课程介绍：
CISSP（CertifiedInformationSystemSecurityProfessional，国际注册信息安全专家）是国际公认的最权威的信息安全专业人员资质，由国际信息系统安全认证协会(ISC)2组织和管理，符合资格人员通过考试后授予CISSP认证证书。CISSP认证在全球获得广泛认可，越来越多的公司要求自己和合作伙伴的员工拥有CISSP，以确保组织运营环境安全，定义组织安全架构、设计、管理和控制措施的信息安全保障专业人士。目前，中国大陆取得该资质的人不到5000人，分布在各大IT相关企业及电信、金融、大型制造业、服务业等行业中高层。CISSP国际信息安全管理认证培训课程，是国际通用的一套网络信息安全管理体系，该课程将系统讲解系统、网络、风险管理，并对业务中的访问控制、密码学、灾难恢复等企业常碰到的安全问题进行研习。
 
课程对象：
●首席信息官CIO、技术总监CTO、高级IT经理
●首席信息安全官CISO、信息安全总监、安全经理
●安全顾问、安全审计师、IT审计师
●安全架构师、安全分析师
●安全系统工程师、网络架构师
●信息安全事件调查人员
●安全设备厂商或服务提供商

CISSP考试：
1、考试方式：机考（中、文试卷自选其一）
2、考试时长：6小时
3、考试形式：250道选择题
4、考试合格：满分：1000分/通过：700分
 
课程价值：

1、企业部门：
A．IT相关企业：作为信息技术产品或服务提供商，IT相关企业迫切需要大量CISSP。CISSP持有者以卓越的能力服务于IT产品开发、IT服务提供各个领域，并向客户证明自己拥有完善的信息安全知识体系和丰富的行业经验，CISSP的工作能力值得信赖。
B. 跨国公司及大型国企：作为信息系统最集中的用户，跨国公司急需CISSP。一方面参与信息化建设的过程，另一方面保护公司信息资产的安全，并做好业务连续性规划与灾难恢复
C. 电信、金融行业：高度依赖于信息技术的行业，业务的可持续运营及数据资产的安全性尤为关键。CISSP综合信息安全管理、技术各个领域，为保护电信、金融行业的主要业务提供一道管理和技术的双重屏障。
D. 咨询与管理顾问公司：信息技术的咨询业务成为咨询行业一股迅速崛起的力量。客户的要求不再是简单的设备配置、体系架构，而是考虑到如何控制并管理IT运营的风险，信息安全的控制尤为重要。具有CISSP资质的顾问是值得客户信赖的顾问。
 
2、个人收益：
A．信息安全领域从业者：紧贴行业内最权威的国际认证考试指南CBK，信息安全专业讲师和业内资深人士共同开发，根据行业发展随时更新的讲义，结合丰富的国际最佳实践案例授课，帮助您梳理日常工作知识经验，增长信息安全管理技能，建立信息安全领域全面的知识体系，加入国内CISSP小组，融入精英团体，迈出成为领域精英的重要一步。同时通过培训做好参加CISSP国际认证考试的第一步复习，今后可随时参加考试通过认证。
B. CISSP备考者：特别针对CISSP备考者设计的三段式教学，完美切合最佳的备考准备时间表，复习初期为期5天的课堂教学，详细讲解CBK重点内容，帮助您建立体系化的知识结构，全面掌握信息安全领域核心知识。同时，提供给您最流行实用的资料和题库。接下来新问题和疑惑开始出现，在线辅导在恰当好处的时间开始，讲师答疑让您茅塞顿开。考前1个星期，返回教室进行考前冲刺，核心知识的再次梳理确保您信心百倍走入考场。

