序號

課程主題

核心內(nèi)容

學(xué)時

培訓(xùn)開始

講師與學(xué)員自我介紹；明確培訓(xùn)目標(biāo)和大綱

0.1

 CBK 8大知識域

1

安全與風(fēng)險管理

? 理解并應(yīng)用保密性、完整性和可用性的概念、應(yīng)用安全治理原則

? 合規(guī)、理解與信息安全有關(guān)的法律和法規(guī)問題

? 理解專業(yè)人員道德品質(zhì)

? 開發(fā)并實施文件化的安全策略、標(biāo)準(zhǔn)、規(guī)程和指南

? 理解業(yè)務(wù)連續(xù)性要求

? 個人安全策略

? 理解并應(yīng)用威脅建模

? 建立并管理信息安全教育、意識和培訓(xùn)

4

2

資產(chǎn)安全

? 信息及支持性資產(chǎn)的分級（例如敏感性和關(guān)鍵性）

? 確定并維持資產(chǎn)責(zé)任人（例如數(shù)據(jù)責(zé)任人、系統(tǒng)責(zé)任人、業(yè)務(wù)/使命責(zé)任人）

? 隱私保護

? 確保適當(dāng)?shù)谋４?/span>

? 確定數(shù)據(jù)安全控制（例如存儲的數(shù)據(jù)、傳輸?shù)臄?shù)據(jù)）

? 建立處置要求（例如敏感信息的標(biāo)記、存儲、分發(fā)）

4

3

安全工程

? 使用安全設(shè)計原則的工程過程的實施和管理

? 理解安全模型的基礎(chǔ)概念、基于系統(tǒng)安全評價模型選擇控制和對策

? 理解信息系統(tǒng)的安全能力（例如存儲保護、虛擬化、可信平臺模塊、界面、容錯）

? 評估并減緩安全架構(gòu)、設(shè)計和解決元素的脆弱性、評估并減緩基于Web（例如XML、OWASP）的脆弱性

? 評估并減緩移動系統(tǒng)的脆弱性、評估并減緩嵌入設(shè)備和網(wǎng)絡(luò)物理系統(tǒng)（例如物聯(lián)網(wǎng)）的脆弱性

? 應(yīng)用密碼

? 在場所和設(shè)施的設(shè)計中應(yīng)用安全原則、設(shè)計并實施物理安全

4

4

通信與網(wǎng)絡(luò)安全

? 在網(wǎng)絡(luò)架構(gòu)（例如IP和非IP協(xié)議）中應(yīng)用安全設(shè)計原則

? 安全網(wǎng)絡(luò)組件

? 設(shè)計并建立安全通信渠道

? 防護或減緩網(wǎng)絡(luò)攻擊

4

5

身份與訪問管理

? 資產(chǎn)的物理和邏輯訪問控制

? 人員和設(shè)備的身份和鑒證管理

? 作為一項服務(wù)整合身份（例如云身份）

? 整合第三方身份服務(wù)

? 實施并管理授權(quán)機制

? 防護或減緩訪問控制攻擊

? 管理身份和訪問配置生命周期

4

6

安全評估與測試

? 設(shè)計并驗證評估和測試戰(zhàn)略

? 管理安全控制測試

? 收集安全過程數(shù)據(jù)（例如管理和運行控制）

? 分析并報告測試輸出（例如自動化手段、手工手段）

? 實施內(nèi)部和第三方審核

4

7

安全運營

? 理解并支持調(diào)查、理解調(diào)查類型的要求

? 理解并應(yīng)用基礎(chǔ)的安全運營的概念、實施日志和監(jiān)視活動

? 資源配置安全、使用資源保護技術(shù)

? 實施事件管理、運行并保持預(yù)防措施

? 實施并支持補丁和脆弱性管理

? 參與并理解變更管理過程（例如版本控制、基線、安全影響分析）

? 實施恢復(fù)戰(zhàn)略、實施災(zāi)難恢復(fù)過程、測試災(zāi)難恢復(fù)計劃、參與業(yè)務(wù)連續(xù)性計劃和演練

? 實施并管理物理安全、參與解決個人安全問題

4

8

軟件開發(fā)安全

? 在軟件開發(fā)生命周期中應(yīng)用安全

? 在開發(fā)環(huán)境中加強安全控制

? 評估軟件安全的有效性

? 評估獲取軟件的安全影響

4

9

CISSP中文模擬考試與分析

? CISSP中文模擬考試（注同步官方環(huán)境）

? CISSP考試題目解析

6

結(jié)業(yè)典禮

全方位后續(xù)服務(wù)保障，協(xié)助你CISSP背書、申請認證，維持CPE、走入信息安全管理實踐

姓  名

背      景

唐老師

認證資格：國際認證信息安全專家CISSP；CCIE-SP；ITILv3 Foundation認證；COBIT Foundation認證；    

13年IT和信息安全專業(yè)領(lǐng)域從業(yè)經(jīng)驗，具有較強的信息安全網(wǎng)絡(luò)和安全管理、建設(shè)和維護、管理咨詢和技術(shù)評估實戰(zhàn)經(jīng)驗，長期擔(dān)任CISSP和網(wǎng)絡(luò)安全管理、等級保護、CISP高級講師。

積累了大量的信息安全教學(xué)經(jīng)驗，網(wǎng)絡(luò)安全方面相關(guān)培訓(xùn)經(jīng)驗13年。

中國移動集團CISSP內(nèi)部培訓(xùn)主講老師、某能源集團信息安全意識與管理內(nèi)部培訓(xùn)、某人壽集團信息安全等級保護內(nèi)部培訓(xùn)講師、某聯(lián)通研究院全員信息安全意識培訓(xùn)主講、某集團黑客攻防與滲透測試安全主講老師，參與移動、電信、聯(lián)通等行業(yè)的培訓(xùn)，曾為鐵道部、山西省移動、華一銀行、上海銀聯(lián)、匯豐銀行、廣東省移動、深圳移動、湖南移動、上海海關(guān)、等眾多單位講授信息安全管理、信息安全技術(shù)、信息安全意識、CISSP、CISP類培訓(xùn)課程。

張老師

認證資格：CISSP/CISA/CBCP/COBIT/ISO27001LA/ITIL/PMP/CCNP/ CIST信息系統(tǒng)培訓(xùn)師；

具備十幾年IT治理、IT服務(wù)管理、信息安全體系建設(shè)、IT審計經(jīng)驗。

同時還是國內(nèi)最早從事IT治理、CISA、CISSP、業(yè)務(wù)連續(xù)性管理、ITIL、ISO27001等方面的咨詢和培訓(xùn)工作。

從事8年多的IT服務(wù)管理、信息安全和IT審計方面和CISA、CISSP培訓(xùn)教學(xué)工作及5年多的IT治理培訓(xùn)、3年多的業(yè)務(wù)連續(xù)性管理培訓(xùn)。

講課特點是邏輯性強，思維嚴(yán)密，善于傾聽，幫助學(xué)員快速掌握基本概念和重要模型并能夠應(yīng)用于實際工作當(dāng)中。

相關(guān)實踐活動和主要成就：具有豐富的IT服務(wù)、安全管理和審計經(jīng)驗，長期從事IT治理體系建設(shè)和管理，負責(zé)過數(shù)個大型數(shù)據(jù)中心建設(shè)與管理，長期執(zhí)教公開課和團體培訓(xùn)服務(wù)，受到學(xué)員一致好評，學(xué)員涵蓋金融、電信、制造業(yè)、汽車、生物制藥、物流交通、家電、石化等30多個行業(yè)，分布于全國各個省市。