CISSP课程提纲

1.安全与风险管理

15%

2.资产安全

10%

3.安全架构与工程

13%

4.通信与网络安全

14%

5.身份与访问管理 (IAM)

13%

6.安全评估与测试

12%

7.安全运营

13%

8.软件开发安全

10%

领域 1:

安全与风险管理

1. 1.1  理解和运用保密性、完整性和可用性的概念

2. 1.2  评估和应用安全治理的原理

   » 将安全功能与商业策咯、目标、使命和宗旨相连接 » 组织的流程(例如购置、剥离、治理委员会)
   » 组织的角色与职责

3. 1.3  确定合规要求
   » 合约、法律、行业标准和监管的要求

» 安全控制框架
» 谨慎考虑/恪尽职守 » 确定合规要求

» 隐私的要求
1.4 理解与信息安全的全球背景相关的法律和监管问题

» 网络犯罪和数据泄露
» 许可和知识产权的要求 » 进口/出口控制

1. 1.5  理解、遵从与提升职业道德 » (ISC)2 职业道德规范

   » 组织的道德规范

2. 1.6  开发、撰写与实现安全政策、标准、流程和指南

» 跨境数据流 » 隐私

1.7 对业务连续性(Business Continuity)进行识别、分析及优先级排序

» 制定并记录范围和计划 » 经营影响分析(BIA)

1.8 促进与实行人员安全的策略与流程

» 员工筛选与雇佣
» 雇佣合约与政策
» 入职与离职程序
» 供应商、顾问与承包商的合约与控制

1.9 理解与运用风险管理的概念

• »  识别威胁与漏洞

• »  风险评估/分析

• »  风险响应

• »  对策选择与实现

• »  控制措施适用的类型(例如:预防措施、检测措施和 纠正措施

• »  安全控制评估(SCA)
  1.10 理解与运用威胁建模的概念和方法论

  » 威胁建模的方法论 » »威胁建模的概念

  1.11 将基于风险的管理概念运用到供应链

  » 与硬件、软件和服务相关的风险 » »第三方评估与监测
  » »最低安全需求

  1.12 建立与维护安全意识、教育和培训计划

  » 安全意识宣贯与培训的方法和技术 » »定期内容审查
  » »方案效果评价

» 合规策略要求 » 隐私策略要求

» 监控与测量 » 资产估价 »汇报
» 持续提高

» 风险框架

» 服务水平要求

领域 2:

资产安全

1. 2.1  识别与分类信息和资产 » 数据分级

   » 资产分级

2. 2.2  确定与维护信息和资产所有权

3. 2.3  保护隐私
   » 数据所有者

   » 数据所有者

4. 2.4  确保适当的资产保留

5. 2.5  确定数据安全控制 » 理解数据状态

   » 定界与定制

6. 2.6  建立信息和资产的处理要求

» 数据残留
» 数据收集限制

» 标准选择
» 数据保护的方法

领域 3:

安全架构与工程

1. 3.1  使用安全设计原理来实施与管理工程的进程

2. 3.2  理解安全模型的基本概念

3. 3.3  基于系统安全需求选择控制措施

4. 3.4  理解信息系统的安全功能(例如:内存保护、可信平台模块(TPM)、加密/解密)

5. 3.5  评估与缓解安全架构、设计和解决方案要素的漏洞

» 基于客户端的系统 » 基于服务端的系统 » 数据库系统
» 密码系统

1. 3.6  评估和缓解Web系统中的漏洞

2. 3.7  评估与缓解移动系统的漏洞

3. 3.8  评估与缓解嵌入式设备的漏洞

4. 3.9  运用密码学

» 密码生命周期 (例如:密钥管理、算法选择) » 加密方法(例如:对称、非对称、椭圆曲线) » 公钥基础设施 (PKI)
» 密钥管理实践

» 数字签名
3.10 将安全原理运用到场所与设施的设计上

» 工业控制系统(ICS) » 基于云端的系统
» 分布式系统
» 物联网(IoT)

» 抗抵赖性
» 完整性(例如:哈希函数) » 理解密码攻击方法
» 数字版权管理(DRM)

3.11 实施场所与设施的安全控制

» 配线柜/中继配线设施 » 服务器机房/数据中心 » 媒体储存设施
» 证据储存

» 限制区与工作区的安全

领域 4:

