EC-Council Certified Chief Information Security Officer - 认证首席信息安全官教程

# 认证首席信息安全官

EC-Council 的认证首席信息安全官 (CCISO) 计划已对全球领先的信息安全专业人员进行了认证。CCISO 顾问委员会是一个由高级信息安全管理人员组成的核心小组，构成了该计划的基础，并概述了考试、知识体系和培训所涵盖的内容。一些董事会成员作为作者做出贡献，其他成员作为考试编写者，其他成员作为质量保证检查，还有一些成员作为讲师。该计划的每个部分都是在制定时考虑到有抱负的现任 CISO，并希望将经验丰富的管理人员的知识传授给下一代领导者，这些知识对于成功的信息安全计划的开发和维护至关重要。

# 关于认证首席信息官（CCISO）课程

CCISO 认证是行业领先的安全认证计划，认可在信息安全最高管理级别取得成功所需的实际经验。CCISO 计划汇集了 C 级职位所需的所有组成部分，结合了审计管理、治理、信息系统控制、人力资本管理、战略计划开发以及对于领导高度成功的信息安全计划至关重要的财务专业知识。CISO 的工作太重要了，不能通过反复试验来学习。高管层的管理技能不应该在工作中学习。

CCISO 计划中的材料假定您对技术主题有高层次的理解，并且不会花太多时间在严格的技术信息上，而是将技术知识应用于信息安全主管的日常工作。CCISO 旨在弥合 CISO 所需的执行管理知识与许多现任和有抱负的 CISO 所拥有的技术知识之间的差距。当从业者努力从中层管理职位晋升到高层执行管理职位时，这可能是一个至关重要的差距。其中大部分传统上是在工作培训中学习的，但 CCISO 培训计划可能是成功过渡到信息安全管理最高级别的关键。

# 课程大纲

# 领域 1：治理和风险管理

# 1. 定义、实施、管理和维护信息安全治理计划

• 1.1. 商业组织形式
• 1.2. 行业
• 1.3. 组织成熟度

# 2. 信息安全驱动因素

# 3. 建立信息安全管理架构

• 3.1. 组织架构
• 3.2. CISO 在组织结构中的位置
• 3.3. 执行首席信息安全官
• 3.4. 非执行首席信息安全官

# 4. 法律 / 法规 / 标准作为组织政策 / 标准 / 程序的驱动力

# 5. 管理企业信息安全合规计划

• 5.1. 安全政策
• 5.1.1. 安全策略的必要性
• 5.1.2. 安全政策挑战
• 5.2. 政策内容
• 5.2.1. 保单类型
• 5.2.2. 政策执行
• 5.3. 报告结构
• 5.4. 标准和最佳实践
• 5.5. 领导力和道德
• 5.6. EC 理事会道德准则

# 6. 风险管理简介

• 3.1. 组织架构
• 3.2. CISO 在组织结构中的位置
• 3.3. 执行首席信息安全官
• 3.4. 非执行首席信息安全官

# 领域 2：信息安全控制、合规性和审计管理

# 1. 信息安全控制

• 1.1. 确定组织的信息安全需求
• 1.1.1. 确定最佳信息安全框架
• 1.1.2. 设计安全控制
• 1.1.3. 控制生命周期管理
• 1.1.4. 控制分类
• 1.1.5. 控制选择和实施
• 1.1.6. 控制目录
• 1.1.7. 控制成熟度
• 1.1.8. 监控安全控制
• 1.1.9. 补救控制缺陷
• 1.1.10. 维护安全控制
• 1.1.11. 报告控制
• 1.1.12. 信息安全服务目录

# 2. 合规管理

• 2.1. 法案、法律和法规
• 2.1.1. FISMA
• 2.2. 法规
• 2.2.1. 通用数据保护条例
• 2.3. 标准
• 2.3.1. ASD— 信息安全手册
• 2.3.2. 巴塞尔协议 III
• 2.3.3. FFIEC
• 2.3.4. ISO 00 系列标准
• 2.3.5. NERC-CIP
• 2.3.6. PCI 数据安全标准
• 2.3.7. NIST 特别出版物
• 2.3.8. 鉴证业务标准声明第 16 号 (SSAE 16)

# 3. 指南、良好和最佳实践

• 3.1. CIS
• 3.1.1. OWASP

# 4. 审计管理

• 4.1. 审计期望和结果
• 4.2. 信息系统审计实践
• 4.2.1. ISO/IEC 审核指南
• 4.2.2. 内部审计与外部审计
• 4.2.3. 与审计组织合作
• 4.2.4. 审核流程
• 4.2.5. 一般审计标准
• 4.2.6. 基于合规性的审计
• 4.2.7. 基于风险的审计
• 4.2.8. 管理和保护审计文档
• 4.2.9. 进行审计
• 4.2.10. 评估审计结果和报告
• 4.2.11. 纠正审计结果
• 4.2.12. 利用 GRC 软件支持审计

