CSSLP国际注册软件生命周期安全师

『课程背景：成为软件生命周期安全专家，获取国际权威认证，“助力职业发展”』  

CSSLP国际注册软件生命周期安全师（CertifiedSecure Software Lifecycle Professional ）是信息安全行业唯一一个针对保障整个软件开发生命周期安全性的认证。从概念到规划、运行、维护直至废弃处理，此资格认证制定了在软件开发的各个阶段保证其安全性的行业标准和最佳实践。安全性的核心理念包含机密性、完整性、实用性、验证、授权与审计，于软件开发生命周期缺一不可。若不严守以上原理，信息将受到严重威胁。实践证明，在软件生命周期初期就考虑安全性并在各阶段保持安全性的方式，比当今常用的先发布后打补丁的方式，不但能节省30至100倍成本，更能大大提升工作效率。CSSLP 认证旨在验证考生在整个软件开发生命周期 (SDLC) 保障应用安全的能力，包括从信息收集到安全软件的编码、测试、发布及维护，以及供应链及软件采购方面。

    CSSLP认证考试由（ISC）2组织与管理，参加CSSLP认证的人员需要遵守CSSLP道德规范（Code　of　Ethics），同时需要证明您在 CSSLP CBK 规定的八大领域之中的一个或以上范畴，拥有至少四年软件开发生命周期行业的从业经验，或具备学士学位且拥有三年的近期相关工作经验。如果未达到年限要求，仍可以参加考试，先成为 (ISC)2 准会员，直到满足所要求的工作经验后再申请。2012年6月1日开始，CSSLP在中国大陆地区实行机考，目前在中国大陆地区的考点分别为：北京、上海和广州。

“汇哲科技”（简称“汇哲科技”或“SPISEC”）由北京汇哲信安科技有限公司、上海汇哲信息科技有限公司等多个独立公司所组成，专注于IT治理、信息安全、IT审计、IT服务管理、业务连续性、项目管理等领域国际最新理念良好实践的培训与服务，始终以培养信息安全专业人才，组织信息安全人才交流为发展目标。作为领先的专业培训服务机构，汇哲科技致力于推广信息安全理论和实践，为学员提供“学习国际知识、拓宽职业道路、融入专业社区、持续提升能力”的服务。

汇哲科技作为唯一一家以信息安全培训与后续保障服务为主的机构，整体培训着重于实践和服务质量的精细、实用及持续化。讲师均具备十年以上实践经验，并长年致力于信息安全培训与实践工作，具备资深的专业培训水平和丰富的实战经验。汇哲科技专业、强大的后续服务团队专为学员随时解决考试认证、工作实践、企业指导等问题。结合多年培训与实践经验，汇哲科技制定的“汇哲培训服务三维体系”、“企业信息安全人才培养规划”、“企业信息安全意识宣贯”、“企业信息安全攻防演练平台”、“企业培训评估检验平台”深受企业认可。汇哲科技将以培训为基础、实践为目的、后续服务为保障，持续有效地为企业、个人及第三方合作伙伴提供优质的服务。

汇哲科技于2007年开始在业内陆续组织多场专业知识学习讲座和研讨会，并持续提供大量专业学习期刊、安全通报、培训书籍、视频课件、意识动画、攻防环境和在线平台等服务。汇哲科技迄今为止已为30000多名会员提供免费的学习指导服务，并已为4000多名学员直接提供培训辅导、认证考试、攻防竞赛、人才规划、人员测评、意识宣贯等服务。学员分布在政府、央企、国企、金融、运营商、能源、制造、互联网等多个行业。

