CISSP(Certified
information System Security Professional,
注册信息系统安全认证专家)是目前世界上权威、最全面的国际化信息系统安全方面的认证,由国际信息系统安全认证协会(ISC)2
组织和管理,(ISC)2 在全世界各地举办考试,符合考试资格的人员在通过考试后被授予 CISSP 认证证书。CISSP
可以证明证书持有者具备了符合
国际标准要求的信息安全知识水平和经验能力,提升其专业可信度,并为企业和组织提供寻找专业人员的凭证依据,目前已经得到了全世界广泛的认可。截止至
2017 年 10 月 16 日,(ISC)2 官方最新的统计数据,目前中国 的 CISSP 总人数为 1587
人。而越来越多的公司要求自己和合作伙伴的员工拥有 CISSP,该持有者目前供不应求。取得 CISSP
认证,表明持有者拥有完善的信息安全知识体系和丰富的行业经验,以卓越的能力服务于各大 IT
相关企业及电信、金融、大型制造业、服务业等行业,CISSP 的工作能力值得信赖。
CISSP 认证考试由(ISC)2 组织与管理,参加 CISSP 认证的人员需要遵守 CISSP 道德规范(Code of Ethics),
同时要有在信息系统安全通用知识框架(CBK)的八个领域之中拥有最少 2 个范围的专业经验 5 年;或者 4 年的有关专业经验及拥有学士资格或
ISC2 认可的证书。此外,CISSP 应考者还需要得到另外一位持有有效 ISC2 认
证的专业人士推荐确认(Endorsement)。有效的推荐人指任何持有 CISSP、SSCP 及 CAP 的专业人士。2012 年 6 月 1
日开始,CISSP 在中国大陆地区实行机考,目前在中国大陆地区的考点分别为北京、上海和广州。
满足不断增涨的要求,在一个突飞猛进的领域中寻求发展。
充实现有的关于安全概念和实际应用的知识。
把安全专业知识引入当前的工作。
让自己在这个竞争激烈的劳动力市场中占据优势。
表明对安全规则的关注和贡献。
增加收入,并且能够得到更多的工作机会。
•掌握安全管理实践•提升专业实践技能•保障安全高效运行。
1、安全与风险管理15%
➢理解和运用保密性、完整性和可用性的概念
➢评估和应用安全治理的原理
➢确定合规要求
➢理解与信息安全的全球背景相关的法律和监管问题
➢理解、遵从与提升职业道德
➢开发、撰写与实现安全政策、标准、流程和指南
➢对业务连续性进行识别、分析及优先级排序
➢促进与实行人员安全的策略与流程
➢理解与运用风险管理的概念
➢理解与运用威胁建模的概念和方法论
➢将基于风险的管理概念运用到供应链
➢建立与维护安全意识、教育和培训计划
2、资产安全10%
➢识别与分类信息和资产
➢确定与维护信息和资产所有权
➢保护隐私
➢确保适当的资产保留
➢确定数据安全控制
➢建立信息和资产的处理要求
3、安全架构与工程15%
➢理解安全模型的基本概念
➢基于系统安全需求选择控制措施
➢理解信息系统的安全功能(例如:内存保护、可信平台模块
(TPM)、加密/解密)
➢评估与缓解安全架构、设计和解决方案要素的漏洞
➢评估和缓解Web系统中的漏洞
➢评估与缓解移动系统的漏洞
➢评估与缓解嵌入式设备的漏洞
➢运用密码学
➢将安全原理运用到场所与设施的设计上
➢实施场所与设施的安全控制
4、通信与网络安全14%
➢在网络架构中实施安全设计原则
➢网络组件安全
➢根据设计实施安全通信通道
5、身份与访问管理13%
➢控制对资产的物理和逻辑访问
➢管理对人员、设备和服务的身份识别与验证
➢集成身份为第三方服务
➢实施和管理授权机制
➢管理身份和访问配置生命周期
6、安全评估与测试12%
➢设计和验证评估、测试和审计策略
➢对安全控制进行测试
➢收集安全流程数据(如:技术和管理)
➢分析测试输出并生成报告
➢执行或协助安全审计
7、安全运营13%
➢理解和支持调查、了解调查类型的要求
➢进行日志记录和持续监测活动、安全配置资源
➢理解和应用基本的安全运营概念
➢应用资源保护技术、执行事件管理
➢检测和预防措施的运营及维护、实施和支持补丁和漏洞管理
➢理解并参与变更管理流程
➢实施灾难恢复(DR)过程、流程、测试灾难恢复计划(DRP)
➢参与业务连续性(BC)计划制定和演练
➢实施和管理物理安全、解决人员安全问题
8、软件开发安全10%
➢理解安全并将其融入软件开发生命周期(SDLC)中
➢开发环境中识别和应用安全控制
➢评估软件安全的有效性
➢评估获得软件对安全的影响
➢定义并应用安全编码准则和标准
9、CISSP中文考前辅导
➢CISSP考前模拟考试
结业典礼全方位后续服务保障,协助你CISSP背书、申请认证,维持CPE、走入信息安全管理实践
