CISSP

CISSP® (Certified Information Systems Security Professional) – “(ISC)²® 注册信息系统安全师”  认证是信息安全领域最被全球广泛认可(kě)的IT安全认证，一直以来被誉為(wèi)业界的“金牌标准”。CISSP 认证不仅是对个人信息安全专业知识的客观评估，也是全球公认的个人成就标准。

CISSP 持证人员是确保组织运营环境安全，定义组织安全架构、设计、管理(lǐ)和/或控制措施的信息安全保障专业人士，CISSP 持证者堪称名副其实的、可(kě)信赖的安全顾问。CISSP 认证将确保信息安全领导者拥有(yǒu)可(kě)靠地构建及管理(lǐ)组织的安全态势所必备的广泛知识、技能(néng)与经验。CISSP 是信息安全行业首个符合ISO/IEC 17024 國(guó)际标准严格要求的认证。如果您打算在信息安全这一当今最為(wèi)瞩目的行业领域里成就一番事业，获得CISSP认证理(lǐ)应成為(wèi)您下一个职业目标。

认证机构(ISC)²®介绍

(ISC)²®(读作：ISC-Squared，國(guó)际信息系统安全认证联盟) 成立于1989年，是全球最大的网络、信息、软件与基础设施安全认证会员制非营利组织，是為(wèi)信息安全专业人士职业生涯提供教育及认证服務(wù)的全球领导者。 

CISSP CBK八大知识领域

CISSP 知识领域基于 (ISC)² CBK 内包含的各种信息安全议题：

 · 安全与风险管理(lǐ) （安全、风险、合规、法律、法规、业務(wù)连续性）

· 资产安全 （保护资产的安全性）

· 安全工程 （安全工程与管理(lǐ)）

· 通信与网络安全 （设计和保护网络安全）

· 身份与访问管理(lǐ) （访问控制和身份管理(lǐ)）

· 安全评估与测试  （设计、执行和分(fēn)析安全测试）

· 安全运营 （基本概念、调查、事件管理(lǐ)、灾难恢复）

· 软件开发安全 （理(lǐ)解、应用(yòng)、和实施软件安全）

考试内容

考试时長(cháng)：4小(xiǎo)时

考题数量：125—175道（其中25题不计分(fēn)）中文(wén)版计算机化自适应考试

考题格式：单选题

续证费：150美金

续证方法：采用(yòng)预先缴纳下一年年费的新(xīn)付费周期

报考条件

考生必须在(ISC)² CISSP公共知识體(tǐ)系（CBK）八大知识域中的至少两个或两个以上领域，拥有(yǒu)至少5年全职工作经验。拥有(yǒu)4年大學(xué)本科(kē)學(xué)历或同等學(xué)历，以及(ISC)²认可(kě)的其它证书可(kě)以抵免一年的工作经验。所有(yǒu)教育學(xué)位最多(duō)只能(néng)抵免一年工作经验。

没有(yǒu)满足CISSP所需工作经验的考生，如果能(néng)够通过CISSP考试则可(kě)以成為(wèi)(ISC)²的准会员（Associate）。(ISC)²的准会员可(kě)以用(yòng)接下来的6年时间积累所需工作经验。

适合人群

企业信息安全负责人员；

信息安全管理(lǐ)人员；

信息安全技术人员；

企业IT负责人员；

企业IT运维人员；

IT及信息安全审计人员；

其他(tā)信息安全从业人员。

學(xué)习收益

个人收益：

CISSP持证人员的职业发展方向：

首席信息安全官；

信息安全总监；

信息技术总监/经理(lǐ)；

安全经理(lǐ)/顾问；

安全审计师/架构师/分(fēn)析师；

安全系统工程师；

网络架构师。

企业收益：

(ISC)² 证书获國(guó)际广泛认可(kě)，可(kě)提升企业在全球市场上的整體(tǐ)竞争力；

提高企业的信誉，使供应商(shāng)和承包商(shāng)更有(yǒu)信心与企业合作；

使员工掌握一种通用(yòng)语言，避免对业界公认的条款和行為(wèi)准则产生歧义；

证明企业在业内的多(duō)年经验与行业承诺；

持证员工必须持续进修，获得足够持续专业教育（CPE）學(xué)分(fēn)，以确保其技能(néng)与时俱进；

确保企业遵守政府规定或行业规范；

满足服務(wù)提供商(shāng)或分(fēn)包商(shāng)对于资格认证的特定要求。

培训安排

开课时间：2023年8月13日 具體(tǐ)上课时间请以學(xué)校通知為(wèi)准

课程大纲

1、安全与风险管理(lǐ)