课程大纲：

课程内容	章节内容
第一章 安全与风险管理 SecurityandRiskManagement	安全与风险管理的概念 机密性、完整性与可用性 机密性 完整性 可用性 安全治理 组织的目标Goals、使命Mission与任务Objectives 组织流程 安全角色与职责 信息安全策略 完整与有效的安全体系 监管委员会 控制框架 应有的关注duecare 应尽的职责duediligence 合规性（原法律法规章节） 治理、风险与合规（GRC） 法律与法规合规 隐私需求合规 全球性法律与法规问题（原法律法规章节） 计算机犯罪 版权与知识产权 进出口 跨国界数据传输 隐私 数据泄露 相关法律法规 理解专业道德（原法律法规章节） 道德体系的法规需求 计算机道德的主题 一般计算机道德的谬论 黑客行为与黑客主义 道德规范的指引与资源 ISC2的专业道德规范 支持组织的道德规范 开发与实施安全策略 业务连续性与灾难恢复需求（原BCP与DRP章节） 项目启动与管理 设计并定义项目范围与计划 实施业务影响分析（BIA） 识别与分级 评估灾害的影响 恢复点目标（RPO） 管理人员安全 背景调查 雇佣协议与策略 雇员离职程序 供应商、顾问与合同工控制 隐私 风险管理的概念 组织风险管理概念 风险评估方法论 识别威胁与脆弱性 风险评估与分析 控制措施选择 实施风险控制措施 控制的类型 访问控制的类型 控制评估、监控与测量 实物与非实物资产评价 持续改进 风险管理框架 威胁建模 决定可能的攻击与降低分析 减小威胁的技术与流程 采购策略与实践 硬件、软件与服务 管理第三方供应商 最小的安全与服务级别需求 安全教育、培训与意识 正式的安全意识培训 意识活动与防范-创建组织的安全文化
第二章 资产安全（新增章节） AssetSecurity	资产安全概念 数据管理：决定与维护所有者 数据策略 角色与责任 数据所有者 数据保管者 数据质量 数据文件化与组织化 数据标准 数据生命周期控制 数据定义与建模 数据库维护 数据审计 数据存储与归档 数据寿命与使用 数据安全 数据访问、共享与传播 数据发布 信息分级与支持资产 资产管理 软件版权 设备生命周期 保护隐私 确保合适的保存 介质、硬件和人员 公司“X”数据保留策略 数据安全控制 静态的数据 传输的数据 基线 范围与裁剪 标准选择 美国的资源 全球的资源 国家网络安全框架手册 提升关键基础实施网络安全的框架
第三章 安全工程 （新增章节、融合了安全架构、物理安全、密码学等） SecurityEngineering	在工程生命周期中应用安全设计原则 安全模型的基本概念 通用系统组件 他们如何一起工作 企业安全架构 通用架构框架 Zachman框架 获取和分析需求 创建和设计安全架构 信息系统安全评价模型 通用正式安全模型 产品评价模型 业界和国际安全实施指南 安全架构的漏洞 系统 技术与流程集成 单点故障 客户端的漏洞 服务端的漏洞 数据库安全 大型可扩展并行数据系统 分布式系统 加密系统 软件和系统的漏洞与威胁 Web安全 移动系统的漏洞 远程计算的风险 移动办公的风险 嵌入式设备和网络物理系统的漏洞 密码学应用 密码学历史 新出现的而技术 核心信息安全原则 密码系统的附加特性 密码生命周期 公钥基础设施（PKI） 密钥管理流程 密钥的创建与分发 数字签名 数字版权管理 抗抵赖 哈希 单向哈希函数 加密攻击的方法 站点和设施的设计考虑 安全调查 站点规划 路径设计 通过环境设计来防止犯罪（CPTED） 窗户 设施安全的设计与实施 设施安全的实施与运营 通信与服务器机房 区域划分与区域安全限制 数据中心安全
