륤ȥ Хå
륤ȥ ؔ
륤ȥ Lؔ
륤ȥ Хå
륤ȥ ؔ
륤ȥ Lؔ
륤ȥ ؔ ǥ`
륤ȥ Хå Ʒ
륤ȥ Lؔ
륤ȥ ӥͥХå
륤ȥ ؔ ǥ` ˚
륤ȥ Lؔ˚
륤ȥ Хå˚
륤ȥ Хå
륤ȥ Хå
륤ȥ ؔ2017
륤ȥ ؔ
륤ȥ Хå ͨ؜
륤ȥ Lؔ؜
륤ȥ Хå ؜

CISSP八大知识域

CISSP® (ISC)²® CBK® 知识域涵盖信息安全专业人士普遍关注的各种信息安全关键性议题,并每年更新一次,以反映全球最新的最佳实践。同时建立了一个信息安全概念和原理的通用框架,以供探讨、辩论、解决业内难题。

 CISSP CBK包含以下八大知识域:(2015年4月15日起实施)

1)安全与风险管理

关键知识域:

  • A. 理解并应用保密性、完整性和可用性的概念、应用安全治理原则
  • B. 合规、理解与信息安全有关的法律和法规问题
  • C. 理解专业人员道德品质
  • D. 开发并实施文件化的安全策略、标准、规程和指南
  • E. 理解业务连续性要求
  • F. 个人安全策略
  • G. 理解并应用威胁建模
  • H. 建立并管理信息安全教育、意识和培训

 2)资产安全

关键知识域:

  • A. 信息及支持性资产的分级(例如敏感性和关键性)
  • B. 确定并维持资产责任人(例如数据责任人、系统责任人、业务/使命责任人)
  • C. 隐私保护
  • D. 确保适当的保存
  • E. 确定数据安全控制(例如存储的数据、传输的数据)
  • F. 建立处置要求(例如敏感信息的标记、存储、分发)

 3)安全工程

关键知识域:

  • A. 使用安全设计原则的工程过程的实施和管理
  • B. 理解安全模型的基础概念、基于系统安全评价模型选择控制和对策
  • C. 理解信息系统的安全能力(例如存储保护、虚拟化、可信平台模块、界面、容错)
  • D. 评估并减缓安全架构、设计和解决元素的脆弱性、评估并减缓基于Web(例如XML、OWASP)的脆弱性
  • E. 评估并减缓移动系统的脆弱性、评估并减缓嵌入设备和网络物理系统(例如物联网)的脆弱性
  • F. 应用密码
  • G. 在场所和设施的设计中应用安全原则、设计并实施物理安全

 4)通信与网络安全

关键知识域:

  • A. 在网络架构(例如IP和非IP协议)中应用安全设计原则
  • B. 安全网络组件
  • C. 设计并建立安全通信渠道
  • D. 防护或减缓网络攻击

 5)身份与访问管理

关键知识域:

  • A. 资产的物理和逻辑访问控制
  • B. 人员和设备的身份和鉴证管理
  • C. 作为一项服务整合身份(例如云身份)
  • D. 整合第三方身份服务
  • E. 实施并管理授权机制
  • F. 防护或减缓访问控制攻击
  • G. 管理身份和访问配置生命周期

 6)安全评估与测试

关键知识域:

  • A. 设计并验证评估和测试战略
  • B. 管理安全控制测试
  • C. 收集安全过程数据(例如管理和运行控制)
  • D. 分析并报告测试输出(例如自动化手段、手工手段)
  • E. 实施内部和第三方审核

 7)安全运营

关键知识域:

  • A. 理解并支持调查、理解调查类型的要求
  • B. 理解并应用基础的安全运营的概念、实施日志和监视活动
  • C. 资源配置安全、使用资源保护技术
  • D. 实施事件管理、运行并保持预防措施
  • E. 实施并支持补丁和脆弱性管理
  • F. 参与并理解变更管理过程(例如版本控制、基线、安全影响分析)
  • G. 实施恢复战略、实施灾难恢复过程、测试灾难恢复计划、参与业务连续性计划和演练
  • H. 实施并管理物理安全、参与解决个人安全问题

 8)软件开发安全

关键知识域:

  • A. 在软件开发生命周期中应用安全
  • B. 在开发环境中加强安全控制
  • C. 评估软件安全的有效性
  • D. 评估获取软件的安全影响

访问www.isc2.org/exam-outline 可下载 最新 CISSP 考试大纲。

Comments are closed.