CISSP - Certified Information Systems Security Professional - TRAINOCATE - 日本市佔第一、亞洲培訓首選

CISSP >> 課程介紹

Certified in Information Systems Security Professional

註冊課程

CISSP 資訊安全認證課程

課程代碼

SP-CISSP

課程天數

5 天

課程概要

課程基於 (ISC)² CISSP CBK 包含的數種資訊安全議題如下八大領域：

安全與風險管理（安全、風險、合規、法律、法規、業務連續性）
資產安全（保護資產的安全性）
安全工程（安全工程與管理）
通訊與網絡安全（設計和保護網絡安全）
身份與訪問管理（訪問控制和身份管理）
安全評估與測試（設計、執行和分析安全測試）
安全運營（基本概念、調查、事件管理、災難恢復）
軟體開發安全（理解、應用、和實施軟體安全）

學習目標和取得技能

完成本課程後，您將能夠：
習得CISSP CBK®八大知識領域所需具備的相關知識，涵蓋風險管理、雲計算、移動安全、應用開發安全等關鍵安全議題。

教學方式

中文講師指導課程

教材與實驗

講師自編英文教材

課程適合對象

資訊安全經理
資訊技術經理
安全經理
安全顧問
安全審計師
安全架構師
安全分析師
安全系統工程師
網絡架構師

前備知識

課前與考前建議先備之知識與技能

欲參加CISSP考生必須在 (ISC)² CISSP CBK 八大知識域中的至少兩個或兩個以上領域，擁有至少5年全職工作經驗。
擁有4年大學本科學歷或同等學歷，以及 (ISC)² 認可的其它證書可以抵免一年的工作經驗。所有教育學位最多只能抵免一年工作經驗。
沒有滿足CISSP所需工作經驗的考生，如果能夠通過CISSP考試則可以成為 (ISC)² 的準會員（Associate）。 (ISC)² 的準會員可以用接下來的6年時間積累所需工作經驗。

課程大綱

CISSP 考試準備課程包括十個主要部分，涵蓋以下主題：

通用考試資訊
安全與風險管理
資產安全
安全架構和工程通訊與網路安全
身份和訪問管理（IAM）安全評估和測試
安全運營
軟體開發安全
考試實務

每日課程將通過講座、小組活動和練習題等形式來涵蓋 1-2 個 CISSP 領域

1. 課程介紹

學生和講師簡介
誰應該參加本課程？
關於（ISC）2
CISSP 認證
CISSP 考試
CBK 審查、領域和職能領域

2. 安全 & 風險管理

了解並應用機密性、完整性和可用性的概念
評估並應用安全治理原則
使安全功能與業務戰略、目標、任務和目標保持一致
組織流程（例如收購、資產剝離、治理委員會）
組織角色和職責
安全控制框架
應有的注意/盡職調查
確定合規要求
合約、法律、行業標準和法規要求
隱私要求
了解全球範圍內與信息安全有關的法律和法規問題
網絡犯罪和數據洩露
許可和知識產權要求
導入/導出控件
跨境數據流
隱私權
了解、堅持和促進職業道德
（ISC）²職業道德守則
組織道德守則
制定、記錄和實施安全策略、標準、過程和準則
識別、分析業務連續性（BC）需求並確定其優先順序
制定並記錄範圍和計劃
業務影響分析（BIA）
制定並執行人員安全政策和程序
成員篩选和招聘
就業協議和政策
入職和離職流程
供應商、顧問和承包商協議和控制
合規政策要求
隱私政策要求
了解並應用風險管理概念
識別威脅和漏洞
風險評估/分析
風險應對
對策選擇與實施
適用的控件類型（例如預防、偵查、糾正）
安全控制評估（SCA）
監控和測量
資產評估
報告
連續的提高
風險框架
了解並應用威脅建模概念和方法
威脅建模方法
威脅建模概念
將基於風險的管理概念應用於供應鏈
與硬體、軟體和服務相關的風險
第三方評估和監控
最低安全要求
服務水平要求
建立並維護安全意識，教育和培訓計劃
進行認識和培訓的方法和技巧
定期內容審查
計劃有效性評估

3. 資產安全

識別和分類資訊和資產
數據分類
資產分類
確定並維護資訊和資產所有權
保護隱私
數據所有者
數據處理器
數據剩餘
收藏限制
確保適當的資產保留
確定數據安全控制
了解數據狀態
範圍和剪裁
標準選擇
數據保護方法
建立資訊和資產處理要求