通信与网络安全

4.1 在网络架构中实施安全设计原则
» 开放系统互连(OSI)和传输控制协议 / 互联网协

» 聚合协议
» 软件定义网络 » 无线网络

» 端点安全
» 内容配送网

» 数据通信
» 虚拟化网络

议(TCP/IP)模型

• »  互联网协议(TCP/IP)网络

• »  多层协议的作用

4.2 网络组件安全

» 硬件操作
» 传输介质
» 网络访问控制(NAC)设备

4.3 根据设计实施安全通信通道

» 语音
» 多媒体协作 » 远程访问

领域 5:

身份与访问管理 (IAM)

1. 5.1  控制对资产的物理和逻辑访问 » 信息

   » 系统 » 设备 » 设施

2. 5.2  管理对人员、设备和服务的身份识别与验证

   » 实施身份管理
   » 单/多因素身份验证 » 可核查性
   » 会话管理

3. 5.3  集成身份为第三方服务

   » 内部部署 » 云计算
   » 联合

4. 5.4  实施和管理授权机制

» 基于角色的访问控制 (RBAC) » 基于规则的访问控制
» 强制访问控制(MAC)

5.5 管理身份和访问配置生命周期

» 用户访问审查
» 系统账户访问审查 » 配置与清除配置

• »  身份注册与证明

• »  联合身份管理 (FIM)

• »  凭证管理系统

• »  自主访问控制 (DAC)

• »  基于属性的访问控制 (ABAC)

领域 6:

安全评估与测试

1. 6.1  设计和验证评估、测试和审计策略

   » 内部
   » 外部
   » 第三方

2. 6.2  对安全控制进行测试 » 漏洞评估

   » 渗透测试 » 日志审查 » 模拟交易

3. 6.3  收集安全流程数据 (如:技术和管理)

   » 账户管理
   » 管理层审查和批准
   » 关键业绩和风险指标

4. 6.4  分析测试输出并生成报告

5. 6.5  执行或协助安全审计

   » 内部
   » 外部
   » 第三方

» 代码审查和测试 » 误用案例测试
» 测试覆盖率分析 » 接口测试

» 备份验证数据
» 信息安全意识宣贯
» 灾难恢复(DR)和业务连续性(BC)

领域 7:

安全运营

7.1  理解和支持调查

» 证据采集和处理 » 报告和记录
» 调查技术

7.2  了解调查类型的要求

» 行政 » 刑事 » 民事

7.3  进行日志记录和持续监测活动 » 入侵检测和防御

» 安全信息和事件管理(SIEM)

7.4  安全配置资源

» 资产清单 » 资产管理 » 配置管理

7.5  理解和应用基本的安全运营概念

» 因需可知/最低权限 » 职责分离
» 特权帐户管理

7.6  应用资源保护技术

» 介质管理
» 硬件和软件资产管理

» 数字取证工具、策略和程序

» 监管
» 行业标准

» 不间断持续监测
» 输出流量持续监测

» 岗位轮换
» 信息生命周期
» 服务水平协议(SLA)

7.7  执行事件管理

»检测 »响应 »缓解 » 报告

7.8  检测和预防措施的运营及维护

» 防火墙
» 入侵检测和防御系统

» 白名单 / 黑名单
» 第三方提供的安全服务

7.9  实施和支持补丁和漏洞管理

7.10  理解并参与变更管理流程

7.11  实施灾难恢复(DR)过程

» 备份存储策略 » 恢复站点策略 » 多个处理站点

7.12  实施灾难恢复 (DR) 流程

» 响应 » 人员 » 通信

7.13  测试灾难恢复计划 (DRP)

» 书面测试/测试 » 穿行测试
» 模拟测试

7.14  参与业务连续性 (BC) 计划制定和演练

7.15  实施和管理物理安全

» 外围安全控制 » 内部安全控制

7.16  解决人员安全问题

» 旅行
» 安全培训和意识

» 恢复
» 补救
» 经验教训

» 沙箱
» 蜜罐/蜜网 » 反恶意软件

» 系统弹性、高可用性、服务质量(QoS)和容错

» 评估
» 恢复
» 培训和信息安全意识宣贯

» 并行测试
» 全面中断测试

» 应急管理 » 胁迫

领域 8:

软件开发安全

8.1 理解安全并将其融入软件开发生命周期(SDLC)中

» 开发方法
» 成熟度模型 » 运营和维护

1. 8.2  开发环境中识别和应用安全控制 » 软件环境的安全

   » 配置管理作为安全编码的一个方面

2. 8.3  评估软件安全的有效性

   » 审核和变更记录 » 风险分析和缓解

3. 8.4  评估获得软件对安全的影响

4. 8.5  定义并应用安全编码准则和标准

   » 源代码级安全弱点和漏洞 » 应用编程接口安全
   » 安全编码实践

» 变更管理
» 集成产品团队