这篇文章详细列出了2024年CISSP(CertifiedInformationSystemsSecurityProfessional)考试的内容大纲,涵盖了8个主要领域,包括安全和风险管理、资产安全、安全架构、通信和网络安全、身份和访问管理、安全评估和测试、安全操作以及软件开发安全性。每个领域都包含具体的任务和子任务,强调了职业道德、法律法规、技术控制和最佳实践。
|
2024 CISSP详细内容大纲及权重最终版(仅供公众使用) | ||
|
最后编辑于2023年8月18日-生效日期2024年4月15日 | ||
|
分类 |
域/任务/子任务 |
权重 |
|
域1 |
安全和风险管理 |
16% |
|
1.1 |
理解、坚持和促进职业道德(2-4项) | |
|
1.1.1 |
ISC2职业道德守则 | |
|
1.1.2 |
组织道德守则 | |
|
1.2 |
理解并应用安全概念 | |
|
1.2.1 |
机密性、完整性、可用性、真实性和不可否认性(信息安全的5大支柱) | |
|
1.3 |
评估、应用和维护安全治理原则 | |
|
1.3.1 |
安全职能与业务战略、目标、使命和目的的一致性 | |
|
1.3.2 |
组织流程(例如,收购、剥离、治理委员会) | |
|
1.3.3 |
组织角色和职责 | |
|
1.3.4 |
安全控制框架(例如,国际标准化组织(ISO)、国家标准和技术研究所(NIST)、信息和相关技术控制目标(COBIT)、舍伍德应用商业安全架构(SABSA)、支付卡行业(PCI)、联邦风险和授权管理计划(FedRAMP) | |
|
1.3.5 |
Due care/due diligence | |
|
1.4 |
从整体上理解与信息安全相关的法律、法规和合规性问题 | |
|
1.4.1 |
网络犯罪和数据泄露 | |
|
1.4.2 |
许可和知识产权要求 | |
|
1.4.3 |
进口/出口管制 | |
|
1.4.4 |
跨境数据流 | |
|
1.4.5 |
与隐私相关的问题(例如,一般数据保护法规(GDPR)、加州消费者隐私法案、Personal Information Protection Law、Protection of Personal Information Act)) | |
|
1.4.6 |
合同、法律、行业标准和监管要求 | |
|
1.5 |
了解调查类型的要求(即行政、刑事、民事、监管、行业标准) | |
|
1.6 |
制定、记录和实施安全政策、标准、程序和准则 | |
|
1.7 |
确定、分析、评估、排定优先级并实施业务连续性(BC)要求 | |
|
1.7.1 |
业务影响分析(BIA) | |
|
1.7.2 |
外部依赖性 | |
|
1.8 |
促进和执行人员安全政策和程序 | |
|
1.8.1 |
候选人筛选和聘用 | |
|
1.8.2 |
雇佣协议和政策驱动的要求 | |
|
1.8.3 |
入职、调动和离职流程 | |
|
1.8.4 |
供应商、顾问和承包商协议和控制 | |
|
1.9 |
理解并应用风险管理概念 | |
|
1.9.1 |
威胁和漏洞识别 | |
|
1.9.2 |
风险分析、评估和范围 | |
|
1.9.3 |
风险应对和处理(如网络安全保险) | |
|
1.9.4 |
适用的控制类型(例如,预防、检测、纠正) | |
|
1.9.5 |
控制评估(例如,安全性和隐私) | |
|
1.9.6 |
连续监控和测量 | |
|
1.9.7 |
报告(例如,内部、外部) | |
|
1.9.8 |
持续改进(例如,风险成熟度建模) | |
|
1.9.9 |
风险框架(例如,国际标准化组织(ISO)、国家标准和技术研究所(NIST)、信息和相关技术控制目标(COBIT)、舍伍德应用商业安全架构(SABSA)、支付卡行业(PCI)) | |
|
1.10 |
理解并应用威胁建模概念和方法 | |
|
1.11 |
应用供应链风险管理(SCRM)概念 | |
