CISSP课程大纲
安全与风险管理
-
安全与风险管理的概念
-
机密性、完整性与可用性
-
安全治理
-
完整与有效的安全体系
-
合规性
-
全球性法律与法规问题
-
理解专业道德
-
开发与实施安全策略
-
业务连续性与灾难恢复需求
-
管理人员安全
-
风险管理的概念
-
威胁建模
-
采购策略与实践
-
安全教育、培训与意识
资产安全
-
资产安全概念
-
数据管理:决定与维护所有者
-
数据标准
-
数据寿命与使用
-
信息分级与支持资产
-
资产管理
-
保护隐私
-
确保合适的保存
-
数据安全控制
-
标准选择
安全工程
-
在工程生命周期中应用安全设计原则
-
安全模型的基本概念
-
信息系统安全评价模型
-
安全架构的漏洞
-
数据库安全
-
软件和系统的漏洞与威胁
-
嵌入式设备和网络物理系统的漏洞
-
密码积应用
-
站点和设施的设计考虑
-
站点规划
-
设施安全的设计与实施
-
设施安全的实施与运营
通信与网络安全
-
通信与网络安全概念
-
安全网络架构与设计
-
多层协议的含义
-
各类协议
-
网络组件安全
-
通信通道安全
-
网络攻击
身份与访问管理
-
身份与访问管理概念
-
资产的物理与逻辑访问
-
人员和设备的身份识别与认证
-
身份管理实施
-
身份即服务(IDaaS)
-
集成第三方身份服务
-
授权机制的实施与管理
-
防护或缓解对访问控制攻击
-
识别与访问规定的生命周期
安全评估与测试
-
安全评估与测试概念
-
评估与测试策略
-
收集安全流程数据
-
内部与第三方审计
安全运营
-
安全运营概念
-
调查
-
为资源提供配置管理
-
安全运营的基本概念
-
资源保护
-
事件响应
-
针对攻击的防御性措施
-
补丁和漏洞管理
-
变更与配置管理
-
灾难恢复流程
-
演练计划回顾
-
业务连续性与其他风险领域
-
访问控制
-
人员安全
软件开发生命周期安全
-
软件开发生命周期安全概念
-
软件开发安全概要
-
环境与安全控制
-
软件环境安全
-
软件保护机制
-
评估软件安全的有效性
-
评估软件采购安全
