CISSP会学习什么

CISSP会学习什么？

CISSP 英文全称：“ Certified Information Systems Security Professional”，中文全称：“(ISC)²注册信息系统安全专家”，由(ISC)²组织和管理，是目前全球范围内最权威，最专业，最系统的信息安全认证。

考试的价值在于可以迅速建立起个人对安全体系的知识框架。

CISSP考纲包括8个CBK：

•安全与风险管理 (安全、风险、合规、法律、法规、业务连续性)

涵盖了信息安全的 基本概念。CIA原则、安全治理和合规、法律法规、个人安全策略、风险管理、威胁模型。

•资产安全 (保护资产的安全性)

在资产生命周期中如何保护。信息分类、保持所有权、隐私、数据安全控制、需求处理。

•安全工程 (安全工程与管理)

如何保护信息系统的安全。安全设计原则、措施、缓解脆弱性、密码学、物理安全

•通信与网络安全 (设计和保护网络安全 )

如何保护网络架构、通信技术。安全的网络架构、网络组件、安全的通信、网络层攻击。

•身份与访问管理 (访问控制和身份管理 )

应用安全原则去开发软件系统。软件开发生命周期中的安全、开发活动中的安全控制、评估软件安全、评估外部获取软件的安全性。

上述8个领域基本涵盖了安全工作中的所有方面。

复习材料有：

CISSP All in One（有中文版）

CISSP OSG官方学习指南

以CISSP All in One（第六版）为例，将会学习以下内容：

信息安全治理与风险管理

包括基本原则，安全框架，风险管理、风险评估和分析；

安全策略、信息分类、责任分工。

访问控制

包括原则，身份认证，访问控制模型、方法和技术，可问责性。

安全架构和设计

包括计算机架构、安全模型、通用准则。

物理和环境安全

包括物理安全规划、支持系统、周边安全。

安全运营

角色分工，运营责任，配置管理，介质管理，数据泄露，系统可用性，脆弱性测试。

考试 时间

6个小时完成250道题

考试通过后，可在9个月内申请证书。申请证书需要的学历和工作经验条件，考试通过后的通知邮件里的链接会有详细的描述。

现行证书申请流程要求，必须有一位持有有效CISSP证书的专业人士，为申请人提供背书（endorsement）。各位可以通过同事，搜索LinkedIn，查找微信公众号（ISC2xx分会）等方式找到很多热心的CISSP大神，请他们为自己背书。如果确实找不到，也可以在申请证书时选择由ISC2提供背书的方式。