4. 安全架構和工程

使用安全的設計原則實施和管理工程流程
了解安全模型的基本概念
根據系統安全要求選擇控件
了解資訊系統的安全功能（例如內存保護、可信平台模塊（TPM）、加密/解密）
評估和緩解安全體系結構，設計和解決方案元素的漏洞
基於客戶端的系統
基於服務器的系統
數據庫系統
密碼系統
工業控制系統（ICS）
基於雲的系統
分佈式系統
物聯網（IoT）
評估和緩解基於Web系統中的漏洞
評估和緩解移動系統中的漏洞
評估和緩解嵌入式設備中的漏洞
應用加密
密碼生命週期（例如密鑰管理、算法選擇）
加密方法（例如對稱、不對稱、橢圓曲線）
公鑰基礎結構（PKI）
關鍵管理實踐
數位簽名
不可否認
完整性（例如hashing）
了解密碼分析攻擊的方法
數位版權管理（DRM）
將安全原則應用於站點和設施設計
實施站點和設施安全控制
配線間/中間分配設施
服務器機房/數據中心
媒體存儲設施
證據存儲
受限和工作區安全
公用事業與暖氣、通風和空調（HVAC）
環境問題
防火、偵查和撲救

5. 通訊 & 網路安全

在網絡架構中實施安全設計原則
開放系統互連（OSI）和傳輸控制協議/互聯網協議（TCP / IP）模型
Internet協議（IP）網絡
多層協議的含義
融合協議
軟件定義的網絡
無線網絡
安全的網絡組件
硬件操作
傳輸媒體
網絡訪問控制（NAC）設備
端點安全
內容分發網絡
根據設計實現安全的通訊渠道
語音
多媒體協作
遠程訪問
數據通訊
虛擬網絡

6. 身份 & 訪問管理

控制對資產的物理和邏輯訪問

1. 資訊
2. 系統
3. 設備
4. 設施

管理人員、設備和服務的標識和認證
身份管理實施
單/多因素身份驗證
問責制
會議管理
身份註冊和證明
聯合身份管理（FIM）
憑證管理系統
將身份集成為第三方服務
本地部署
雲端
聯合
實施和管理授權機制
基於角色的訪問控制（RBAC）
基於規則的訪問控制
強制訪問控制（MAC）
自由訪問控制（DAC）
基於屬性的訪問控制（ABAC）
管理身份和訪問供應生命週期
用戶訪問權限審查
系統帳戶訪問權限審查
配置和取消配置

7. 安全評估 & 測試

設計和驗證評估、測試和審計策略
內部
外部
第三方
進行安全控制測試
漏洞評估
滲透測試
登錄評論
綜合交易
代碼審查和測試
濫用案例測試
測試覆蓋率分析
接口測試
收集安全流程數據（例如技術和管理數據）
帳戶管理
管理層審核和批准
關鍵績效和風險指標
備份驗證數據
培訓和意識
災難恢復（DR）和業務連續性（BC）
分析測試輸出並生成報告
進行或促進安全審核

8. 安全營運

了解和支持調查
證據收集與處理
報告和文件
調查技術
數位取證工具、策略和程序
了解調查類型的要求
行政
刑事
民事
監管
行業標準
進行日誌記錄和監視活動
入侵檢測與預防
安全資訊和事件管理（SIEM）
持續監控
出口監控
安全地調配資源
資產庫存
資產管理
配置管理
了解並應用基礎安全操作概念
需要知道/最少的特權
職責分離
特權帳戶管理
職位輪換
資訊生命週期
服務水平協議（SLA）
應用資源保護技術
媒體管理
硬體和軟體資產管理
進行事件管理
檢測
回應
緩解
報告
恢復
補救
得到教訓
操作和維護偵探和預防措施
防火牆
入侵檢測和預防系統
白名單/黑名單
第三方提供的安全服務
沙箱
Honeypots/honeynets
反惡意軟體
實施並支持補丁和漏洞管理
了解並參與變更管理流程
實施恢復策略
備份存儲策略
恢復站點策略
多個加工地點
系統彈性、高可用性、服務品質（QoS）和容錯能力
實施災難恢復（DR）流程
回應
人員
通訊
評估
恢復
培訓和意識
測試災難恢復計劃（DRP）
直通/桌面
演練
模擬
平行
完全中斷
參與業務連續性（BC）計劃和練習
實施和管理物理安全
外圍安全控制
內部安全控制
解決人員安全問題
旅行
安全培訓和意識
應急管理
脅迫

9. 軟體開發安全

了解和集成軟體開發生命週期（SDLC）中的安全性
開發方法
成熟度模型
操作與維護
更換管理層
綜合產品團隊
識別並在開發環境中應用安全控制
軟體環境的安全性
配置管理作為安全編碼的一個方面
代碼庫的安全性
評估軟體安全性的有效性
審核和記錄更改
風險分析和緩解
評估所購軟體的安全影響
定義並應用安全的編碼準則和標準
原始碼級別的安全漏洞和漏洞
應用程式編程接口的安全性
安全編碼實踐

推薦課程