关键知识域：

A. 理(lǐ)解并应用(yòng)保密性、完整性和可(kě)用(yòng)性的概念、应用(yòng)安全治理(lǐ)原则

B. 合规、理(lǐ)解与信息安全有(yǒu)关的法律和法规问题

C. 理(lǐ)解专业人员道德品质

D. 开发并实施文(wén)件化的安全策略、标准、规程和指南

E. 理(lǐ)解业務(wù)连续性要求

F. 个人安全策略

G. 理(lǐ)解并应用(yòng)威胁建模

H. 建立并管理(lǐ)信息安全教育、意识和培训

2、资产安全

关键知识域：

A. 信息及支持性资产的分(fēn)级（例如敏感性和关键性）

B. 确定并维持资产责任人（例如数据责任人、系统责任人、业務(wù)/使命责任人）

C. 隐私保护

D. 确保适当的保存

E. 确定数据安全控制（例如存储的数据、传输的数据）

F. 建立处置要求（例如敏感信息的标记、存储、分(fēn)发）

3、安全工程

关键知识域：

A. 使用(yòng)安全设计原则的工程过程的实施和管理(lǐ)

B. 理(lǐ)解安全模型的基础概念、基于系统安全评价模型选择控制和对策

C. 理(lǐ)解信息系统的安全能(néng)力（例如存储保护、虚拟化、可(kě)信平台模块、界面、容错）

D. 评估并减缓安全架构、设计和解决元素的脆弱性、评估并减缓基于Web（例如XML、OWASP）的脆弱性

E. 评估并减缓移动系统的脆弱性、评估并减缓嵌入设备和网络物(wù)理(lǐ)系统（例如物(wù)联网）的脆弱性

F. 应用(yòng)密码

G. 在场所和设施的设计中应用(yòng)安全原则、设计并实施物(wù)理(lǐ)安全

4、通信与网络安全

关键知识域：

A. 在网络架构（例如IP和非IP协议）中应用(yòng)安全设计原则

B. 安全网络组件

C. 设计并建立安全通信渠道

D. 防护或减缓网络攻击

5、身份与访问管理(lǐ)

关键知识域：

A. 资产的物(wù)理(lǐ)和逻辑访问控制

B. 人员和设备的身份和鉴证管理(lǐ)

C. 作為(wèi)一项服務(wù)整合身份（例如云身份）

D. 整合第三方身份服務(wù)

E. 实施并管理(lǐ)授权机制

F. 防护或减缓访问控制攻击

G. 管理(lǐ)身份和访问配置生命周期

6、安全评估与测试

关键知识域：

A. 设计并验证评估和测试战略

B. 管理(lǐ)安全控制测试

C. 收集安全过程数据（例如管理(lǐ)和运行控制）

D. 分(fēn)析并报告测试输出（例如自动化手段、手工手段）

E. 实施内部和第三方审核

7、安全运营

关键知识域：

A. 理(lǐ)解并支持调查、理(lǐ)解调查类型的要求

B. 理(lǐ)解并应用(yòng)基础的安全运营的概念、实施日志(zhì)和监视活动

C. 资源配置安全、使用(yòng)资源保护技术

D. 实施事件管理(lǐ)、运行并保持预防措施

E. 实施并支持补丁和脆弱性管理(lǐ)

F. 参与并理(lǐ)解变更管理(lǐ)过程（例如版本控制、基線(xiàn)、安全影响分(fēn)析）

G. 实施恢复战略、实施灾难恢复过程、测试灾难恢复计划、参与业務(wù)连续性计划和演练

H. 实施并管理(lǐ)物(wù)理(lǐ)安全、参与解决个人安全问题

 8、软件开发安全

关键知识域：

A. 在软件开发生命周期中应用(yòng)安全

B. 在开发环境中加强安全控制

C. 评估软件安全的有(yǒu)效性

D. 评估获取软件的安全影响

我们的特色

资深讲师从业多(duō)年经验，帮助學(xué)员梳理(lǐ)各领域知识，采用(yòng)案例和技术相结合的授课模式；

丰富、实践、互动性的授课方式帮助學(xué)员更好地掌握知识，顺利通过考试；

定期更新(xīn)學(xué)习辅导内容，满足學(xué)员的學(xué)习目标；為(wèi)學(xué)员提供即时帮助；

已通过CISSP专业人员组成后续服務(wù)团队，随时解答(dá)學(xué)习难点并梳理(lǐ)學(xué)习计划；

顺利通过考试的學(xué)员，我们也会提供后续服務(wù)帮助引荐证书推荐人。