第一天

第一章 安全與風(fēng)險管理

安全與風(fēng)險管理的概念；機(jī)密性、完整性與可用性

安全治理；完整與有效的安全體系

合規(guī)性（原法律法規(guī)章節(jié)）；全球性法律與法規(guī)問題 （原法律法規(guī)章節(jié)）

理解專業(yè)道德（原法律法規(guī)章節(jié)）；理解專業(yè)道德（原法律法規(guī)章節(jié)）

開發(fā)與實施安全策略；業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)需求（原BCP與DRP章節(jié)）

管理人員安全；風(fēng)險管理的概念

風(fēng)險管理的概念；威脅建模

采購策略與實踐；安全教育、培訓(xùn)與意識

第二天

第二章 資產(chǎn)安全

資產(chǎn)安全概念；數(shù)據(jù)管理：決定與維護(hù)所有者

數(shù)據(jù)標(biāo)準(zhǔn)；數(shù)據(jù)壽命與使用

信息分級與支持資產(chǎn)；資產(chǎn)管理

資產(chǎn)管理；保護(hù)隱私

確保合適的保存；數(shù)據(jù)安全控制

標(biāo)準(zhǔn)選擇

第三天

第三章 安全工程（新增章節(jié)、融合了安全架構(gòu)、物理安全、密碼學(xué)等）

在工程生命周期中應(yīng)用安全設(shè)計原則；安全模型的基本概念

信息系統(tǒng)安全評價模型；安全架構(gòu)的漏洞

數(shù)據(jù)庫安全；軟件和系統(tǒng)的漏洞與威脅

嵌入式設(shè)備和網(wǎng)絡(luò)物理系統(tǒng)的漏洞；密碼學(xué)應(yīng)用

站點和設(shè)施的設(shè)計考慮；站點規(guī)劃

軟件和系統(tǒng)的漏洞與威脅；設(shè)施安全的實施與運(yùn)營

第四章 通信與網(wǎng)絡(luò)安全

通信與網(wǎng)絡(luò)安全概念；安全網(wǎng)絡(luò)架構(gòu)與設(shè)計

多層協(xié)議的含義；各類協(xié)議

網(wǎng)絡(luò)組件安全；通信通道安全

網(wǎng)絡(luò)攻擊

第五章 身份與訪問管理

身份與訪問管理概念；資產(chǎn)的物理與邏輯訪問

人員和設(shè)備的身份識別與認(rèn)證；身份管理實施

身份即服務(wù)（IDaaS）；集成第三方身份服務(wù)

授權(quán)機(jī)制的實施與管理；防護(hù)或緩解對訪問控制攻擊

識別與訪問規(guī)定的生命周期

第六章 安全評估與測試

安全評估與測試概念；評估與測試策略

收集安全流程數(shù)據(jù)；內(nèi)部與第三方審計

第四天

第四章 通信與網(wǎng)絡(luò)安全

通信與網(wǎng)絡(luò)安全概念；安全網(wǎng)絡(luò)架構(gòu)與設(shè)計

多層協(xié)議的含義；各類協(xié)議

網(wǎng)絡(luò)組件安全；通信通道安全

網(wǎng)絡(luò)攻擊

第五章 身份與訪問管理

身份與訪問管理概念；資產(chǎn)的物理與邏輯訪問

人員和設(shè)備的身份識別與認(rèn)證；身份管理實施

身份即服務(wù)（IDaaS）；集成第三方身份服務(wù)

授權(quán)機(jī)制的實施與管理；防護(hù)或緩解對訪問控制攻擊

識別與訪問規(guī)定的生命周期

第六章 安全評估與測試

安全評估與測試概念；評估與測試策略

收集安全流程數(shù)據(jù)；內(nèi)部與第三方審計

第五天

第七章 安全運(yùn)營（融合了原DRP相關(guān)內(nèi)容）

安全運(yùn)營概念；調(diào)查

為資源提供配置管理；安全運(yùn)營的基本概念

資源保護(hù)；事件響應(yīng)

針對攻擊的防御性措施；補(bǔ)丁和漏洞管理

變更與配置管理；災(zāi)難恢復(fù)流程

演練計劃回顧；業(yè)務(wù)連續(xù)性與其他風(fēng)險領(lǐng)域

訪問控制；人員安全

第八章 軟件開發(fā)生命周期安全

軟件開發(fā)生命周期安全概念；軟件開發(fā)安全概要

環(huán)境與安全控制；軟件環(huán)境安全

軟件保護(hù)機(jī)制；評估軟件安全的有效性

評估軟件采購安全