ISC2 - CSSLP

CSSLP資安軟體開發專家認證課程

Certified Secure Software Lifecycle Professional Course
  • 時數:40小時
  • 費用:NT$ 50,000
  • 點數:12.5

選擇查詢分區開課時間

地點 班號 日期 時間 報名
台北 24882 班 2024/06/03 ~ 2024/06/07 每週一二三四五 09:00~18:00 報名
台北 24883 班 2024/07/21 ~ 2024/08/18 每週日 09:00~18:00 報名
台北 24819 班 2024/09/30 ~ 2024/10/04 每週一二三四五 09:00~18:00 報名
台北 24825 班 2024/12/02 ~ 2024/12/06 每週一二三四五 09:00~18:00 報名
新竹 24882ZH 班 2024/06/03 ~ 2024/06/07 每週一二三四五 09:00~18:00 報名 Live
新竹 24883ZH 班 2024/07/21 ~ 2024/08/18 每週日 09:00~18:00 報名 Live
台中 24883ZT 班 2024/07/21 ~ 2024/08/18 每週日 09:00~18:00 報名 Live
台中 42477 班 2024/09/23 ~ 2024/09/27 每週一二三四五 09:00~18:00 報名
台中 24819ZT 班 2024/09/30 ~ 2024/10/04 每週一二三四五 09:00~18:00 報名 Live

目前查無開課時段

詳細開課時間請洽詢業務
新竹、台中、高雄如有上課需求,請參考台北開課日期,洽當地服務人員依需求加開遠距開課日期

聯絡恆逸

教材

ISC2原廠電子教材

課程目標

● 此課程為「數位發展部資通安全署」認可之資通安全專業證照

CSSLP®(Certified Secure Software Lifecycle Professional)是一張針對參與軟體開發生命週期(SDLC)所有人員量身訂作的資安證照,其認證考試所測驗的是軟體開發相關人員對於軟體生命週期、漏洞、風險、資訊安全基本知識與法規遵循等各方面知識的了解與認知程度。

資訊系統已經成為現今企業運作的重要基石。然而根據統計,有80%的資安事件,是因為資訊系統的漏洞所引起,雖然這些漏洞可以事後修補,但是衝擊卻已經造成;若在系統開發時,防範於未然,企業便可避免掉這些資安事件所造成的損失。

為了協助您了解何謂SDLC並取得CSSLP®認證,精誠恆逸特別與CSSLP®考試及發照機構ISC2合作,獨家在台開設CSSLP®課程。藉由此課程,您可以認識並了解何謂SDLC,進而將相關知識運用在軟體開發專案中,藉此以達到落實SDLC之效果,並且也為取得CSSLP®認證做好準備。