|
1.11.1 |
与从供应商和提供商处获得产品和服务相关的风险(例如,产品篡改,伪造品、植入物) | |
|
1.11.2 |
风险缓解(例如,第三方评估和监控、最低安全要求、服务级别需求、信任根、物理上不可克隆的功能、软件材料清单) | |
|
1.12 |
建立并维护安全意识、教育和培训计划 | |
|
1.12.1 |
提高意识和培训的方法和技术(例如,社会工程、网络钓鱼、security champions、游戏化) | |
|
1.12.2 |
定期内容审查,包括新兴技术和趋势(如加密货币、人工智能(AI)、区块链) | |
|
1.12.3 |
计划有效性评估 | |
|
域2 |
资产安全 |
10% |
|
2.1 |
识别和分类信息和资产 | |
|
2.1.1 |
数据分类 | |
|
2.1.2 |
资产分类 | |
|
2.2 |
建立信息和资产处理要求 | |
|
2.3 |
安全地调配信息和资产 | |
|
2.3.1 |
信息和资产所有权 | |
|
2.3.2 |
资产库存(例如,有形的、无形的) | |
|
2.3.3 |
资产管理 | |
|
2.4 |
管理数据生命周期 | |
|
2.4.1 |
数据角色(即所有者、控制者、保管者、处理者、用户/主体) | |
|
2.4.2 |
数据收集 | |
|
2.4.3 |
数据单元 | |
|
2.4.4 |
数据维护 | |
|
2.4.5 |
数据保持 | |
|
2.4.6 |
数据剩余 | |
|
2.4.7 |
数据销毁 | |
|
2.5 |
确保适当的资产保留(例如,生命周期终止(EOL)、支持终止) | |
|
2.6 |
确定数据安全控制和合规性要求 | |
|
2.6.1 |
数据状态(例如,使用中、传输中、静止) | |
|
2.6.2 |
范围界定和裁剪 | |
|
2.6.3 |
标准选择 | |
|
2.6.4 |
数据保护方法(例如,数字版权管理(DRM)、数据丢失防护(DLP)、云访问安全代理(CASB)) | |
|
域3 |
安全架构和工程 |
13% |
|
3.1 |
使用安全设计原则研究、实施和管理工程流程 | |
|
3.1.1 |
威胁建模 | |
|
3.1.2 |
最小特权 | |
|
3.1.3 |
纵深防御 | |
|
3.1.4 |
安全默认值 | |
|
3.1.5 |
安全失败 | |
|
3.1.6 |
职责分离(SoD) | |
|
3.1.7 |
保持简单和小型Keep it simple and small | |
|
3.1.8 |
零信任或信任但验证 | |
|
3.1.9 |
设计隐私Privacy by design | |
|
3.1.10 |
分担责任Shared responsibility | |
|
3.1.11 |
安全接入服务边缘 | |
|
3.2 |
理解安全模型的基本概念(例如,Biba、Star模型、Bell-LaPadula) | |
|
3.3 |
根据系统安全要求选择控制措施 | |
|
3.4 |
了解信息系统的安全功能(例如,内存保护、可信平台模块(TPM)、加密/解密) | |
|
3.5 |
评估和减少安全架构、设计和解决方案元素的漏洞 | |
|
3.5.1 |
基于客户端的系统 | |
|
3.5.2 |
基于服务器的系统 | |
|
3.5.3 |
数据库系统 | |
|
3.5.4 |
密码系统 | |
|
3.5.5 |
操作技术/工业控制系统(ICS) | |
|
3.5.6 |
基于云的系统(例如,软件即服务(SaaS)、基础设施即服务(IaaS)、平台即服务(PaaS)) | |
|
3.5.7 |
分布式系统 | |
|
3.5.8 |
物联网 | |
|
3.5.9 |
微服务(例如,应用编程接口(API)) | |
|
3.5.10 |
集装箱化 | |
|
3.5.11 |
无服务器 | |
|
3.5.12 |
嵌入式系统 | |
