CISSP >> 課程介紹
Certified in Information Systems Security Professional
|
CISSP 資訊安全認證課程
課程代碼
SP-CISSP
課程天數
5 天
課程概要
課程基於 (ISC)² CISSP CBK 包含的數種資訊安全議題如下八大領域:
- 安全與風險管理 (安全、風險、合規、法律、法規、業務連續性)
- 資產安全 (保護資產的安全性)
- 安全工程 (安全工程與管理)
- 通訊與網絡安全 (設計和保護網絡安全)
- 身份與訪問管理 (訪問控制和身份管理)
- 安全評估與測試 (設計、執行和分析安全測試)
- 安全運營 (基本概念、調查、事件管理、災難恢復)
- 軟體開發安全 (理解、應用、和實施軟體安全)
學習目標和取得技能
完成本課程後,您將能夠:
習得CISSP CBK®八大知識領域所需具備的相關知識,涵蓋風險管理、雲計算、移動安全、應用開發安全等關鍵安全議題。
習得CISSP CBK®八大知識領域所需具備的相關知識,涵蓋風險管理、雲計算、移動安全、應用開發安全等關鍵安全議題。
教學方式
中文講師指導課程
教材與實驗
講師自編英文教材
課程適合對象
- 資訊安全經理
- 資訊技術經理
- 安全經理
- 安全顧問
- 安全審計師
- 安全架構師
- 安全分析師
- 安全系統工程師
- 網絡架構師
前備知識
課前與考前建議先備之知識與技能
- 欲參加CISSP考生必須在 (ISC)² CISSP CBK 八大知識域中的至少兩個或兩個以上領域,擁有至少5年全職工作經驗。
- 擁有4年大學本科學歷或同等學歷,以及 (ISC)² 認可的其它證書可以抵免一年的工作經驗。所有教育學位最多只能抵免一年工作經驗。
- 沒有滿足CISSP所需工作經驗的考生,如果能夠通過CISSP考試則可以成為 (ISC)² 的準會員(Associate)。 (ISC)² 的準會員可以用接下來的6年時間積累所需工作經驗。
課程大綱
CISSP 考試準備課程包括十個主要部分,涵蓋以下主題:
- 通用考試資訊
- 安全與風險管理
- 資產安全
- 安全架構和工程通訊與網路安全
- 身份和訪問管理(IAM)安全評估和測試
- 安全運營
- 軟體開發安全
- 考試實務
1. 課程介紹
- 學生和講師簡介
- 誰應該參加本課程?
- 關於(ISC)2
- CISSP 認證
- CISSP 考試
- CBK 審查、領域和職能領域
2. 安全 & 風險管理
- 了解並應用機密性、完整性和可用性的概念
- 評估並應用安全治理原則
- 使安全功能與業務戰略、目標、任務和目標保持一致
- 組織流程(例如收購、資產剝離、治理委員會)
- 組織角色和職責
- 安全控制框架
- 應有的注意/盡職調查
- 確定合規要求
- 合約、法律、行業標準和法規要求
- 隱私要求
- 了解全球範圍內與信息安全有關的法律和法規問題
- 網絡犯罪和數據洩露
- 許可和知識產權要求
- 導入/導出控件
- 跨境數據流
- 隱私權
- 了解、堅持和促進職業道德
- (ISC)²職業道德守則
- 組織道德守則
- 制定、記錄和實施安全策略、標準、過程和準則
- 識別、分析業務連續性(BC)需求並確定其優先順序
- 制定並記錄範圍和計劃
- 業務影響分析(BIA)
- 制定並執行人員安全政策和程序
- 成員篩选和招聘
- 就業協議和政策
- 入職和離職流程
- 供應商、顧問和承包商協議和控制
- 合規政策要求
- 隱私政策要求
- 了解並應用風險管理概念
- 識別威脅和漏洞
- 風險評估/分析
- 風險應對
- 對策選擇與實施
- 適用的控件類型(例如預防、偵查、糾正)
- 安全控制評估(SCA)
- 監控和測量
- 資產評估
- 報告
- 連續的提高
- 風險框架
- 了解並應用威脅建模概念和方法
- 威脅建模方法
- 威脅建模概念
- 將基於風險的管理概念應用於供應鏈
- 與硬體、軟體和服務相關的風險
- 第三方評估和監控
- 最低安全要求
- 服務水平要求
- 建立並維護安全意識,教育和培訓計劃
- 進行認識和培訓的方法和技巧
- 定期內容審查
- 計劃有效性評估
3. 資產安全
- 識別和分類資訊和資產
- 數據分類
- 資產分類
- 確定並維護資訊和資產所有權
- 保護隱私
- 數據所有者
- 數據處理器
- 數據剩餘
- 收藏限制
- 確保適當的資產保留
- 確定數據安全控制
- 了解數據狀態
- 範圍和剪裁
- 標準選擇
- 數據保護方法
- 建立資訊和資產處理要求
4. 安全架構和工程
- 使用安全的設計原則實施和管理工程流程
- 了解安全模型的基本概念
- 根據系統安全要求選擇控件
- 了解資訊系統的安全功能(例如內存保護、可信平台模塊(TPM)、加密/解密)
- 評估和緩解安全體系結構,設計和解決方案元素的漏洞
- 基於客戶端的系統
- 基於服務器的系統