適合對象

  1. 參與系統或軟體開發之相關人員

  2. 軟體專案經理、系統架構師、系統分析師

  3. 程式設計師、軟體測試人員

  4. 稽核人員

預備知識

軟體開發生命週期

課程內容

本課程涵蓋CSSLP® CBK® SDLC八大領域。課程內容不涉及特定開發技術,而是著重在如何進行安全程式開發的流程與方法。

Domain 1 安全軟體概念

L1.1 定義軟體開發的核心安全目標

L1.2 描述資訊安全三要素並解釋資訊機密性、完整性和可用性的主要機制

L1.3 描述資訊安全與資料隱私之間的關係

L1.4 辨識影響軟體安全的監管考量

L1.5 解釋安全方法如何透過存取控制減輕弱點

L1.6 描述軟體安全中多層保護的目的和功能

L1.7 描述安全文化和實踐如何影響資料隱私和安全

Domain 2 安全軟體生命週期管理

L2.1 探討軟體開發的預測性和適應性方法中的安全性

L2.2 描述將軟體安全實踐納入軟體開發生命週期過程中

L2.3 辨識DevOps和DevSecOps

L2.4 認識安全性組態標準和基準

L2.5 描述以安全為重點的組態管理過程

L2.6 確定軟體弱點和漏洞的安全標準

L2.7 解釋OWASP的軟體保證成熟模型和建立安全性成熟模型

L2.8 在DevSecOps管道中定義軟體安全里程碑和檢查點

L2.9 解釋系統安全計畫

L2.10 辨識與安全相關的文件

L2.11 辨識軟體開發中的指標

L2.12 詳細說明軟體停用政策和流程

L2.13 解釋DevSecOps中的安全性報告機制

L2.14 描述風險評估和風險管理

L2.15 審查安全運作流程的實施

L2.16 辨識容器生命週期中的安全考慮

Domain 3 安全軟體需求

L3.1 描述需求管理以及軟體安全需求的來源

L3.2 辨識功能性和非功能性需求

L3.3 解釋SCRUM/SCRUM相似方法中以安全為重的故事的影響

L3.4 描述軟體安全需求的來源

L3.5 分析安全政策及其支援元素作為內部安全需求的來源

L3.6 解釋遵循要求,並辨識法律、法規和行業標準作為外部安全需求的來源

L3.7 討論安全標準和架構

L3.8 描述資料治理和所有權

L3.9 描述資料分類以及安全標籤和標記

L3.10 辨識結構化和非結構化的資料類型

L3.11 描述資料生命週期

L3.12 辨識旨在減輕隱私風險的隱私法律和法規

L3.13 討論資料匿名化並列舉各種匿名化方法

L3.14 在隱私情境中解釋使用者同意、資料保留和資料處理

L3.15 辨識跨境資料轉移的影響以及個人資料轉移的限制

L3.16 描述使用者和軟體資料存取規定

L3.17 描述誤用和濫用案例以及它們與已知攻擊模式的相關性

L3.18 描述安全需求追蹤矩陣

L3.19 辨識第三方供應商的安全性需求

Domain 4 安全軟體架構和設計

L4.1 描述架構和相關的安全設計模式

L4.2 辨識介面設計的安全性標準

L4.3 比較並區分各種身分驗證和授權機制

L4.4 描述憑證管理

L4.5 辨識網路安全中使用的原則和工具

L4.6 描述維護資料庫安全性的方法

L4.7 辨識威脅建模的過程、工具和方法

L4.8 指出可攻擊面積評估和管理的過程

L4.9 討論威脅情報和網絡威脅資訊的來源

L4.10 描述架構風險評估的過程

L4.11 辨識非功能性安全性特性和限制

L4.12 辨識安全操作架構的考量

Domain 5 安全軟體建置

L5.1辨識安全編碼標準的特點

L5.2 描述在受控應用程式中建置安全性的不同方法

L5.3 辨識軟體中的常見缺陷以及相應的緩解策略

L5.4 解釋常見的安全開發實踐

L5.5 辨識在傳輸中和儲存中的資料保護方法

L5.6 辨識列在最常見弱點清單和資料庫中的軟體弱點

L5.7 描述軟體保證工具的功能和方法

L5.8 描述按類型和功能對控制的分類

L5.9 辨識防止常見網路應用程式弱點的控制措施

L5.10 描述制定包括軟體風險考量的安全策略的過程

L5.11 辨識使用第三方和開源組件和庫時相關的風險

L5.12 描述各種整合類別及其對軟體安全性的相關性

L5.13 描述建構自動化過程

L5.14 解釋軟體保證中使用的技術

Domain 6 安全軟體測試

L6.1 辨識常見的安全測試技術

L6.2 描述測試環境

L6.3 辨識組織的軟體安全標準和指南

L6.4 解釋群眾外包安全性和獎金計劃的好處

L6.5 辨識安全測試的指南

L6.6 辨識各種安全性測試案例

L6.7 認識建立誤用和濫用案例的重要性

L6.8 描述文件驗證和驗證

L6.9 解釋OWASP的應用程式安全驗證標準的結構和目標

L6.10 描述未記錄的功能和原始碼

L6.11 解釋測試結果的安全性影響

L6.12 區分測試結果的類型

L6.13 描述追蹤安全性缺陷的過程

L6.14 解釋風險評分系統和常見弱點評分系統

L6.15 解釋測試數據的生成以及使用生產數據的後果

L6.16 描述驗證和驗證測試的過程

Domain 7 安全軟體部署、運營、維護

L7.1在ISO 31000系列的背景下描述操作風險分析

L7.2 描述安全配置管理(SecCM)

L7.3 辨識安全持續整合和持續交付管道的元素

L7.4 解釋應用程式安全工具鏈

L7.5 辨識識別應用程式弱點的步驟

L7.6 比較和區分常見的存儲和管理安全資料的方法

L7.7 描述安全的安裝過程和方法

L7.8 釋安全的軟體啟動機制

L7.9 辨識運營授權(ATO)過程中的步驟和方法

L7.10 解釋如何執行資訊安全持續監控

L7.11 描述涉及事件應對計劃的階段

L7.12 將修補管理過程與整體軟體安全實踐相關聯

L7.13 描述用於弱點管理的方法和工具

L7.14 描述控制如何在執行階段以控制措施保護應用程式

L7.15 比較和區分業務持續性和災害復原計劃如何支援作業的連續性

L7.16 解釋並區分服務水準協議(SLA)、服務水準目標(SLO)和服務水準指標(SLI),以實現供應商的持續性

Domain 8 安全軟體供應鏈

L8.1 描述軟體供應鏈

L8.2 審查軟體供應鏈風險管理的過程

L8.3 解釋與第三方軟體相關的安全風險

L8.4 將風險與點對點應用程式和文件共享相關聯

L8.5 解釋程式碼儲存庫和環境安全

L8.6 表達具有密碼學雜湊和數位簽章的元件

L8.7 辨識軟體取得中的安全需求和原則

L8.8 詳細說明軟體取得的關鍵考慮因素

L8.9 解釋軟體取得的合約要求

學會技能

1.制定軟體安全要求
2.從軟體開發生命週期的角度規劃與設計軟體安全性
3.在軟體開發過程中加入相對之安全機制
4.測試軟體安全性
5.維護軟體安全性
★更多資訊安全課程請參考恆逸資安學習中心

備註事項

  1. 白天班之上課時間為09:00~18:00

  2. 課程結束後,出席率達80%以上者,將獲頒發ISC2官方培訓證書

  3. 報名本課程者,原報名班級開課日起一年內,可享有同一版本課程免費一次辦理重聽之機會

  4. 通過考試後,欲申請CSSLP®認證必須符合ISC2相關規定

  5. 精誠資訊恆逸教育訓練中心為PMI®認可之授權教育訓練中心,代號:3150。本課程符合PMI®國際專案管理學會PDU專業學分,需自行上網登錄

  6. 考試報名採隨報隨考,考試地點與座位有限,故請提早預約考場,台北考場資訊如下:

    • Pearson Professional Test Center Taipei, Taiwan

    • 台北市信義區基隆路一段163號12樓-3 聯合世紀大樓 TEL:(02)27567808

    • 恆逸高雄亦可考試,座位有限,請提早預約考場

  7. 課程優惠方案:

    • 早鳥優惠價:開課前2周完成報名繳費,享有早鳥優惠價NT$45,000元


史上最完整的ISC2考試心得分享