|
3.5.13 |
高性能计算系统 | |
|
3.5.14 |
边缘计算系统 | |
|
3.5.15 |
虚拟化系统 | |
|
3.6 |
选择和确定加密解决方案 | |
|
3.6.1 |
加密生命周期(例如,密钥、算法选择) | |
|
3.6.2 |
加密方法(例如,对称、不对称、椭圆曲线、量子) | |
|
3.6.3 |
公钥基础设施(PKI)(例如,量子密钥分发) | |
|
3.6.4 |
关键管理实践(如轮换) | |
|
3.6.5 |
数字签名和数字证书(例如,不可否认性、完整性) | |
|
3.7 |
了解密码分析攻击的方法 | |
|
3.7.1 |
暴力破解 | |
|
3.7.2 |
仅密文Ciphertext only | |
|
3.7.3 |
已知明文Known plaintext | |
|
3.7.4 |
频率分析 | |
|
3.7.5 |
选择的密文Chosen ciphertext | |
|
3.7.6 |
实施攻击 | |
|
3.7.7 |
侧信道 | |
|
3.7.8 |
故障注入Fault injection | |
|
3.7.9 |
计时Timing | |
|
3.7.10 |
中间人(MITM) | |
|
3.7.11 |
传递散列 | |
|
3.7.12 |
Kerberos开发 | |
|
3.7.13 |
勒索软件 | |
|
3.8 |
将安全原则应用于现场和设施设计 | |
|
3.9 |
设计现场和设施安全控制 | |
|
3.9.1 |
配线间/中间配线架 | |
|
3.9.2 |
服务器机房/数据中心 | |
|
3.9.3 |
媒体存储设施 | |
|
3.9.4 |
证据存储 | |
|
3.9.5 |
受限和工作区域安全 | |
|
3.9.6 |
公用设施和供暖、通风和空调(HVAC) | |
|
3.9.7 |
环境问题(如自然灾害、人为) | |
|
3.9.8 |
火灾预防、探测和灭火 | |
|
3.9.9 |
电源(例如,冗余、备用) | |
|
3.10 |
管理信息系统生命周期 | |
|
3.10.1 |
利益相关者的需求和要求 | |
|
3.10.2 |
需求分析 | |
|
3.10.3 |
建筑设计 | |
|
3.10.4 |
开发/实施 | |
|
3.10.5 |
综合 | |
|
3.10.6 |
检验和确认 | |
|
3.10.7 |
过渡/部署 | |
|
3.10.8 |
操作和维护/维持 | |
|
3.10.9 |
报废/处置 | |
|
域4 |
通信和网络安全 |
13% |
|
4.1 |
在网络架构中应用安全设计原则 | |
|
4.1.1 |
开放系统互连(OSI)和传输控制协议/互联网协议(TCP/IP)模型 | |
|
4.1.2 |
互联网协议(IP)版本4和版本6 (IPv6)(例如,单播、广播、组播、任意播) | |
|
4.1.3 |
安全协议(例如,互联网协议安全(IPSec)、安全外壳(SSH)、安全套接字层(SSL)/传输层安全性(TLS)) | |
|
4.1.4 |
多层协议的含义 | |
|
4.1.5 |
融合协议(例如,互联网小型计算机系统接口(iSCSI),基于互联网协议的语音(VoIP),以太网InfiniBand、快速计算链路) | |
|
4.1.6 |
传输架构(例如,拓扑、数据/控制/管理平面、直通/存储转发) | |
|
4.1.7 |
性能指标(例如,带宽、延迟、抖动、吞吐量、信噪比) | |
|
4.1.8 |
交通流量(如南北向、东西向) | |
|
4.1.9 |
物理分段(例如,带内、带外、air-gapped) | |
|
4.1.10 |
逻辑分段(例如,虚拟局域网(VLANs)、虚拟专用网(VPN)、虚拟路由和转发,虚拟域) | |
|
4.1.11 |
微分段(例如,网络覆盖/封装;分布式防火墙、路由器、入侵检测系统(IDS)/入侵防御系统(IPS),零信任) | |
