CISSP課程大綱
安全與風險管理
-
安全與風險管理的概念
-
機密性、完整性與可用性
-
安全治理
-
完整與有效的安全體系
-
合規性
-
全球性法律與法規問題
-
理解專業道德
-
開發與實施安全策略
-
業務連續性與災難恢復需求
-
管理人員安全
-
風險管理的概念
-
威脅建模
-
采購策略與實踐
-
安全教育、培訓與意識
資產安全
-
資產安全概念
-
數據管理:決定與維護所有者
-
數據標準
-
數據壽命與使用
-
信息分級與支持資產
-
資產管理
-
保護隱私
-
確保合適的保存
-
數據安全控制
-
標準選擇
安全工程
-
在工程生命周期中應用安全設計原則
-
安全模型的基本概念
-
信息系統安全評價模型
-
安全架構的漏洞
-
數據庫安全
-
軟件和系統的漏洞與威脅
-
嵌入式設備和網絡物理系統的漏洞
-
密碼積應用
-
站點和設施的設計考慮
-
站點規劃
-
設施安全的設計與實施
-
設施安全的實施與運營
通信與網絡安全
-
通信與網絡安全概念
-
安全網絡架構與設計
-
多層協議的含義
-
各類協議
-
網絡組件安全
-
通信通道安全
-
網絡攻擊
身份與訪問管理
-
身份與訪問管理概念
-
資產的物理與邏輯訪問
-
人員和設備的身份識別與認證
-
身份管理實施
-
身份即服務(IDaaS)
-
集成第三方身份服務
-
授權機制的實施與管理
-
防護或緩解對訪問控制攻擊
-
識別與訪問規定的生命周期
安全評估與測試
-
安全評估與測試概念
-
評估與測試策略
-
收集安全流程數據
-
內部與第三方審計
安全運營
-
安全運營概念
-
調查
-
為資源提供配置管理
-
安全運營的基本概念
-
資源保護
-
事件響應
-
針對攻擊的防御性措施
-
補丁和漏洞管理
-
變更與配置管理
-
災難恢復流程
-
演練計劃回顧
-
業務連續性與其他風險領域
-
訪問控制
-
人員安全
軟件開發生命周期安全
-
軟件開發生命周期安全概念
-
軟件開發安全概要
-
環境與安全控制
-
軟件環境安全
-
軟件保護機制
-
評估軟件安全的有效性
-
評估軟件采購安全