1 安全與風險管理 ?理解并應用保密性、完整性和可用性的概念、應用安全治理原則
?合規、理解與信息安全有關的法律和法規問題
?理解專業人員道德品質
?開發并實施文件化的安全策略、標準、規程和指南
?理解業務連續性要求
?個人安全策略
?理解并應用威脅建模
?建立并管理信息安全教育、意識和培訓
2 資產安全 ?信息及支持性資產的分級(例如敏感性和關鍵性)
?確定并維持資產責任人(例如數據責任人、系統責任人、業務/使命責任人)
?隱私保護
?確保適當的保存
?確定數據安全控制(例如存儲的數據、傳輸的數據)
?建立處置要求(例如敏感信息的標記、存儲、分發)
3 安全工程 ?使用安全設計原則的工程過程的實施和管理
?理解安全模型的基礎概念、基于系統安全評價模型選擇控制和對策
?理解信息系統的安全能力(例如存儲保護、虛擬化、可信平臺模塊、界面、容錯)
?評估并減緩安全架構、設計和解決元素的脆弱性、評估并減緩基于Web(例如XML、OWASP)的脆弱性
?評估并減緩移動系統的脆弱性、評估并減緩嵌入設備和網絡物理系統(例如物聯網)的脆弱性
?應用密碼
?在場所和設施的設計中應用安全原則、設計并實施物理安全
4 通信與網絡安全 ?在網絡架構(例如IP和非IP協議)中應用安全設計原則
?安全網絡組件
?設計并建立安全通信渠道
?防護或減緩網絡攻擊
5 身份與訪問管理 ?資產的物理和邏輯訪問控制
?人員和設備的身份和鑒證管理
?作為一項服務整合身份(例如云身份)
?整合第三方身份服務
?實施并管理授權機制
?防護或減緩訪問控制攻擊
?管理身份和訪問配置生命周期
6 安全評估與測試 ?設計并驗證評估和測試戰略
?管理安全控制測試
?收集安全過程數據(例如管理和運行控制)
?分析并報告測試輸出(例如自動化手段、手工手段)
?實施內部和第三方審核
7 安全運營 ?理解并支持調查、理解調查類型的要求
?理解并應用基礎的安全運營的概念、實施日志和監視活動
?資源配置安全、使用資源保護技術
?實施事件管理、運行并保持預防措施
?實施并支持補丁和脆弱性管理
?參與并理解變更管理過程(例如版本控制、基線、安全影響分析)
?實施恢復戰略、實施災難恢復過程、測試災難恢復計劃、參與業務連續性計劃和演練
?實施并管理物理安全、參與解決個人安全問題
8 軟件開發安全 ?在軟件開發生命周期中應用安全
?在開發環境中加強安全控制
?評估軟件安全的有效性
?評估獲取軟件的安全影響
9 CISSP中文考前輔導 ?CISSP考前模擬考試