|
4.1.12 |
边缘网络(例如入口/出口、对等) | |
|
4.1.13 |
无线网络(例如,蓝牙、Wi-Fi、Zigbee、卫星) | |
|
4.1.14 |
蜂窝/移动网络(例如,4G、5G) | |
|
4.1.15 |
内容分发网络(CDN) | |
|
4.1.16 |
软件定义的网络(SDN),(例如,应用编程接口(API),软件定义的广域网,网络功能虚拟化) | |
|
4.1.17 |
虚拟专用云(VPC) | |
|
4.1.18 |
监控和管理(例如,网络可观察性、流量/整形、容量管理、故障检测和处理) | |
|
4.2 |
安全网络组件 | |
|
4.2.1 |
基础设施的运营(例如,冗余电源、保修、支持) | |
|
4.2.2 |
传输介质(例如,介质的物理安全性、信号传播质量) | |
|
4.2.3 |
网络访问控制(NAC)系统(例如,物理和虚拟解决方案) | |
|
4.2.4 |
终端安全性(例如,基于主机) | |
|
4.3 |
根据设计实施安全通信通道 | |
|
4.3.1 |
语音、视频和协作(例如,会议、缩放房间) | |
|
4.3.2 |
远程访问(例如,网络管理功能) | |
|
4.3.3 |
数据通信(例如回程网络、卫星) | |
|
4.3.4 |
第三方连接(例如,电信提供商、硬件支持) | |
|
域5 |
身份和访问管理(IAM) |
13% |
|
5.1 |
控制对资产的物理和逻辑访问 | |
|
5.1.1 |
信息 | |
|
5.1.2 |
系统 | |
|
5.1.3 |
设备 | |
|
5.1.4 |
工具 | |
|
5.1.5 |
应用程序 | |
|
5.1.6 |
服务 | |
|
5.2 |
设计识别和身份验证策略(例如,人员、设备和服务) | |
|
5.2.1 |
组和角色 | |
|
5.2.2 |
认证、授权和计费(AAA)(例如,多因素认证(MFA)、无密码认证) | |
|
5.2.3 |
会话管理 | |
|
5.2.4 |
身份的登记、验证和确立 | |
|
5.2.5 |
联合身份管理(FIM) | |
|
5.2.6 |
凭证管理系统(如密码库) | |
|
5.2.7 |
单点登录(SSO) | |
|
5.2.8 |
及时的Just-In-Time | |
|
5.3 |
与第三方服务的联合身份 | |
|
5.3.1 |
内部部署 | |
|
5.3.2 |
云 | |
|
5.3.3 |
混合物 | |
|
5.4 |
实施和管理授权机制 | |
|
5.4.1 |
基于角色的访问控制(RBAC) | |
|
5.4.2 |
基于规则的访问控制 | |
|
5.4.3 |
强制访问控制(MAC) | |
|
5.4.4 |
自主访问控制(DAC) | |
|
5.4.5 |
基于属性的访问控制(ABAC) | |
|
5.4.6 |
基于风险的访问控制 | |
|
5.4.7 |
访问策略实施(例如,策略决策点、策略实施点) | |
|
5.5 |
管理身份和访问配置生命周期 | |
|
5.5.1 |
帐户访问审查(例如,用户、系统、服务) | |
|
5.5.2 |
供应和取消供应(例如,on/off boarding和转移) | |
|
5.5.3 |
角色定义和过渡(例如,分配到新角色的人员) | |
|
5.5.4 |
权限提升(例如,使用sudo,审计其使用) | |
|
5.5.5 |
服务帐户管理 | |
|
5.6 |
实施认证系统 | |
|
域6 |
安全评估和测试 |
12% |
|
6.1 |
设计和验证评估、测试和审计策略 | |
|
6.1.1 |
内部(例如,在组织控制范围内) | |
|
6.1.2 |
外部(例如,组织控制之外) | |
|
6.1.3 |
第三方(例如,不受企业控制) | |
|
6.1.4 |
位置(例如,内部、云、混合) | |
|
6.2 |
进行安全控制测试 | |