第四章 通信与网络安全 CommunicationandNetworkSecurity	通信与网络安全概念 安全网络架构与设计 OSI与TCP/IP IP组网 目录服务 多层协议的含义 各类协议 实施 VOIP网络 无线网络 无线安全问题 加密来保证通信安全 网络组件安全 硬件 传输介质 网络访问控制设备 终端安全 内容分发网络（CDN） 通信通道安全 语音 多媒体 开放协议、应用与服务 远程访问 数据通信 虚拟化网络 网络攻击 网络作为攻击通道 网络作为防护堡垒 网络安全目标与攻击模式 扫描技术 安全事件管理（SEM） IP碎片攻击与伪造包 拒绝服务与分布式拒绝服务攻击 欺骗 会话劫持
第五章 身份与访问管理 （原访问控制章节） IdentityandAccessManagement	身份与访问管理概念 资产的物理与逻辑访问 人员和设备的身份识别与认证 身份识别、认证与授权 身份管理实施 密码管理 账户管理 用户配置管理 目录管理 目录技术 单/多因素认证 可审计性 会话管理 身份的注册与验证 证书管理系统 身份即服务（IDaaS） 集成第三方身份服务 授权机制的实施与管理 基于角色的访问控制 基于规则的访问控制 强制访问控制 自主访问控制 防护或缓解对访问控制攻击 WindowsPowerShell相关命令 识别与访问规定的生命周期 规定 回顾 撤销
第六章 安全评估与测试（新增章节） SecurityAssessmentandTesting	安全评估与测试概念   评估与测试策略 a软件开发作为系统设计的一部分 b日志审核 c虚假交易 d代码审核与测试 e负向测试/滥用用力测试 f接口测试   收集安全流程数据   4.内部与第三方审计 a、SOC汇报选项
第七章 安全运营（融合了原DRP、物理安全、调查取证等相关内容） SecurityOperations	安全运营概念 调查（原法律法规符合性“调查取证章节） 犯罪场景 策略、角色与责任 事件处理与响应 恢复阶段 证据收集与处理 汇报与记录 证据收集与处理 持续监控 数据防泄漏（DLP） 为资源提供配置管理 安全运营的基本概念 关键主题 控制特权账户 使用组和角色管理账户 职责分离 监控特殊权限 工作轮换 管理信息生命周期 服务级别管理 资源保护（原物理安全章节） 实物资产与非实物资产 硬件 介质管理 事件响应 事件管理 安全度量与汇报 管理安全技术 检测 响应 汇报 恢复 修补与回顾（经验学习） 针对攻击的防御性措施 非授权泄密 网络入侵检测系统架构 白名单、黑名单、灰名单 第三方安全服务、沙箱、恶意代码防范、蜜罐和蜜网 补丁和漏洞管理 安全与补丁信息资源 变更与配置管理 配置管理 恢复站点策略 多处理中心 系统弹性与容错需求 灾难恢复流程（原DRP章节） 创建计划 响应 人员 通信 评估 还原 提供培训 计划的演练、评估与维护 演练计划回顾 桌面演练 仿真演练 并行演练 中断演练 计划的更新与演练 业务连续性与其他风险领域 边界安全的实施与运维 访问控制（原物理安全章节） 智能卡类型 闭路电视 内部安全 建筑物内部安全 人员安全 隐私 出差 胁迫
第八章 软件开发生命周期安全 SoftwareDevelopmentSecurity	软件开发生命周期安全概念 软件开发安全概要 开发生命周期 成熟度模型 操作与维护 变更管理 DevOps（与产品运维集成） 环境与安全控制 软件开发方法 数据库与数据仓库环境 数据库漏洞与威胁 数据库控制 知识库管理 Web应用环境 软件环境安全 应用开发与编码概念 软件环境 库与工具集 源代码安全问题 恶意代码 恶意代码防范 软件保护机制 安全内核、RM引用监控与TCB可信计算基 配置管理 代码保存安全 API安全 评估软件安全的有效性 认证与认可 变更记录与审计 风险分析与缓解 评估软件采购安全
考前冲刺（0.5天）	1、CISSP复习迎考 2、解答考生疑难问题