# 5. 总结

# 领域 3：安全计划管理和运营

# 1. 项目管理

• 1.1. 定义安全章程、目标、要求、利益相关者和策略
• 1.1.1. 安全计划章程
• 1.1.2. 安全计划目标
• 1.1.3. 安全计划要求
• 1.1.4. 安全计划利益相关者
• 1.1.5。安全计划策略制定
• 1.2. 执行信息安全计划
• 1.3. 定义和开发、管理和监控信息安全计划
• 1.3.1. 定义信息安全计划预算
• 1.3.2. 制定信息安全计划预算
• 1.3.3. 管理信息安全计划预算
• 1.3.4. 监控信息安全计划预算
• 1.4. 定义和制定信息安全计划人员配置要求
• 1.5. 管理安全计划的人员
• 1.5.1. 解决人员和团队合作问题
• 1.5.2. 管理安全团队成员的培训和认证
• 1.5.3. 明确的职业道路
• 1.5.4. 设计和实施用户意识计划
• 1.6. 管理安全计划的架构和路线图
• 1.6.1. 信息安全程序架构
• 1.6.2. 信息安全计划路线图
• 1.7. 项目管理和治理
• 1.7.1. 了解项目管理实践
• 1.7.2. 识别和管理项目利益相关者
• 1.7.3. 衡量项目的有效性
• 1.8. 业务连续性管理 (BCM) 和灾难恢复计划 (DRP)
• 1.9. 数据备份与恢复
• 1.10. 备份策略
• 1.11. ISO BCM 标准
• 1.11.1. 业务连续性管理（BCM）
• 1.11.2. 灾难恢复计划 (DRP)
• 1.12. 安全运营的连续性
• 1.12.1. 集成机密性、完整性和可用性 (CIA) 模型
• 1.13。BCM 计划测试
• 1.14. DRP 测试
• 1.15. 用于降低风险并满足服务水平协议 (SLA) 的应急计划、运营和测试计划
• 1.16. 计算机事件响应
• 1.16.1. 事件响应工具
• 1.16.2. 事件响应管理
• 1.16.3. 事件响应通信
• 1.16.4. 事后分析
• 1.16.5. 测试事件响应程序
• 1.17. 数字取证
• 1.17.1. 危机管理
• 1.17.2. 数字取证生命周期

# 2. 运营管理

• 2.1. 建立和运营安全运营 (SecOps) 能力
• 2.2. 安全监控以及安全信息和事件管理 (SIEM)
• 2.3. 事件管理
• 2.4. 事件响应模型
• 2.4.1. 制定具体的事件响应场景
• 2.5. 威胁管理
• 2.6. 威胁情报
• 2.6.1. 信息共享和分析中心 (ISAC)
• 2.7. 漏洞管理
• 2.7.1. 漏洞评估
• 2.7.2. 漏洞管理实践
• 2.7.3. 渗透测试
• 2.7.4. 安全测试团队
• 2.7.5. 补救措施
• 2.8. 威胁追踪

# 3. 总结

# 领域 4：信息安全核心能力

# 1. 访问控制

• 1.1. 身份验证、授权和审计
• 1.2. 验证
• 1.3. 授权
• 1.4. 审计
• 1.5. 用户访问控制限制
• 1.6. 用户访问行为管理
• 1.7. 访问控制模型的类型
• 1.8. 设计访问控制计划
• 1.9. 访问管理

# 2. 物理安全

• 2.1. 设计、实施和管理物理安全计划
• 2.1.1. 物理风险评估
• 2.2. 物理位置注意事项
• 2.3. 障碍与预防
• 2.4. 安全设施设计
• 2.4.1. 安全运营中心
• 2.4.2. 敏感隔离信息设施
• 2.4.3. 数字取证实验室
• 2.4.4. 数据中心
• 2.5. 准备物理安全审核

# 3. 网络安全

• 3.1. 网络安全评估和规划
• 3.2. 网络安全架构挑战
• 3.3. 网络安全设计
• 3.4. 网络标准、协议和控制
• 3.4.1. 网络安全标准
• 3.4.2. 协议

# 4. 认证首席

• 4.1.1. 网络安全控制
• 4.2. 无线 (Wi-Fi) 安全
• 4.2.1. 无线风险
• 4.2.2. 无线控制
• 4.3. IP 语音安全

# 5. 端点保护

• 5.1. 端点威胁
• 5.2. 端点漏洞
• 5.3. 最终用户安全意识
• 5.4. 端点设备强化
• 5.5. 端点设备日志记录
• 5.6. 移动设备安全
• 5.6.1. 移动设备风险
• 5.6.2. 移动设备安全控制
• 5.7. 物联网安全 (IoT)
• 5.7.1. 保护物联网设备