|
6.2.1 |
脆弱性评估 | |
|
6.2.2 |
渗透测试(例如,红色、蓝色和/或紫色团队练习) | |
|
6.2.3 |
日志检验Log reviews | |
|
6.2.4 |
综合交易/基准 | |
|
6.2.5 |
代码审查和测试 | |
|
6.2.6 |
误用案例测试 | |
|
6.2.7 |
覆盖率分析 | |
|
6.2.8 |
接口测试(例如,用户接口、网络接口、应用编程接口(API)) | |
|
6.2.9 |
违规攻击模拟 | |
|
6.2.10 |
符合性检查 | |
|
6.3 |
收集安全流程数据(例如,技术和管理数据) | |
|
6.3.1 |
账户管理 | |
|
6.3.2 |
管理评审和批准 | |
|
6.3.3 |
关键绩效和风险指标 | |
|
6.3.4 |
备份验证数据 | |
|
6.3.5 |
培训和意识 | |
|
6.3.6 |
灾难恢复和业务连续性 | |
|
6.4 |
分析测试输出并生成报告 | |
|
6.4.1 |
补救 | |
|
6.4.2 |
异常处理 | |
|
6.4.3 |
道德披露 | |
|
6.5 |
进行或促进安全审计 | |
|
6.5.1 |
内部(例如,在组织控制范围内) | |
|
6.5.2 |
外部(例如,组织控制之外) | |
|
6.5.3 |
第三方(例如,不受企业控制) | |
|
6.5.4 |
位置(例如,内部、云、混合) | |
|
域7 |
安全操作 |
13% |
|
7.1 |
理解并遵守调查 | |
|
7.1.1 |
证据收集和处理 | |
|
7.1.2 |
报告和文件 | |
|
7.1.3 |
调查技术 | |
|
7.1.4 |
数字取证工具、策略和程序 | |
|
7.1.5 |
工件(例如,数据、计算机、网络、移动设备) | |
|
7.2 |
开展记录和监控活动 | |
|
7.2.1 |
入侵检测和预防系统(IDPS) | |
|
7.2.2 |
安全信息和事件管理(SIEM) | |
|
7.2.3 |
安全协调、自动化和响应(SOAR) | |
|
7.2.4 |
持续监控和调整 | |
|
7.2.5 |
出口监控 | |
|
7.2.6 |
日志管理 | |
|
7.2.7 |
威胁情报(例如,威胁源、威胁追踪) | |
|
7.2.8 |
用户和实体行为分析 | |
|
7.3 |
执行配置管理(CM)(例如,配置、基线、自动化) | |
|
7.4 |
应用基本的安全运营概念 | |
|
7.4.1 |
需要知道/最小特权(Need-to-know/least privilege) | |
|
7.4.2 |
职责分离(SoD)和责任 | |
|
7.4.3 |
特权账户管理 | |
|
7.4.4 |
岗位轮换 | |
|
7.4.5 |
服务水平协议 | |
|
7.5 |
应用资源保护 | |
|
7.5.1 |
介质管理 | |
|
7.5.2 |
介质保护技术 | |
|
7.5.3 |
静态数据/传输中的数据 | |
|
7.6 |
进行事件管理incident | |
|
7.6.1 |
侦查 | |
|
7.6.2 |
反应 | |
|
7.6.3 |
减轻 | |
|
7.6.4 |
报告 | |
|
7.6.5 |
恢复 | |
|
7.6.6 |
补救 | |
|
7.6.7 |
经验教训 | |
|
7.7 |
操作和维护检测和预防措施 | |
|
7.7.1 |
防火墙(例如,下一代、web应用程序、网络) | |
|
7.7.2 |
入侵检测系统(IDS)和入侵防御系统(IPS) | |
|
7.7.3 |
白名单/黑名单 | |
|
7.7.4 |
第三方提供的安全服务 | |
|
7.7.5 |
沙盒 | |
|
7.7.6 |
蜜罐/蜜网 | |
|
7.7.7 |
反恶意软件 | |
|
7.7.8 |
基于机器学习和人工智能的工具 | |
|
7.8 |
