CISSP考试大纲（生效日期2021年5月1日）.pdf-得力文库

资源描述

《CISSP考试大纲（生效日期2021年5月1日）.pdf》由会员分享，可在线阅读，更多相关《CISSP考试大纲（生效日期2021年5月1日）.pdf（16页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、认证考试大纲生效日期：2021 年 5 月 1 日2CISSP认证考试大纲关于 CISSP 信息系统安全认证专家(CISSP)是信息安全领域最被全球广泛认可的认证。CISSP 认证反映了持证者具备有效设计、构建及管理组织整体安全态势所需的深厚信息安全技术、管理知识、技能与经验。CISSP 公共知识体系(CBK)中包含的广泛议题确保了与信息安全领域所有原理的相关性。通过认证的考生展示了在以下八大知识域的能力：安全与风险管理资产安全安全架构与工程通信与网络安全身份识别访问管理安全评估与测试安全运营软件开发安全经验要求考生必须在 CISSP 公共知识体系(CBK)八大知识域中的至少

2、两个或两个以上领域，拥有至少 5 年全职工作经验。拥有 4 年大学本科学历或同等学历，或者(ISC)2 认可的其它证书可以抵免一年的工作经验。所有教育学位最多只能抵免一年工作经验。没有满足 CISSP 所需工作经验的考生，如果能够通过 CISSP 考试则可以成为(ISC)2 的准会员(即 Associate)。(ISC)2的准会员可以用接下来的 6 年时间积累所需的五年工作经验。欲了解更多关于 CISSP 工作经验要求以及如何计算兼职工作和实习经验的信息，请访问 www.isc2.org/Certifications/CISSP/experience-requirements。认证 CISSP

3、是业界首张符合 ANSI/ISO/IEC 17024 国际标准严格要求的信息安全认证。工作任务分析(JTA)(ISC)2 有义务保持其会员所持 CISSP 认证的相关性。定期进行工作任务分析(JTA)是一项系统而关键的过程，用以确定从事 CISSP 所定义专业领域的安全专业人士所执行的任务。JTA 的分析结果会用来更新考试。此过程确保了考生的测试题目与目前从业的信息安全专业人士的角色和职责密切相关。3CISSP认证考试大纲CISSP 计算机自适应测试(CAT)考试信息CISSP CAT 考试的权重考试时长考题数量考题格式及格分数可提供的考试语言测试中心3 小时100-150多项选择和高级创

4、新型考题700（满分 1000）英语(ISC)2 授权且由 PPC 和 PVTC 精选的 Pearson VUE 测试中心领域平均权重1.安全与风险管理 15%2.资产安全 10%3.安全架构与工程 13%4.通信与网络安全 13%5.身份识别访问管理 13%6.安全评估与测试 12%7.安全运营 13%8.软件开发安全 11%总计：100%CISSP 的所有英语考试都采用计算机自适应测试(CAT)。CISSP 的其它语种考试采用线性和固定格式的测试。欲了解 CISSP 的 CAT 详情，请访问 www.isc2.org/certificatons/CISSP-CAT。4CISSP认证考试大纲

5、CISSP 线性考试信息CISSP 线性考试权重考试时长考题数量考题格式及格分数可提供的考试语言测试中心6 小时250多项选择和高级创新型考题700（满分 1000）法语、德语、巴西葡萄牙语、现代西班牙语、日语、简体中文、韩语(ISC)2授权且由 PPC 和 PVTC 精选的 Pearson VUE 测试中心领域权重1.安全与风险管理 15%2.资产安全 10%3.安全架构与工程 13%4.通信与网络安全 13%5.身份识别访问管理 13%6.安全评估与测试 12%7.安全运营 13%8.软件开发安全 11%总计：100%5CISSP认证考试大纲领域 1：安全与风险管理1.1 理解、遵从与

6、提升职业道德 (ISC)2 职业道德规范组织的道德规范 1.2 理解和应用安全概念保密性、完整性、可用性、真实性和不可否认性1.3 评估和应用安全治理的原理 1.4 确定合规性和其他要求合约、法律、行业标准和监管要求隐私要求 1.5 理解在全球背景下与信息安全相关的法律和监管问题 1.6 理解调查类型的要求（即行政、刑事、民事、监管、行业标准）1.7 制定、记录和实施安全政策、标准、程序和指南将安全功能与业务战略、目标、使命和宗旨相关联组织过程（例如，收购、剥离、治理委员会）组织角色和职责安全控制框架谨慎考虑/恪尽职守网络犯罪和数据泄露许可和知识产权(IP)要求进口/出口

7、控制跨境数据流隐私6CISSP认证考试大纲1.8 对业务连续性(BC)要求进行识别、分析及优先级排序业务影响分析(BIA)制定和记录范围和计划 1.9 协助制定和实施人员安全政策和程序1.10 理解并应用风险管理概念1.11 理解并应用威胁建模的概念和方法1.12 应用供应链风险管理(SCRM)概念1.13 制定并维护安全意识、教育和培训计划员工筛选与雇佣雇佣协议与政策员工入职、调动和离职流程供应商、顾问与承包商协议与控制合规策略要求隐私策略要求识别风险与漏洞风险评估/分析风险响应对策选择与实施适用的控制类型（如预防、检测、纠正）控制评估（安全与隐私）监控与测量报

