1 安全與風(fēng)險管理 ?理解并應(yīng)用保密性�����、完整性和可用性的概念�����、應(yīng)用安全治理原則
?合規(guī)�、理解與信息安全有關(guān)的法律和法規(guī)問題
?理解專業(yè)人員道德品質(zhì)
?開發(fā)并實施文件化的安全策略�����、標(biāo)準(zhǔn)��、規(guī)程和指南
?理解業(yè)務(wù)連續(xù)性要求
?個人安全策略
?理解并應(yīng)用威脅建模
?建立并管理信息安全教育�����、意識和培訓(xùn)
2 資產(chǎn)安全 ?信息及支持性資產(chǎn)的分級(例如敏感性和關(guān)鍵性)
?確定并維持資產(chǎn)責(zé)任人(例如數(shù)據(jù)責(zé)任人�、系統(tǒng)責(zé)任人����、業(yè)務(wù)/使命責(zé)任人)
?隱私保護(hù)
?確保適當(dāng)?shù)谋4?
?確定數(shù)據(jù)安全控制(例如存儲的數(shù)據(jù)����、傳輸?shù)臄?shù)據(jù))
?建立處置要求(例如敏感信息的標(biāo)記、存儲�、分發(fā))
3 安全工程 ?使用安全設(shè)計原則的工程過程的實施和管理
?理解安全模型的基礎(chǔ)概念、基于系統(tǒng)安全評價模型選擇控制和對策
?理解信息系統(tǒng)的安全能力(例如存儲保護(hù)����、虛擬化、可信平臺模塊���、界面、容錯)
?評估并減緩安全架構(gòu)����、設(shè)計和解決元素的脆弱性、評估并減緩基于Web(例如XML�����、OWASP)的脆弱性
?評估并減緩移動系統(tǒng)的脆弱性����、評估并減緩嵌入設(shè)備和網(wǎng)絡(luò)物理系統(tǒng)(例如物聯(lián)網(wǎng))的脆弱性
?應(yīng)用密碼
?在場所和設(shè)施的設(shè)計中應(yīng)用安全原則�����、設(shè)計并實施物理安全
4 通信與網(wǎng)絡(luò)安全 ?在網(wǎng)絡(luò)架構(gòu)(例如IP和非IP協(xié)議)中應(yīng)用安全設(shè)計原則
?安全網(wǎng)絡(luò)組件
?設(shè)計并建立安全通信渠道
?防護(hù)或減緩網(wǎng)絡(luò)攻擊
5 身份與訪問管理 ?資產(chǎn)的物理和邏輯訪問控制
?人員和設(shè)備的身份和鑒證管理
?作為一項服務(wù)整合身份(例如云身份)
?整合第三方身份服務(wù)
?實施并管理授權(quán)機制
?防護(hù)或減緩訪問控制攻擊
?管理身份和訪問配置生命周期
6 安全評估與測試 ?設(shè)計并驗證評估和測試戰(zhàn)略
?管理安全控制測試
?收集安全過程數(shù)據(jù)(例如管理和運行控制)
?分析并報告測試輸出(例如自動化手段��、手工手段)
?實施內(nèi)部和第三方審核
7 安全運營 ?理解并支持調(diào)查�����、理解調(diào)查類型的要求
?理解并應(yīng)用基礎(chǔ)的安全運營的概念���、實施日志和監(jiān)視活動
?資源配置安全、使用資源保護(hù)技術(shù)
?實施事件管理�����、運行并保持預(yù)防措施
?實施并支持補丁和脆弱性管理
?參與并理解變更管理過程(例如版本控制�、基線、安全影響分析)
?實施恢復(fù)戰(zhàn)略�����、實施災(zāi)難恢復(fù)過程���、測試災(zāi)難恢復(fù)計劃���、參與業(yè)務(wù)連續(xù)性計劃和演練
?實施并管理物理安全���、參與解決個人安全問題
8 軟件開發(fā)安全 ?在軟件開發(fā)生命周期中應(yīng)用安全
?在開發(fā)環(huán)境中加強安全控制
?評估軟件安全的有效性
?評估獲取軟件的安全影響
9 CISSP中文考前輔導(dǎo) ?CISSP考前模擬考試
