認證
  • 身份管理實施
  • 單/多因素身份驗證
  • 問責制
  • 會議管理
  • 身份註冊和證明
  • 聯合身份管理(FIM)
  • 憑證管理系統
  • 將身份集成為第三方服務
  • 本地部署
  • 雲端
  • 聯合
  • 實施和管理授權機制
  • 基於角色的訪問控制(RBAC)
  • 基於規則的訪問控制
  • 強制訪問控制(MAC)
  • 自由訪問控制(DAC)
  • 基於屬性的訪問控制(ABAC)
  • 管理身份和訪問供應生命週期
  • 用戶訪問權限審查
  • 系統帳戶訪問權限審查
  • 配置和取消配置
7. 安全評估 & 測試
  • 設計和驗證評估、測試和審計策略
  • 內部
  • 外部
  • 第三方
  • 進行安全控制測試
  • 漏洞評估
  • 滲透測試
  • 登錄評論
  • 綜合交易
  • 代碼審查和測試
  • 濫用案例測試
  • 測試覆蓋率分析
  • 接口測試
  • 收集安全流程數據(例如技術和管理數據)
  • 帳戶管理
  • 管理層審核和批准
  • 關鍵績效和風險指標
  • 備份驗證數據
  • 培訓和意識
  • 災難恢復(DR)和業務連續性(BC)
  • 分析測試輸出並生成報告
  • 進行或促進安全審核
8. 安全營運
  • 了解和支持調查
  • 證據收集與處理
  • 報告和文件
  • 調查技術
  • 數位取證工具、策略和程序
  • 了解調查類型的要求
  • 行政
  • 刑事
  • 民事
  • 監管
  • 行業標準
  • 進行日誌記錄和監視活動
  • 入侵檢測與預防
  • 安全資訊和事件管理(SIEM)
  • 持續監控
  • 出口監控
  • 安全地調配資源
  • 資產庫存
  • 資產管理
  • 配置管理
  • 了解並應用基礎安全操作概念
  • 需要知道/最少的特權
  • 職責分離
  • 特權帳戶管理
  • 職位輪換
  • 資訊生命週期
  • 服務水平協議(SLA)
  • 應用資源保護技術
  • 媒體管理
  • 硬體和軟體資產管理
  • 進行事件管理
  • 檢測
  • 回應
  • 緩解
  • 報告
  • 恢復
  • 補救
  • 得到教訓
  • 操作和維護偵探和預防措施
  • 防火牆
  • 入侵檢測和預防系統
  • 白名單/黑名單
  • 第三方提供的安全服務
  • 沙箱
  • Honeypots/honeynets
  • 反惡意軟體
  • 實施並支持補丁和漏洞管理
  • 了解並參與變更管理流程
  • 實施恢復策略
  • 備份存儲策略
  • 恢復站點策略
  • 多個加工地點
  • 系統彈性、高可用性、服務品質(QoS)和容錯能力
  • 實施災難恢復(DR)流程
  • 回應
  • 人員
  • 通訊
  • 評估
  • 恢復
  • 培訓和意識
  • 測試災難恢復計劃(DRP)
  • 直通/桌面
  • 演練
  • 模擬
  • 平行
  • 完全中斷
  • 參與業務連續性(BC)計劃和練習
  • 實施和管理物理安全
  • 外圍安全控制
  • 內部安全控制
  • 解決人員安全問題
  • 旅行
  • 安全培訓和意識
  • 應急管理
  • 脅迫
9. 軟體開發安全
  • 了解和集成軟體開發生命週期(SDLC)中的安全性
  • 開發方法
  • 成熟度模型
  • 操作與維護
  • 更換管理層
  • 綜合產品團隊
  • 識別並在開發環境中應用安全控制
  • 軟體環境的安全性
  • 配置管理作為安全編碼的一個方面
  • 代碼庫的安全性
  • 評估軟體安全性的有效性
  • 審核和記錄更改
  • 風險分析和緩解
  • 評估所購軟體的安全影響
  • 定義並應用安全的編碼準則和標準
  • 原始碼級別的安全漏洞和漏洞
  • 應用程式編程接口的安全性
  • 安全編碼實踐

推薦課程
   
圖片
圖片
© 2018-2021 TRAINOCATE or its affiliates. All rights reserved.
網站資訊使用聲明 | 個資當事人行使權利 | 隱私權聲明
創能資訊有限公司 | Trainocate Taiwan Co. Ltd. | 台北市中山區復興南路一段2號9樓
  • 培訓課程
  • 課程目錄
    • 線上閱覽
    • 索取紙本
  • 場地服務
    • 空間租借
    • 社群服務
  • 考試中心
    • Kryterion
    • Pearson VUE
    • psi
  • 最新消息
  • 關於Trainocate
    • 公司介紹
    • 環境導覽
    • 訂閱學員報
    • 聯絡我們