CISSP介绍
CISSP® (Certified Information Systems Security Professional) – “(ISC)²® 注册信息系统安全师” 认证是信息安全领域最被全球广泛认可的IT安全认证,一直以来被誉为业界的“金牌标准”。CISSP 认证不仅是对个人信息安全专业知识的客观评估,也是全球公认的个人成就标准。
CISSP 持证人员是确保组织运营环境安全,定义组织安全架构、设计、管理和/或控制措施的信息安全保障专业人士,CISSP 持证者堪称名副其实的、可信赖的安全顾问。CISSP 认证将确保信息安全领导者拥有可靠地构建及管理组织的安全态势所必备的广泛知识、技能与经验。CISSP 是信息安全行业首个符合ISO/IEC 17024 国际标准严格要求的认证。如果您打算在信息安全这一当今最为瞩目的行业领域里成就一番事业,获得CISSP认证理应成为您下一个职业目标。
认证机构(ISC)²®介绍
(ISC)²®(读作:ISC-Squared,国际信息系统安全认证联盟) 成立于1989年,是全球最大的网络、信息、软件与基础设施安全认证会员制非营利组织,是为信息安全专业人士职业生涯提供教育及认证服务的全球领导者。
CISSP CBK八大知识领域
CISSP 知识领域基于 (ISC)² CBK 内包含的各种信息安全议题
安全与风险管理 (安全、风险、合规、法律、法规、业务连续性)
资产安全 (保护资产的安全性)
安全工程 (安全工程与管理)
通信与网络安全 (设计和保护网络安全)
身份与访问管理 (访问控制和身份管理)
安全评估与测试 (设计、执行和分析安全测试)
安全运营 (基本概念、调查、事件管理、灾难恢复)
软件开发安全 (理解、应用、和实施软件安全)
经验要求
考生必须在(ISC)² CISSP公共知识体系(CBK)八大知识域中的至少两个或两个以上领域,拥有至少5年全职工作经验。拥有4年大学本科学历或同等学历,以及(ISC)²认可的其它证书可以抵免一年的工作经验。所有教育学位最多只能抵免一年工作经验。
没有满足CISSP所需工作经验的考生,如果能够通过CISSP考试则可以成为(ISC)²的准会员(Associate)。(ISC)²的准会员可以用接下来的6年时间积累所需工作经验。
CISSP考试
考试时长:6小时
考题数量:250道
考题格式:单选题
通过标准:总分1000分达到700分
培训对象
企业信息安全负责人员;
信息安全管理人员;
信息安全技术人员;
企业IT负责人员;
企业IT运维人员;
IT及信息安全审计人员;
其他信息安全从业人员
学习收益
个人:
企业:
(ISC)² 证书获国际广泛认可,可提升企业在全球市场上的整体竞争力;
提高企业的信誉,使供应商和承包商更有信心与企业合作;
使员工掌握一种通用语言,避免对业界公认的条款和行为准则产生歧义;
证明企业在业内的多年经验与行业承诺;
持证员工必须持续进修,获得足够持续专业教育(CPE)学分,以确保其技能与时俱进;
确保企业遵守政府规定或行业规范;
满足服务提供商或分包商对于资格认证的特定要求。
慧谷培训特色:
资深讲师从业多年经验,帮助学员梳理各领域知识,采用案例和技术相结合的授课模式;
丰富、实践、互动性的授课方式帮助学员更好地掌握知识,顺利通过考试;
定期更新学习辅导内容,满足学员的学习目标;为学员提供即时帮助;
已通过CISSP专业人员组成后续服务团队,随时解答学习难点并梳理学习计划;
顺利通过考试的学员,我们也会提供后续服务帮助引荐证书推荐人。
CISSP课程大纲
1)安全与风险管理
关键知识域:
A. 理解并应用保密性、完整性和可用性的概念、应用安全治理原则
B. 合规、理解与信息安全有关的法律和法规问题
C. 理解专业人员道德品质
D. 开发并实施文件化的安全策略、标准、规程和指南
E. 理解业务连续性要求
F. 个人安全策略
G. 理解并应用威胁建模
H. 建立并管理信息安全教育、意识和培训
2)资产安全
关键知识域:
A. 信息及支持性资产的分级(例如敏感性和关键性)
B. 确定并维持资产责任人(例如数据责任人、系统责任人、业务/使命责任人)
C. 隐私保护
D. 确保适当的保存
E. 确定数据安全控制(例如存储的数据、传输的数据)
F. 建立处置要求(例如敏感信息的标记、存储、分发)
3)安全工程
关键知识域:
A. 使用安全设计原则的工程过程的实施和管理
B. 理解安全模型的基础概念、基于系统安全评价模型选择控制和对策
C. 理解信息系统的安全能力(例如存储保护、虚拟化、可信平台模块、界面、容错)
D. 评估并减缓安全架构、设计和解决元素的脆弱性、评估并减缓基于Web(例如XML、OWASP)的脆弱性
E. 评估并减缓移动系统的脆弱性、评估并减缓嵌入设备和网络物理系统(例如物联网)的脆弱性
F. 应用密码
G. 在场所和设施的设计中应用安全原则、设计并实施物理安全
4)通信与网络安全
关键知识域:
A. 在网络架构(例如IP和非IP协议)中应用安全设计原则
B. 安全网络组件
C. 设计并建立安全通信渠道
D. 防护或减缓网络攻击
5)身份与访问管理
关键知识域:
A. 资产的物理和逻辑访问控制
B. 人员和设备的身份和鉴证管理
C. 作为一项服务整合身份(例如云身份)
D. 整合第三方身份服务
E. 实施并管理授权机制
F. 防护或减缓访问控制攻击
G. 管理身份和访问配置生命周期
6)安全评估与测试
关键知识域:
A. 设计并验证评估和测试战略
B. 管理安全控制测试
C. 收集安全过程数据(例如管理和运行控制)
D. 分析并报告测试输出(例如自动化手段、手工手段)
E. 实施内部和第三方审核
7)安全运营
关键知识域:
A. 理解并支持调查、理解调查类型的要求
B. 理解并应用基础的安全运营的概念、实施日志和监视活动
C. 资源配置安全、使用资源保护技术
D. 实施事件管理、运行并保持预防措施
E. 实施并支持补丁和脆弱性管理
F. 参与并理解变更管理过程(例如版本控制、基线、安全影响分析)
G. 实施恢复战略、实施灾难恢复过程、测试灾难恢复计划、参与业务连续性计划和演练
H. 实施并管理物理安全、参与解决个人安全问题
8)软件开发安全
关键知识域:
A. 在软件开发生命周期中应用安全
B. 在开发环境中加强安全控制
C. 评估软件安全的有效性
D. 评估获取软件的安全影响
