CISSP介绍
CISSP®(CertifiedInformationSystemsSecurityProfessional)–“(ISC)²®注
册信息系统安全师”认证是信息安全领域最被全球广泛认可(kě)的IT安全认证,一直以来被
誉為(wèi)业界的“金牌标准”。CISSP认证不仅是对个人信息安全专业知识的客观评估,也是全
球公认的个人成就标准。
CISSP持证人员是确保组织运营环境安全,定义组织安全架构、设计、管理(lǐ)和/或控制
措施的信息安全保障专业人士,CISSP持证者堪称名副其实的、可(kě)信赖的安全顾问。CISSP认
证将确保信息安全领导者拥有(yǒu)可(kě)靠地构建及管理(lǐ)组织的安全态势所必备的广泛知识、技能(néng)与
经验。CISSP是信息安全行业首个符合ISO/IEC17024國(guó)际标准严格要求的认证。如果您
打算在信息安全这一当今最為(wèi)瞩目的行业领域里成就一番事业,获得CISSP认证理(lǐ)应成為(wèi)您
下一个职业目标。
认证机构(ISC)²®介绍
(ISC)²®(读作:ISC-Squared,國(guó)际信息系统安全认证联盟)成立于1989年,是全球最大的
网络、信息、软件与基础设施安全认证会员制非营利组织,是為(wèi)信息安全专业人士职业生涯
提供教育及认证服務(wù)的全球领导者。
CISSPCBK八大知识领域
CISSP知识领域基于(ISC)²CBK内包含的各种信息安全议题
安全与风险管理(lǐ)(安全、风险、合规、法律、法规、业務(wù)连续性)
资产安全(保护资产的安全性)
安全工程(安全工程与管理(lǐ))
通信与网络安全(设计和保护网络安全)
身份与访问管理(lǐ)(访问控制和身份管理(lǐ))
安全评估与测试(设计、执行和分(fēn)析安全测试)
安全运营(基本概念、调查、事件管理(lǐ)、灾难恢复)
软件开发安全(理(lǐ)解、应用(yòng)、和实施软件安全)
经验要求
考生必须在(ISC)²CISSP公共知识體(tǐ)系(CBK)八大知识域中的至少两个或两个以上领域,
拥有(yǒu)至少5年全职工作经验。拥有(yǒu)4年大學(xué)本科(kē)學(xué)历或同等學(xué)历,以及(ISC)²认可(kě)的其它证
书可(kě)以抵免一年的工作经验。所有(yǒu)教育學(xué)位最多(duō)只能(néng)抵免一年工作经验。
没有(yǒu)满足CISSP所需工作经验的考生,如果能(néng)够通过CISSP考试则可(kě)以成為(wèi)(ISC)²的准会员
(Associate)。(ISC)²的准会员可(kě)以用(yòng)接下来的6年时间积累所需工作经验。
CISSP考试
考试时長(cháng):6小(xiǎo)时
考题数量:250道
考题格式:单选题
通过标准:总分(fēn)1000分(fēn)达到700分(fēn)
续证费:150美金
续证方法:采用(yòng)预先缴纳下一年年费的新(xīn)付费周期
培训对象CISSP持证人员的职业发展方向
企业信息安全负责人员;首席信息安全官;
信息安全管理(lǐ)人员;信息安全总监;
信息安全技术人员;信息技术总监/经理(lǐ);
企业IT负责人员;安全经理(lǐ)/顾问;
企业IT运维人员;安全审计师/架构师/分(fēn)析师;
IT及信息安全审计人员;安全系统工程师;
其他(tā)信息安全从业人员网络架构师
學(xué)习收益
个人:
企业:
(ISC)²证书获國(guó)际广泛认可(kě),可(kě)提升企业在全球市场上的整體(tǐ)竞争力;
提高企业的信誉,使供应商(shāng)和承包商(shāng)更有(yǒu)信心与企业合作;
使员工掌握一种通用(yòng)语言,避免对业界公认的条款和行為(wèi)准则产生歧义;
证明企业在业内的多(duō)年经验与行业承诺;
持证员工必须持续进修,获得足够持续专业教育(CPE)學(xué)分(fēn),以确保其技能(néng)与时俱进;
确保企业遵守政府规定或行业规范;
