CISAW系列認(rèn)證課程大綱-安全運(yùn)維方向

CISAW系列認(rèn)證課程大綱一一安全運(yùn)維方向

一、概述

L信息系統(tǒng)2.系統(tǒng)運(yùn)維

3.安全運(yùn)維模型4.安全運(yùn)維模式

二、安全運(yùn)維體系

1.安全運(yùn)維2,運(yùn)維安全

3.合規(guī)性要求4.評審及改進(jìn)

三、合規(guī)要求

1.法律法規(guī)要求2.信息安全標(biāo)準(zhǔn)

3.運(yùn)維服務(wù)標(biāo)準(zhǔn)

四、安全策略

1.安全策略概述2.制定安全策略方法

3.安全策略內(nèi)容4.案例分析

五、運(yùn)維準(zhǔn)備

L安全運(yùn)維需求分析2.安全運(yùn)維策劃

3.安全運(yùn)維服務(wù)預(yù)算4.安全運(yùn)維服務(wù)范圍

5.安全運(yùn)維外包6.案例分析

六、運(yùn)維實施

1.日常運(yùn)維2.應(yīng)急響應(yīng)

3.優(yōu)化改善4.監(jiān)管評估

5.案例分析

七、運(yùn)維安全

L運(yùn)維安全概述2.風(fēng)險評估

3.風(fēng)險處置4.過程監(jiān)控

5.案例分析

八、評審及改進(jìn)

1.過程有效性評估2.過程有效性評估要點

3.過程有效性評估指標(biāo)4.持續(xù)改進(jìn)

5.案例分析

九、復(fù)習(xí)串講

1.串講課程重點知識點2.現(xiàn)場答疑

CISAW系列認(rèn)證課程大綱一一安全集成方向

一、基礎(chǔ)知識

1.基本概念2.CISAW模型

二、數(shù)據(jù)安全

L數(shù)據(jù)基本概念2.動態(tài)數(shù)據(jù)與靜態(tài)數(shù)據(jù)的安全技術(shù)與措施

三、載體安全

L存儲與傳輸數(shù)據(jù)的載體

2.物理載體和邏輯載體的安全技術(shù)與措施

3.存儲安全、傳輸安全、安全協(xié)議

四、環(huán)境安全

1,外部環(huán)境的安全保障技術(shù)

2.物理環(huán)境和邏輯環(huán)境的安全技術(shù)和措施

3.機(jī)房安全、主機(jī)安全、訪問控制、安全審計、入侵檢測等

五、邊界安全

1?邊界安全保障技術(shù)與措施

2.物理邊界和邏輯邊界的安全技術(shù)與措施

3.周界安全

4.網(wǎng)絡(luò)邊界安全防火墻、網(wǎng)閘

5,主機(jī)邊界安全等

六、安全集成概述及安全集成模型

L安全集成基本概念

2.安全集成范疇

3.安全集成的本質(zhì)

4.CISAW安全集成模型

5.安全集成的兩種模式及關(guān)鍵環(huán)節(jié)、差異與聯(lián)系

七、系統(tǒng)安全工程基本理論

1.系統(tǒng)工程

2.系統(tǒng)安全工程基本概念

3.系統(tǒng)工程基本模型

八、SSE-CMM

1.系統(tǒng)安全工程成熟度模型相關(guān)概念

2.二維模型

3.三個過程域

4.11個相關(guān)基本慣例

九、安全集成實施過程

L集成模式及關(guān)鍵環(huán)節(jié)

2.安全集成實施過程要點

十、安全技術(shù)與安全集成綜述及案例分析

十一、安全集成關(guān)鍵環(huán)節(jié)分組交流、研討

十二、復(fù)習(xí)串講

L認(rèn)證規(guī)范解讀

2.串講課程重點知識點

3..現(xiàn)場答疑

CISAW系列認(rèn)證課程大綱一一應(yīng)急服務(wù)方向

一、概述

二、應(yīng)急響應(yīng)相關(guān)法律法規(guī)

