一、課程目標
通過此次課程培訓，可使學習者獲得如下收益：
1.信息安全保障：理解信息安全保障的框架、基本原理和實踐，掌握注冊信息安全專業的基礎知識。
2.信息安全技術：掌握密碼技術、訪問控制、審計監控等安全技術機制，網絡、操作系統、數據庫和應用軟件等方面的基本安全原理和實踐，以及信息安全攻防和軟件安全開發相關的技術知識。
3.信息安全管理：理解信息安全管理體系的建設、信息安全風險管理、安全管理措施等相關的管理知識。
4.信息安全工程：理解信息安全相關的工程的基本理論和實踐方法。
5.信息安全標準法規：掌握信息安全相關的標準、法律法規、政策和道德規范等通用基礎知識。

二、培訓簡介
CISSP（Certified for Information System Security Professional,注冊信息系統安全認證專家）是目前世界上最權威、最全面的國際化信息系統安全方面的認證，由國際信息系統安全認證協會(ISC)2組織和管理，(ISC)2在全世界各地舉辦考試，符合考試資格的人員在通過考試后被授予CISSP認證證書。目前已經得到了全世界廣泛的認可。越來越多的公司要求自己和合作伙伴的員工擁有CISSP，該資質持有者目前供不應求。取得CISSP認證，表明持有者擁有完善的信息安全知識體系和豐富的行業經驗，以卓越的能力服務于各大IT相關企業及電信、金融、大型制造業、服務業等行業，CISSP的工作能力值得信賴。

(ISC)2公布截止到2020年，(ISC)2官方顯示中國大陸區的CISSP的持證人數為：2821人。數據來源: https://www.isc2.org/member-counts.aspx。
三、培訓時間
培訓時長：5天，每天6小時。
四、關于培訓
2020年CISSP考試大綱權重

CISSP知識領域	2018權重	老版權重
1. 安全與風險管理	15%	16%
2. 資產安全	10%	10%
3. 安全工程	13%	12%
4. 通信與網絡安全	14%	12%
5. 身份與訪問管理	13%	13%
6. 安全評估與測試	12%	11%
7. 安全運營	13%	16%
8. 軟件開發安全	10%	10%
累計	100%	100%

 
五、課程大綱
2020年CISSP考試大綱內容

章節主題	章節內容
第一章 安全與風險管理	安全與風險管理的概念 機密性、完整性與可用性 安全治理 完整與有效的安全體系 合規性（原法律法規章節） 全球性法律與法規問題 （原法律法規章節） 理解專業道德（原法律法規章節） 開發與實施安全策略 業務連續性與災難恢復需求（原BCP與DRP章節） 管理人員安全 風險管理的概念 威脅建模 采購策略與實踐 安全教育、培訓與意識
第二章 資產安全（新增章節）	資產安全概念 數據管理：決定與維護所有者 數據標準 數據壽命與使用 信息分級與支持資產 資產管理 保護隱私 確保合適的保存 數據安全控制 標準選擇
第三章 安全工程 （新增章節、融合了安全架構、物理安全、密碼學等）	在工程生命周期中應用安全設計原則 安全模型的基本概念 信息系統安全評價模型 安全架構的漏洞 數據庫安全 軟件和系統的漏洞與威脅 嵌入式設備和網絡物理系統的漏洞 密碼學應用 站點和設施的設計考慮 站點規劃 設施安全的設計與實施 設施安全的實施與運營
第四章 通信與網絡安全	通信與網絡安全概念 安全網絡架構與設計 多層協議的含義 各類協議 網絡組件安全 通信通道安全 網絡攻擊
第五章 身份與訪問管理 （原訪問控制章節）	身份與訪問管理概念 資產的物理與邏輯訪問 人員和設備的身份識別與認證 身份管理實施 身份即服務（IDaaS） 集成第三方身份服務 授權機制的實施與管理 防護或緩解對訪問控制攻擊 識別與訪問規定的生命周期
第六章 安全評估與測試 （新增章節）	安全評估與測試概念 評估與測試策略 收集安全流程數據 內部與第三方審計
第七章 安全運營 （融合了原DRP相關內容）	安全運營概念 調查 為資源提供配置管理 安全運營的基本概念 資源保護 事件響應 針對攻擊的防御性措施 補丁和漏洞管理 變更與配置管理 災難恢復流程 演練計劃回顧 業務連續性與其他風險領域 訪問控制 人員安全
第八章 軟件開發生命周期安全	軟件開發生命周期安全概念 軟件開發安全概要 環境與安全控制 軟件環境安全 軟件保護機制 評估軟件安全的有效性 評估軟件采購安全

 
（注：大綱還可根據需求進行調整）