- 數據庫系統
- 密碼系統
- 工業控制系統(ICS)
- 基於雲的系統
- 分佈式系統
- 物聯網(IoT)
- 評估和緩解基於Web系統中的漏洞
- 評估和緩解移動系統中的漏洞
- 評估和緩解嵌入式設備中的漏洞
- 應用加密
- 密碼生命週期(例如密鑰管理、算法選擇)
- 加密方法(例如對稱、不對稱、橢圓曲線)
- 公鑰基礎結構(PKI)
- 關鍵管理實踐
- 數位簽名
- 不可否認
- 完整性(例如hashing)
- 了解密碼分析攻擊的方法
- 數位版權管理(DRM)
- 將安全原則應用於站點和設施設計
- 實施站點和設施安全控制
- 配線間/中間分配設施
- 服務器機房/數據中心
- 媒體存儲設施
- 證據存儲
- 受限和工作區安全
- 公用事業與暖氣、通風和空調(HVAC)
- 環境問題
- 防火、偵查和撲救
5. 通訊 & 網路安全
- 在網絡架構中實施安全設計原則
- 開放系統互連(OSI)和傳輸控制協議/互聯網協議(TCP / IP)模型
- Internet協議(IP)網絡
- 多層協議的含義
- 融合協議
- 軟件定義的網絡
- 無線網絡
- 安全的網絡組件
- 硬件操作
- 傳輸媒體
- 網絡訪問控制(NAC)設備
- 端點安全
- 內容分發網絡
- 根據設計實現安全的通訊渠道
- 語音
- 多媒體協作
- 遠程訪問
- 數據通訊
- 虛擬網絡
6. 身份 & 訪問管理
- 控制對資產的物理和邏輯訪問
2. 系統
3. 設備
4. 設施
- 管理人員、設備和服務的標識和認證
- 身份管理實施
- 單/多因素身份驗證
- 問責制
- 會議管理
- 身份註冊和證明
- 聯合身份管理(FIM)
- 憑證管理系統
- 將身份集成為第三方服務
- 本地部署
- 雲端
- 聯合
- 實施和管理授權機制
- 基於角色的訪問控制(RBAC)
- 基於規則的訪問控制
- 強制訪問控制(MAC)
- 自由訪問控制(DAC)
- 基於屬性的訪問控制(ABAC)
- 管理身份和訪問供應生命週期
- 用戶訪問權限審查
- 系統帳戶訪問權限審查
- 配置和取消配置
7. 安全評估 & 測試
- 設計和驗證評估、測試和審計策略
- 內部
- 外部
- 第三方
- 進行安全控制測試
- 漏洞評估
- 滲透測試
- 登錄評論
- 綜合交易
- 代碼審查和測試
- 濫用案例測試
- 測試覆蓋率分析
- 接口測試
- 收集安全流程數據(例如技術和管理數據)
- 帳戶管理
- 管理層審核和批准
- 關鍵績效和風險指標
- 備份驗證數據
- 培訓和意識
- 災難恢復(DR)和業務連續性(BC)
- 分析測試輸出並生成報告
- 進行或促進安全審核
8. 安全營運
- 了解和支持調查
- 證據收集與處理
- 報告和文件
- 調查技術
- 數位取證工具、策略和程序
- 了解調查類型的要求
- 行政
- 刑事
- 民事
- 監管
- 行業標準
- 進行日誌記錄和監視活動
- 入侵檢測與預防
- 安全資訊和事件管理(SIEM)
- 持續監控
- 出口監控
- 安全地調配資源
- 資產庫存
- 資產管理
- 配置管理
- 了解並應用基礎安全操作概念
- 需要知道/最少的特權
- 職責分離
- 特權帳戶管理
- 職位輪換
- 資訊生命週期
- 服務水平協議(SLA)
- 應用資源保護技術
- 媒體管理
- 硬體和軟體資產管理
- 進行事件管理
- 檢測
- 回應
- 緩解
- 報告
- 恢復
- 補救
- 得到教訓
- 操作和維護偵探和預防措施
- 防火牆
- 入侵檢測和預防系統
- 白名單/黑名單
- 第三方提供的安全服務
- 沙箱
- Honeypots/honeynets
- 反惡意軟體
- 實施並支持補丁和漏洞管理
- 了解並參與變更管理流程
- 實施恢復策略
- 備份存儲策略
- 恢復站點策略
- 多個加工地點
- 系統彈性、高可用性、服務品質(QoS)和容錯能力
- 實施災難恢復(DR)流程
- 回應
- 人員
- 通訊
- 評估
- 恢復
- 培訓和意識
- 測試災難恢復計劃(DRP)
- 直通/桌面
- 演練
- 模擬
- 平行
- 完全中斷
- 參與業務連續性(BC)計劃和練習
- 實施和管理物理安全
- 外圍安全控制
- 內部安全控制
- 解決人員安全問題
- 旅行
- 安全培訓和意識
- 應急管理
- 脅迫
9. 軟體開發安全
- 了解和集成軟體開發生命週期(SDLC)中的安全性
- 開發方法
- 成熟度模型
- 操作與維護
- 更換管理層
- 綜合產品團隊
- 識別並在開發環境中應用安全控制
- 軟體環境的安全性
- 配置管理作為安全編碼的一個方面
- 代碼庫的安全性
- 評估軟體安全性的有效性
- 審核和記錄更改
- 風險分析和緩解
- 評估所購軟體的安全影響
- 定義並應用安全的編碼準則和標準
- 原始碼級別的安全漏洞和漏洞
- 應用程式編程接口的安全性
- 安全編碼實踐
推薦課程