实施和支持补丁和漏洞管理 | |
|
7.9 |
了解并参与变革管理流程 | |
|
7.10 |
实施恢复策略 | |
|
7.10.1 |
备份存储策略(例如,云存储、现场、异地) | |
|
7.10.2 |
恢复站点策略(例如,冷对热、资源容量协议) | |
|
7.10.3 |
多个处理站点 | |
|
7.10.4 |
系统弹性、高可用性(HA)、服务质量(QoS)和容错 | |
|
7.11 |
实施灾难恢复(DR)流程 | |
|
7.11.1 |
反应 | |
|
7.11.2 |
人事部门 | |
|
7.11.3 |
沟通(例如,方法) | |
|
7.11.4 |
评价 | |
|
7.11.5 |
恢复 | |
|
7.11.6 |
培训和意识 | |
|
7.11.7 |
经验教训 | |
|
7.12 |
测试灾难恢复计划(DRP) | |
|
7.12.1 |
通读/桌面 | |
|
7.12.2 |
Walkthrough | |
|
7.12.3 |
模拟 | |
|
7.12.4 |
并行 | |
|
7.12.5 |
完全中断 | |
|
7.12.6 |
沟通(例如,利益相关者、测试状态、监管者) | |
|
7.13 |
参与业务连续性(BC)规划和练习 | |
|
7.14 |
实施和管理物理安全 | |
|
7.14.1 |
周边安全控制 | |
|
7.14.2 |
内部安全控制 | |
|
7.15 |
解决人员安全和安保问题 | |
|
7.15.1 |
旅行 | |
|
7.15.2 |
安全培训和意识(例如,内部威胁、社交媒体影响、双因素身份认证(2FA)疲劳) | |
|
7.15.3 |
应急管理 | |
|
7.15.4 |
强迫 | |
|
域8 |
软件开发安全性 |
10% |
|
8.1 |
理解并整合软件开发生命周期(SDLC)中的安全性 | |
|
8.1.1 |
开发方法(例如,敏捷、瀑布、DevOps、DevSecOps、扩展敏捷框架) | |
|
8.1.2 |
成熟度模型(例如,能力成熟度模型(CMM),软件保障成熟度模型(SAMM)) | |
|
8.1.3 |
使用和维护 | |
|
8.1.4 |
变更管理 | |
|
8.1.5 |
集成产品团队 | |
|
8.2 |
在软件开发生态系统中识别和应用安全控制 | |
|
8.2.1 |
编程语言 | |
|
8.2.2 |
图书馆 | |
|
8.2.3 |
工具集 | |
|
8.2.4 |
集成开发环境 | |
|
8.2.5 |
运行时间 | |
|
8.2.6 |
持续集成和持续交付(CI/CD) | |
|
8.2.7 |
软件配置管理 | |
|
8.2.8 |
代码库 | |
|
8.2.9 |
应用安全测试(例如,静态应用安全测试(SAST),动态应用安全测试(DAST),软件组成分析,交互式应用安全测试(IAST)) | |
|
8.3 |
评估软件安全的有效性 | |
|
8.3.1 |
审核和记录变更 | |
|
8.3.2 |
风险分析和缓解 | |
|
8.4 |
评估收购软件的安全影响 | |
|
8.4.1 |
商业现货(COTS) | |
|
8.4.2 |
开放源码 | |
|
8.4.3 |
第三方 | |
|
8.4.4 |
托管服务(例如,企业应用程序) | |
|
8.4.5 |
云服务(例如,软件即服务(SaaS)、基础设施即服务(IaaS)、平台即服务(PaaS)) | |
|
8.5 |
定义和应用安全编码指南和标准 | |
|
8.5.1 |
源代码级别的安全弱点和漏洞 | |
|
8.5.2 |
应用程序编程接口(API)的安全性 | |
|
8.5.3 |
安全编码实践 | |
|
8.5.4 |
软件定义的安全性 | |
收集、整理的一些网络安全领域考证的资料,需要的可以领取
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