满足服務(wù)提供商(shāng)或分(fēn)包商(shāng)对于资格认证的特定要求。
慧谷培训特色:
资深讲师从业多(duō)年经验,帮助學(xué)员梳理(lǐ)各领域知识,采用(yòng)案例和技术相结合的授课模式;
丰富、实践、互动性的授课方式帮助學(xué)员更好地掌握知识,顺利通过考试;
定期更新(xīn)學(xué)习辅导内容,满足學(xué)员的學(xué)习目标;為(wèi)學(xué)员提供即时帮助;
已通过CISSP专业人员组成后续服務(wù)团队,随时解答(dá)學(xué)习难点并梳理(lǐ)學(xué)习计划;
顺利通过考试的學(xué)员,我们也会提供后续服務(wù)帮助引荐证书推荐人。
CISSP课程大纲
1)安全与风险管理(lǐ)
关键知识域:
A.理(lǐ)解并应用(yòng)保密性、完整性和可(kě)用(yòng)性的概念、应用(yòng)安全治理(lǐ)原则
B.合规、理(lǐ)解与信息安全有(yǒu)关的法律和法规问题
C.理(lǐ)解专业人员道德品质
D.开发并实施文(wén)件化的安全策略、标准、规程和指南
E.理(lǐ)解业務(wù)连续性要求
F.个人安全策略
G.理(lǐ)解并应用(yòng)威胁建模
H.建立并管理(lǐ)信息安全教育、意识和培训
2)资产安全
关键知识域:
A.信息及支持性资产的分(fēn)级(例如敏感性和关键性)
B.确定并维持资产责任人(例如数据责任人、系统责任人、业務(wù)/使命责任人)
C.隐私保护
D.确保适当的保存
E.确定数据安全控制(例如存储的数据、传输的数据)
F.建立处置要求(例如敏感信息的标记、存储、分(fēn)发)
3)安全工程
关键知识域:
A.使用(yòng)安全设计原则的工程过程的实施和管理(lǐ)
B.理(lǐ)解安全模型的基础概念、基于系统安全评价模型选择控制和对策
C.理(lǐ)解信息系统的安全能(néng)力(例如存储保护、虚拟化、可(kě)信平台模块、界面、容错)
D.评估并减缓安全架构、设计和解决元素的脆弱性、评估并减缓基于Web(例如XML、OWASP)
的脆弱性
E.评估并减缓移动系统的脆弱性、评估并减缓嵌入设备和网络物(wù)理(lǐ)系统(例如物(wù)联网)的
脆弱性
F.应用(yòng)密码
G.在场所和设施的设计中应用(yòng)安全原则、设计并实施物(wù)理(lǐ)安全
4)通信与网络安全
关键知识域:
A.在网络架构(例如IP和非IP协议)中应用(yòng)安全设计原则
B.安全网络组件
C.设计并建立安全通信渠道
D.防护或减缓网络攻击
5)身份与访问管理(lǐ)
关键知识域:
A.资产的物(wù)理(lǐ)和逻辑访问控制
B.人员和设备的身份和鉴证管理(lǐ)
C.作為(wèi)一项服務(wù)整合身份(例如云身份)
D.整合第三方身份服務(wù)
E.实施并管理(lǐ)授权机制
F.防护或减缓访问控制攻击
G.管理(lǐ)身份和访问配置生命周期
6)安全评估与测试
关键知识域:
A.设计并验证评估和测试战略
B.管理(lǐ)安全控制测试
C.收集安全过程数据(例如管理(lǐ)和运行控制)
D.分(fēn)析并报告测试输出(例如自动化手段、手工手段)
E.实施内部和第三方审核
7)安全运营
关键知识域:
A.理(lǐ)解并支持调查、理(lǐ)解调查类型的要求
B.理(lǐ)解并应用(yòng)基础的安全运营的概念、实施日志(zhì)和监视活动
C.资源配置安全、使用(yòng)资源保护技术
D.实施事件管理(lǐ)、运行并保持预防措施
E.实施并支持补丁和脆弱性管理(lǐ)
F.参与并理(lǐ)解变更管理(lǐ)过程(例如版本控制、基線(xiàn)、安全影响分(fēn)析)
G.实施恢复战略、实施灾难恢复过程、测试灾难恢复计划、参与业務(wù)连续性计划和演练
H.实施并管理(lǐ)物(wù)理(lǐ)安全、参与解决个人安全问题
8)软件开发安全
关键知识域:
A.在软件开发生命周期中应用(yòng)安全
B.在开发环境中加强安全控制
C.评估软件安全的有(yǒu)效性
D.评估获取软件的安全影响