# 6. 应用程序安全

• 6.1. 安全 SDLC 模型
• 6.2. 开发、测试和生产环境分离
• 6.3. 应用程序安全测试方法
• 6.4. 开发安全运营
• 6.5. 瀑布方法论和安全性
• 6.6. 敏捷方法论和安全性
• 6.7. 其他应用程序开发方法
• 6.8. 应用强化
• 6.9. 应用安全技术
• 6.10. 版本控制和补丁管理
• 6.11. 数据库安全
• 6.12. 数据库加固
• 6.13. 安全编码实践

# 7. 加密技术

• 7.1. 加密与解密
• 7.2. 密码系统
• 7.2.1. 区块链
• 7.2.2. 数字签名和证书
• 7.2.3. 公钥基础设施
• 7.2.4. 密钥管理
• 7.3. 散列
• 7.4. 加密算法
• 7.5. 加密策略制定
• 7.5.1. 确定关键数据位置和类型
• 7.5.2. 决定加密什么
• 7.5.3. 确定加密要求
• 7.5.4. 选择、集成和管理加密技术

# 8. 虚拟化安全

• 8.1. 虚拟化概述
• 8.2. 虚拟化风险
• 8.3. 虚拟化安全问题
• 8.4. 虚拟化安全控制
• 8.5. 虚拟化安全参考模型

# 9. 云计算安全

• 9.1. 云计算概述
• 9.2. 安全性和弹性云服务
• 9.3. 云安全问题
• 9.4. 云安全控制
• 9.5. 云计算保护注意事项

# 10. 变革性技术

• 10.1. 人工智能
• 10.2. 增强现实
• 10.3. 自主 SOC
• 10.4. 动态欺骗
• 10.5. 软件定义的网络安全

# 11. 总结

# 领域 5：战略规划、财务、采购和供应商管理

# 1. 战略规划

• 1.1. 了解组织
• 1.1.1. 了解业务结构
• 1.1.2. 确定并调整业务和信息安全目标
• 1.1.3. 确定主要发起人、利益相关者和影响者
• 1.1.4. 了解组织财务状况
• 1.2. 制定信息安全战略计划
• 1.2.1. 战略规划基础知识
• 1.2.2. 与组织战略和目标保持一致
• 1.2.3. 定义短期、中期和长期信息安全战术目标
• 1.2.4. 信息安全战略沟通
• 1.2.5. 创造安全文化

# 2. 设计、开发和维护企业信息安全计划

• 2.1. 确保良好的计划基础
• 2.2. 建筑景观
• 2.3. 创建测量和指标
• 2.4. 平衡计分卡
• 2.5. 持续监测和报告结果
• 2.6。连续的提高
• 2.7. 信息技术基础设施库 (ITIL) 持续服务改进 (CSI)

# 3. 了解企业架构（EA）

• 3.1. EA 类型
• 3.1.1. 扎克曼框架
• 3.1.2. 开放组架构框架 (TOGAF)
• 3.1.3. Sherwood 应用商业安全架构 (SABSA)
• 3.1.4. 联邦企业架构框架 (FEAF)

# 4. 财务

• 4.1. 了解安全计划资金
• 4.2. 分析、预测和制定安全预算
• 4.2.1. 资源要求
• 4.2.2. 定义财务指标
• 4.2.3. 技术更新
• 4.2.4. 新项目资助
• 4.2.5. 应急资金
• 4.3. 管理信息安全预算
• 4.3.1. 获取财务资源
• 4.3.2. 分配财务资源
• 4.3.3. 信息安全预算的监控
• 4.3.4. 向发起人和利益相关者报告指标
• 4.3.5. 平衡信息安全预算

# 5. 采购

• 5.1. 采购计划术语和概念
• 5.1.1. 目标声明 (SOO)
• 5.1.2. 工作说明书 (SOW)
• 5.1.3. 总拥有成本 (TCO)
• 5.1.4. 索取信息 (RFI)
• 5.1.5. 征求建议书 (RFP)
• 5.1.6. 主服务协议 (MSA)
• 5.1.7. 服务水平协议 (SLA)
• 5.1.8. 条款和条件 (T&C)
• 5.2. 了解组织的采购计划
• 5.2.1. 内部政策、流程和要求
• 5.2.2. 外部或监管要求
• 5.2.3. 本地要求与全球要求
• 5.3. 采购风险管理
• 5.3.1. 标准合同语言

# 6. 供应商管理

• 6.1. 了解组织的采购政策和程序
• 6.1.1. 采购生命周期
• 6.2. 在采购过程中应用成本效益分析 (CBA) 5
• 6.3. 供应商管理政策
• 6.4. 合同管理政策
• 6.4.1. 服务和合同交付指标
• 6.4.2. 合同交付报告
• 6.4.3. 变更请求
• 6.4.4. 续约
• 6.4.5. 合同结束
• 6.5. 交货保证
• 6.5.1. 验证是否满足合同要求
• 6.5.2. 正式交付审核
• 6.5.3. 定期随机交付审核
• 6.5.4. 第三方认证服务 (TPRM)

# 7. 总结

# 下载地址