(Certified Information System Security Professional, 注册信息系统安全认证专家)
课程简介
《安全与风险管理》
课程目标 |
课程模块 |
完成本课程学习后,你可以:
● 理解并应用风险评估,风险分析,数据分类和安全意识的概念。
● 实现风险管理和用于支持它的原则:
● 风险避免
● 风险接受
● 风险降低
● 风险转移
● 为了建立企业级业务连续性程序,从事业务连续性计划和灾难恢复计划。理解信息安全与业务连续性之间的联系,以及全面业务连续性风险管理框架下的其他风险管理领域,例如物理安全,记录管理,供应商管理,内部审计,财务风险管理,操作风险管理,和法规符合性(法律和法规风险)。
|
● 理解并应用机密性、完整性,和可用性的概念
● 应用安全治理原则
● 符合性
● 理解全球范围内属于信息安全的法律法规问题
● 理解职业道德
● 制定并实施文档化的安全策略,标准,过程,和指南
● 理解业务连续性需求
● 促成人员安全策略
● 理解并应用风险管理概念
● 理解并应用威胁建模
● 将安全风险考虑整合到采购策略并实践之
● 建立并管理安全教育,培训,和意识
|
《资产安全》
课程目标 |
课程模块 |
完成本课程学习后,你将能够:
● 应用全面和严格的方法来描述现存或未来的组织安全过程,信息安全系统,人才的结构和行为,并确保这些实践和流程与组织目标和战略方向一致。
● 掌握资产安全的框架,政策,概念,原则,结构和标准,建立保护信息资产和评估措施有效性的基准。
|
● 信息及支持性资产的分级(例如敏感性和关键性)
● 确认并维持资产责任人(例如数据责任人、系统责任人、业务/使命负责人)
● 隐私保护
● 确保适当的保存
● 确定数据安全控制(例如存储的数据、传输的数据)
● 建立处置要求(例如敏感信息的标记、存储、分发)
|
《安全工程》
课程目标 |
课程模块 |
完成本课程学习后,你将能够:
● 用一种全面和严格的方法来表述机构安全流程、信息安全系统、人员和机构下属单位的当前和/或未来结构的行为,以使这些实践和流程与机构核心目标和战略方向保持一致。
● 研讨把数学算法和数据转换应用于信息的原则、手段和方法,确保信息的完整性、保密性和真实性。
● 侧重于威胁、脆弱性和可用于物理保护企业资源和敏感信息的对策。
|
● 使用安全设计原则的工程过程的实施和管理
● 理解安全模型的基础概念(例如保密性、完整性和多层模型)
● 基于系统安全评价模型选择控制和对策
● 理解信息系统的安全能力
● 评估并减缓安全架构、设计和解决元素的脆弱性
● 评估并减缓基于Web(例如XML、OWASP)的脆弱性
● 评估并减缓移动系统的脆弱性
● 评估并减缓嵌入设备和网络物理系统(例如物联网)的脆弱性
● 应用密码
● 在场所和设施的设计中应用安全原则
● 设计并实施物理安全
|
《通信与网络安全》
课程目标 |
课程模块 |
完成本课程学习后,你将能够:
● 理解结构、传输方法、传输格式和安全措施,用于为私有和公共通信网络的信息传输提供机密性,完整性和可用性保护。
● 使用定量分析和定性分析的方式进行风险识别,以支持商业活动的增长,推动企业积极主动应对安全风险。
|
● 在网络架构(例如IP和非IP协议)中应用安全设计原则
● 安全网络组件
● 设计并建立安全通信渠道
● 防护或减缓网络攻击通信与网络安全
|
《身份与访问管理》
课程目标 |
课程模块 |
完成本课程学习后,你将能够:
● 防止未授权或不当的访问, 在数据和系统完整性上,让组织获得更大的信心。
● 提供更大的可视性,决定谁可以进入,谁可以改变数据或系统信息,保护资产的完整性。
● 匹配一个实体,比如一个人或一个计算机系统, 了解该实体对贵重资产的行为,使企业能够更好地了解该资产的安全状况 。
|
● 资产的物理和逻辑访问控制
● 人员和设备的身份和鉴证管理
● 作为一项服务整合身份(例如云身份)
● 整合第三方身份服务
● 实施并管理授权机制
● 防护或减缓访问控制攻击
● 管理身份和访问配置生命周期
|
《安全评估与测试》
课程目标 |
课程模块 |
完成本课程学习后,你将能够:
● 规划包括风险在内的技术开发
● 根据使命要求,评价系统设计
● 识别在过程的哪些地方适用竞争性的原型法和其他评价技术
|
● 设计并验证评估和测试战略
● 管理安全控制测试
● 收集安全过程数据(例如管理和运行控制)
● 分析并报告测试输出(例如自动化手段、手工手段)
● 实施内部和第三方审核
|
《安全运营》
课程目标 |
课程模块 |
完成本课程学习后,你将能够:
● 保护和控制集中式、分布式环境中处理信息的资产。
● 执行和保持安全服务高效可靠的运作所要求的日常任务。
|
● 理解并支持调查
● 理解调查类型的要求
● 实施日志和监视活动
● 资源配置安全
● 理解并应用基础的安全运营的概念
● 使用资源保护技术
● 实施事件管理
● 运行并保持预防措施
● 实施并支持补丁和脆弱性管理
● 参与并理解变更管理过程(例如版本控制、基线、安全影响分析)
● 实施恢复战略
● 实施灾难恢复过程
● 测试灾难恢复计划
● 参与业务连续性计划和演练
● 实施并管理物理安全
● 参与解决个人安全问题
|
《软件开发安全》
课程目标 |
课程模块 |
完成本课程学习后,你将能够:
● 理解软件开发生命周期(SDLC),以及如何将安全应用于它
● 识别哪些安全控制适用于开发环境
● 评估软件安全的有效性 |
● 在软件开发生命周期中应用安全
● 在开发环境中加强安全控制
● 评估软件安全的有效性
● 评估获取软件的安全影响 |
(ISC)² 组织介绍
关于(ISC)²-国际信息系统安全认证联盟
● 成立于1989年 – 一个由信息安全行业领导者构成的非营利性联盟。
● 为信息安全专业人士在其整个职业生涯提供认证与教育的全球领导者。
● 信息安全全球标准 – (ISC)² ® CBK® – 涵盖各种信息与软件安全关键议题的汇集。
● 董事会 – 由全球顶尖的信息安全领袖组成。
● 获得认证的专业人士超过140,000名,遍布170多个国家。