8、告持续提高（如风险成熟度模型）风险框架与硬件、软件和服务相关的风险第三方评估和监控最低安全要求服务水平要求安全意识宣贯与培训的方法和技术（例如，社会工程、网络钓鱼、安全冠军、游戏化）定期内容审查方案效果评估7CISSP认证考试大纲领域 2：资产安全2.1 识别并分类信息和资产2.2 制定信息和资产处理要求2.3 安全配置资源2.4 管理数据生命周期 2.5 确保适当的资产保留（例如，使用寿命结束(EOL)，支持结束(EOS)2.6 确定数据安全控制和合规要求信息和资产所有权资产列表（如有形、无形）资产管理数据角色（例如，所有者、控制者、保管员、处理员、用户/对象）数据采集

9、数据位置数据维护数据保留数据残留数据销毁数据分类资产分类数据状态（例如，使用中、传输中、静止）数据定界和定制标准选择数据保护方法（例如，数字化权限管理(DRM)、数据丢失防护(DLP)、云访问安全代理(CASB)）8CISSP认证考试大纲领域 3：安全架构与工程3.1 使用安全设计原理来研究、实施与管理工程过程3.2 理解安全模型的基本概念（例如 Biba、Star Model、Bell-LaPadula 等模型）3.3 基于系统安全要求选择控制措施3.4 理解信息系统(IS)的安全功能（例如：内存保护、可信赖平台模块(TPM)、加密/解密）3.5 评估并降低安全架构、设计和

10、解决方案方面的漏洞3.6 选择和确定加密解决方案基于客户端的系统基于服务器的系统数据库系统密码系统工业控制系统(ICS)基于云端的系统（例如，软件即服务(SaaS)、基础架构即服务(IaaS)、平台即服务(PaaS)分布式系统物联网(IoT)微服务容器化无服务器嵌入式系统高性能计算(HPC)系统边缘计算系统虚拟化系统威胁建模最小权限深度防御默认安全配置失效安全职责分离(SoD)保持简单零信任通过设计保护隐私信任但要确认共同责任密码生命周期（如密钥、算法选择）加密方法（例如：对称、非对称、椭圆曲线、量子）公钥基础架构(PKI)密钥管理实践数字签名和

11、数字证书不可否认性完整性（例如：哈希函数）9CISSP认证考试大纲3.7 理解密码分析攻击方法3.8 将安全原理运用到场所与设施的设计上3.9 设计场所和设施安全控制措施暴力破解唯密文攻击已知明文攻击频率分析选择密文攻击实现攻击边信道故障注入定时中间人攻击(MITM)哈希传递攻击 Kerberos 协议攻击勒索软件配线柜/中继配电设施服务器机房/数据中心媒体储存设施证据储存限制区与工作区的安全公用事业设备及供暖、通风与空调(HVAC)环境问题防火、检测和灭火电源（如冗余、备份）10CISSP认证考试大纲领域 4：通信与网络安全4.1 评估和实施网络架构

12、中的安全设计原则 4.2 安全的网络组件4.3 根据设计实施安全通信通道开放系统互连(OSI)和传输控制协议/互联网协议(TCP/IP)模型互联网协议(IP)网络（例如，互联网协议安全(IPSec)、互联网协议(IP)v4/6)安全协议多层协议的含义聚合协议（例如，以太网光纤通道(FCoE)、互联网小型计算机系统接口(iSCSI)、IP 语音(VoIP)微隔离（例如，软件定义网络(SDN)、虚拟可扩展局域网(VXLAN)、封装、软件定义广域网(SD-WAN)无线网络（如 Li-Fi、Wi-Fi、Zigbee、卫星）蜂窝网络（如 4G、5G)内容分发网络(CDN)硬件操作（例如，冗余电源

13、、保修、支持）传输媒介网络访问控制(NAC)设备终端安全语音多媒体协同远程访问数据通信虚拟网络第三方连接11CISSP认证考试大纲领域 5：身份识别访问管理5.1 控制对资产的物理和逻辑访问 5.2 管理对人员、设备和服务的身份认证与验证5.3 通过第三方服务进行联合身份验证5.4 实施和管理授权机制5.5 管理身份和访问配置生命周期5.6 部署身份验证系统实施施身份管理(IdM)单/多因子验证(MFA)可核查性会话管理身份注册、证明和建立联合身份管理(FIM)凭证管理系统单点登录(SSO)准时生产(JIT)基于角色的访问控制(RBAC)基于规则的访问控制强制访问控