三、信息安全事件分類分級

四、網(wǎng)絡(luò)安全事件管理與應(yīng)急響應(yīng)組織

五、應(yīng)急響應(yīng)案例分析研討

六、典型網(wǎng)絡(luò)安全入侵事件重現(xiàn)與分析

七、主機(jī)漏洞利用分析實踐

八、主機(jī)入侵溯源分析實踐

九、主機(jī)入侵事件檢測技術(shù)總結(jié)與工具包準(zhǔn)備

十、主機(jī)攻擊特征之?dāng)?shù)據(jù)流分析實踐

十一、網(wǎng)絡(luò)層應(yīng)急技術(shù)與實踐

十二、數(shù)據(jù)庫滲透與應(yīng)急響應(yīng)實踐

十三、應(yīng)急技術(shù)綜合演練實踐之SQL注入攻擊分析實踐與加固

十四、應(yīng)急技術(shù)綜合演練實踐之XSS攻擊分析實踐與加固

十五、應(yīng)急技術(shù)綜合演練實踐之CSRF攻擊分析實踐與加固

十六、應(yīng)急安全技術(shù)俁障實踐之PKI應(yīng)用

十七、應(yīng)急安全技術(shù)保障實踐之日志分析概念與技術(shù)

十八、應(yīng)急安全技術(shù)保障實踐之日志集中管理與審計系統(tǒng)

十九、企事業(yè)單位網(wǎng)絡(luò)安全工作現(xiàn)狀與困惑分析

二十、應(yīng)急管理體系化建設(shè)I

二十一、應(yīng)急管理體系化建設(shè)n

二十二、應(yīng)急預(yù)案制定與管理

二十三、網(wǎng)絡(luò)安全事件應(yīng)急處理流程1

二十四、網(wǎng)絡(luò)安全事件應(yīng)急處理流程H

二十五、業(yè)務(wù)系統(tǒng)流程分析與數(shù)據(jù)流風(fēng)險點識別沙盤演練

二十六、應(yīng)急響應(yīng)流程梳理與預(yù)案編寫沙盤演練

二十七、應(yīng)急演練組織與開展沙盤演練

CISAW系列認(rèn)證課程大綱一一風(fēng)險管理方向

一、概述

二、風(fēng)險管理基本概念

三、風(fēng)險管理標(biāo)準(zhǔn)體系

四、風(fēng)險管理標(biāo)準(zhǔn)IS031000

五、信息安全風(fēng)險管理標(biāo)準(zhǔn)IS027005

六、信息安全風(fēng)險評估標(biāo)準(zhǔn)GB/T20984

七、項目管理基礎(chǔ)和環(huán)境建立

八、發(fā)展戰(zhàn)略和業(yè)務(wù)識別

九、資產(chǎn)識別

十、威脅識別

十一、脆弱性識別

十二、已有安全措施識別

十三、風(fēng)險分析

十四、風(fēng)險計算

十五、風(fēng)險評價和評估輸出

十六、風(fēng)險處置概述

十七、風(fēng)險處置和風(fēng)險接受

十八、溝通咨詢和監(jiān)視評審

十九、物理脆弱性識別

二十、網(wǎng)絡(luò)脆弱性識別

二十一、系統(tǒng)軟件脆弱性識別

二十二、應(yīng)用中間件脆弱性識別

二十三、應(yīng)用系統(tǒng)脆弱性識別

二十四、管理脆弱性識別

二十五、風(fēng)險管理綜合案例I

二十六、風(fēng)險管理綜合案例II

二十七、風(fēng)險管理綜合案例HI

CISAW系列認(rèn)證課程大綱一一軟件安全方向

一、軟件安全概述

軟件安全相關(guān)概念、軟件安全范疇及軟件存在安全問題

二、軟件安全開發(fā)模型

三種軟件開發(fā)模型和常用的軟件開發(fā)方法、典型軟件安

全開發(fā)模型、掌握CISAW軟件安全開發(fā)模型

三、安全漏洞管理

漏洞相關(guān)概念、安全自動化協(xié)議、典型安全漏洞

四、安全功能設(shè)計

安全審計、安全通信、密碼支持、用戶數(shù)據(jù)保護(hù)、標(biāo)識

與識別（身份認(rèn)證）、安全管理、隱私保護(hù)、安全功能的保

護(hù)、資源利用、系統(tǒng)/子系統(tǒng)的訪問記憶可信路徑/信道等安

全功能。

五、常見安全問題

軟件開發(fā)過程中常見的安全問題及出解決方案。

六、軟件安全編碼實踐

軟件開發(fā)過程中常見的安全漏洞，包括輸入輸出驗證和

數(shù)據(jù)合法性校驗、聲明和初始化、表達(dá)式、多線程編程和序

列化等。

七、軟件安全測試

軟件安全