一、课程目标
通过此次课程培训，可使学习者获得如下收益：
1.信息安全保障：理解信息安全保障的框架、基本原理和实践，掌握注册信息安全专业的基础知识。
2.信息安全技术：掌握密码技术、访问控制、审计监控等安全技术机制，网络、操作系统、数据库和应用软件等方面的基本安全原理和实践，以及信息安全攻防和软件安全开发相关的技术知识。
3.信息安全管理：理解信息安全管理体系的建设、信息安全风险管理、安全管理措施等相关的管理知识。
4.信息安全工程：理解信息安全相关的工程的基本理论和实践方法。
5.信息安全标准法规：掌握信息安全相关的标准、法律法规、政策和道德规范等通用基础知识。

二、培训简介
CISSP（Certified for Information System Security Professional,注册信息系统安全认证专家）是目前世界上最权威、最全面的国际化信息系统安全方面的认证，由国际信息系统安全认证协会(ISC)2组织和管理，(ISC)2在全世界各地举办考试，符合考试资格的人员在通过考试后被授予CISSP认证证书。目前已经得到了全世界广泛的认可。越来越多的公司要求自己和合作伙伴的员工拥有CISSP，该资质持有者目前供不应求。取得CISSP认证，表明持有者拥有完善的信息安全知识体系和丰富的行业经验，以卓越的能力服务于各大IT相关企业及电信、金融、大型制造业、服务业等行业，CISSP的工作能力值得信赖。

(ISC)2公布截止到2020年，(ISC)2官方显示中国大陆区的CISSP的持证人数为：2821人。数据来源: https://www.isc2.org/member-counts.aspx。
三、培训时间
培训时长：5天，每天6小时。
四、关于培训
2020年CISSP考试大纲权重

CISSP知识领域	2018权重	老版权重
1. 安全与风险管理	15%	16%
2. 资产安全	10%	10%
3. 安全工程	13%	12%
4. 通信与网络安全	14%	12%
5. 身份与访问管理	13%	13%
6. 安全评估与测试	12%	11%
7. 安全运营	13%	16%
8. 软件开发安全	10%	10%
累计	100%	100%

 
五、课程大纲
2020年CISSP考试大纲内容

章节主题	章节内容
第一章 安全与风险管理	安全与风险管理的概念 机密性、完整性与可用性 安全治理 完整与有效的安全体系 合规性（原法律法规章节） 全球性法律与法规问题 （原法律法规章节） 理解专业道德（原法律法规章节） 开发与实施安全策略 业务连续性与灾难恢复需求（原BCP与DRP章节） 管理人员安全 风险管理的概念 威胁建模 采购策略与实践 安全教育、培训与意识
第二章 资产安全（新增章节）	资产安全概念 数据管理：决定与维护所有者 数据标准 数据寿命与使用 信息分级与支持资产 资产管理 保护隐私 确保合适的保存 数据安全控制 标准选择
第三章 安全工程 （新增章节、融合了安全架构、物理安全、密码学等）	在工程生命周期中应用安全设计原则 安全模型的基本概念 信息系统安全评价模型 安全架构的漏洞 数据库安全 软件和系统的漏洞与威胁 嵌入式设备和网络物理系统的漏洞 密码学应用 站点和设施的设计考虑 站点规划 设施安全的设计与实施 设施安全的实施与运营
第四章 通信与网络安全	通信与网络安全概念 安全网络架构与设计 多层协议的含义 各类协议 网络组件安全 通信通道安全 网络攻击
第五章 身份与访问管理 （原访问控制章节）	身份与访问管理概念 资产的物理与逻辑访问 人员和设备的身份识别与认证 身份管理实施 身份即服务（IDaaS） 集成第三方身份服务 授权机制的实施与管理 防护或缓解对访问控制攻击 识别与访问规定的生命周期
第六章 安全评估与测试 （新增章节）	安全评估与测试概念 评估与测试策略 收集安全流程数据 内部与第三方审计
第七章 安全运营 （融合了原DRP相关内容）	安全运营概念 调查 为资源提供配置管理 安全运营的基本概念 资源保护 事件响应 针对攻击的防御性措施 补丁和漏洞管理 变更与配置管理 灾难恢复流程 演练计划回顾 业务连续性与其他风险领域 访问控制 人员安全
第八章 软件开发生命周期安全	软件开发生命周期安全概念 软件开发安全概要 环境与安全控制 软件环境安全 软件保护机制 评估软件安全的有效性 评估软件采购安全

 
（注：大纲还可根据需求进行调整）