14、制(MAC)自主访问控制(DAC)基于属性的访问控制(ABAC)基于风险的访问控制信息系统设备设施应用程序帐户访问审查（如用户、系统、服务）预配和取消预配（如入职、离职和调动）角色定义（例如，分配到新角色的人员）特权升级（例如，托管服务帐户、使用 sudo、最小化其使用）本地部署云端混合 OpenID 连接(OIDC)/开放式授权(Oauth)安全断言标记语言(SAML)Kerberos 远程验证拨号用户服务(RADIUS)/增强型终端访问控制器访问控制系统(TACACS+)12CISSP认证考试大纲126.1 设计和验证评估、测试和审计策略6.2 进行安全控制测试6.3 收集

15、安全过程数据（例如，技术和管理）6.4 分析测试输出并生成报告6.5 执行或协助安全审计漏洞评估渗透测试日志审查综合交易代码审查和测试误用案例测试测试覆盖率分析接口测试漏洞攻击模拟合规检查内部外部第三方补救异常处理道德披露帐户管理管理审查和批准关键绩效和风险指标备份验证数据培训和意识灾难恢复(DR)和业务连续性(BC)领域 6：安全评估与测试内部外部第三方 13CISSP认证考试大纲7.1 理解并遵守调查7.2 执行记录和监控活动7.3 执行配置管理(CM)（例如，预配、基线、自动化）7.4 应用基本的安全操作概念 7.5 应用资源保护7.6

16、执行事故管理领域 7：安全运营证据收集与处理报告和文档调查技巧数字取证工具、策略和程序工件（例如，计算机、网络、移动设备）媒介管理媒体保护技术入侵侦测与防御安全信息与事件管理(SIEM)连续监控出口监控日志管理威胁情报（例如，威胁提要、威胁捕获）用户和实体行为分析(UEBA)因需可知/最小权限职责分离(SoD)和责任特权账户管理岗位轮换服务等级协议(SLA)检测响应缓释报告恢复补救经验教训 14CISSP认证考试大纲7.7 执行和维护检测和预防措施 7.8 实施和支持补丁和漏洞管理7.9 理解并参与变更管理过程 7.10 执行恢复策略7.11 执行灾难

17、恢复(DR)过程 7.12 测试灾难恢复计划(DRP)7.13 参与业务连续性(BC)计划的制定和演练7.14 执行并管理物理安全 7.15 解决人员安全问题防火墙（例如，下一代、web 应用程序，网络）入侵检测系统(IDS)和入侵防御系统(IPS)白名单/黑名单第三方提供的安全服务沙箱蜜罐/蜜网反恶意软件基于机器学习和人工智能(AI)的工具备份存储策略站点恢复策略多个处理站点系统弹性、高可用性(HA)、服务质量(QoS)和容错响应人员通信评估修复培训和意识经验教训缓存回调/桌面巡检模拟并行全面中断外围安全控制内部安全控制出差安全培训和意识

18、应急管理胁迫15CISSP认证考试大纲领域 8：软件开发安全8.1 理解安全并将其融入软件开发生命周期(SDLC)中 8.2 在软件开发环境中识别和应用安全控制8.3 评估软件安全的有效性8.4 评估获得软件对安全的影响8.5 定义并应用安全编码准则和标准开发方法（例如，Agile、Waterfal、DevOps、DevSecOps)成熟度模型（例如，能力成熟度模型(CMM)、软件保障成熟度模型(SAMM)操作与维护变更管理综合产品团队(IPT)源代码级安全弱点和漏洞应用编程接口(API)安全安全编码实践软件定义安全编程语言库成套工具集成开发环境(IDE)运行时间持续集

19、成和持续交付(CI/CD)安全编排自动化与响应(SOAR)软件配置管理(SCM)代码存储库应用程序安全性测试（例如，静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST)更改审核和记录风险分析和缓释商业成品(COTS)开源第三方托管服务（例如，软件即服务(SaaS)、基础架构即服务(IaaS)、平台即服务(PaaS)16CISSP认证考试大纲附加考试信息补充参考鼓励考生通过回顾有关 CBK 的相关资源，找出可能需要额外注意的研究领域来补充他们的教育知识和经验。请访问网站 www.isc2.org/certifications/References 查看补充参考的完整列

20、表。考试政策和程序(ISC)建议 CISSP 考生在报名参加考试前了解考试政策和程序。请访问网站 www.isc2.org/Register-for-Exam 阅读这项重要信息的详尽细目。法律信息有关(ISC)法律政策的任何问题,请发送电子邮件至 legalisc2.org 联系(ISC)2 法务部。有任何问题?(ISC)参试服务部311 Park Place Blvd,Suite 400Clearwater,FL 33759(ISC)美洲区电话：+1.866.331.ISC2(4722)电子邮件：infoisc2.org(ISC)亚太地区电话：+(852)28506951电子邮件：isc2asiaisc2.org(ISC)欧洲、中东及非洲地区电话：+44(0)203 300 1625电子邮件：info-emeaisc2.org 16v8/2020

展开阅读全文