『课程价值：掌握软件生命周期安全精髓，理解CSSLP八大CBK知识要点、顺利通过CSSLP考试，切入实践，小班精细化授课』

?  理解CSSLP八个CBK关键知识和概念，熟练掌握各章重点；

?  丰富、实践、互动性的授课方式，强化软件生命周期安全知识与过程，顺利通过CSSLP考试；

?  结合学习内容切入案例，帮助学员解决实践问题引入软件开发安全面管理实践；

?  专业的讲师团队和独立的后续服务团队为学员的认证和实践提供持续服务；

『课程对象：IT总监/经理；安全经理；项目经理；软件项目经理；』

?  软件架构师；软件工程师；软件开发工程师；应用程序安全专家；软件采购分析员；渗透测试人员；质量保证测试员；

课程内容

ISC2标准大纲，每月开课免费复读直到通过，+中文模拟测试为你保驾护航

CBK 8大知识域

1、安全与风险管理  

理解并应用保密性、完整性和可用性的概念、应用安全治理原则

合规、理解与信息安全有关的法律和法规问题

理解专业人员道德品质

开发并实施文件化的安全策略、标准、规程和指南

理解业务连续性要求

个人安全策略

理解并应用威胁建模

建立并管理信息安全教育、意识和培训

2、资产安全

信息及支持性资产的分级（例如敏感性和关键性）

确定并维持资产责任人（例如数据责任人、系统责任人、业务/使命责任人）

隐私保护

确保适当的保存

确定数据安全控制（例如存储的数据、传输的数据）

建立处置要求（例如敏感信息的标记、存储、分发）

3、安全工程

使用安全设计原则的工程过程的实施和管理

理解安全模型的基础概念、基于系统安全评价模型选择控制和对策

理解信息系统的安全能力（例如存储保护、虚拟化、可信平台模块、界面、容错）

评估并减缓安全架构、设计和解决元素的脆弱性、评估并减缓基于Web（例如XML、OWASP）的脆弱性

评估并减缓移动系统的脆弱性、评估并减缓嵌入设备和网络物理系统（例如物联网）的脆弱性

应用密码

在场所和设施的设计中应用安全原则、设计并实施物理安全

4、通信与网络安全

在网络架构（例如IP和非IP协议）中应用安全设计原则

安全网络组件

设计并建立安全通信渠道

防护或减缓网络攻击

5、身份与访问管理

资产的物理和逻辑访问控制

人员和设备的身份和鉴证管理

作为一项服务整合身份（例如云身份）

整合第三方身份服务

实施并管理授权机制

防护或减缓访问控制攻击

管理身份和访问配置生命周期

6、安全评估与测试

设计并验证评估和测试战略

管理安全控制测试

收集安全过程数据（例如管理和运行控制）

分析并报告测试输出（例如自动化手段、手工手段）

实施内部和第三方审核

7、安全运营

理解并支持调查、理解调查类型的要求

理解并应用基础的安全运营的概念、实施日志和监视活动

资源配置安全、使用资源保护技术

实施事件管理、运行并保持预防措施

实施并支持补丁和脆弱性管理

参与并理解变更管理过程（例如版本控制、基线、安全影响分析）

实施恢复战略、实施灾难恢复过程、测试灾难恢复计划、参与业务连续性计划和演练

实施并管理物理安全、参与解决个人安全问题

8、软件开发安全

在软件开发生命周期中应用安全

在开发环境中加强安全控制

评估软件安全的有效性

评估获取软件的安全影响

考试前会有CISSP中文模拟考试与分析

CISSP中文模拟考试（注同步官方环境）

CISSP考试题目解析

『授课师资：资深软件开发安全权威专家+资深CSSLP认证专家 强强联合』

?  国内CSSLP资深专家；著名软件开发安全专家；20年培训经验老师，多年软件开发安全实战经验、保障教学质量：

贺老师

多年IT 和信息安全专业领域从业经验，具有丰富的软件开发、咨询和实战经验，长期担任CISP/CISSP高级讲师、积累了大量 的网络安全教学经验，网络安全方面相关培训经验7年。自2003年开始参与信息安全培训工作至今。曾经参与：某联通信息安全内训、某人寿信息安全内训、某邮政信息安全内训、某电信《信息安全网络体系架构安全培训》、江苏移动CISP培训、广东移动CISSP内训、广东移动ISO 27001：2005 LA培训、某电信信息安全内训、某中国移动分公司《应用安全开发生命周期管理培训》、某电信CISSP培训、某互联网公司CISSP培训

『教学资料：全套中英语教材，在线平台支撑，全方位保障』

?  《CSSLP注册软件生命周期安全师中文培训讲义》；

?  《Official ISC2 Guideto the CSSLP CBK教材英语版》；

?  《CSSLP培训光盘电子版》；

来源：HZspise