1、考试大纲注册信息系统安全师生效期:2018年4月2CISSP Certification Exam Outline关于CISSP注册信息系统安全师(CISSP)是全球最受广泛认可的信息安全认证。CISSP认证反映了持证者具备有效设计、构建及管理组织整体安全态势所需的深厚信息安全技术、管理知识、技能与经验。CISSP的公共知识体系(CBK)中包含的广泛议题确保了与信息安全领域中所有原理的相关性。通过认证的考生展示了在以下八大知识域的能力: 安全与风险管理 资产安全 安全架构与工程 通信与网络安全 身份与访问管理 安全评估与测试 安全运营 软件开发安全 经验要求考生必须在(ISC)2CISSP公共
2、知识体系(CBK)八大知识域中的至少两个或两个以上领域,拥有至少5年全职工作经验。拥有4年大学本科学历或同等学历,以及(ISC)2 认可的其它证书可以抵免一年的工作经验。所有教育学位最多只能抵免一年工作经验。没有满足CISSP所需工作经验的考生,如果能够通过CISSP考试则可以成为(ISC)2 的准会员(Associate)。(ISC)2的准会员可以用接下来的6年时间积累所需工作经验。认可 CISSP是业界首张符合ANSI/ ISO/IEC 17024 国际标准要求的信息安全认证。 工作任务分析(Job Task Analysis)(ISC)2 对其会员有义务维护CISSP的关联性。定期进行工
3、作任务分析(JTA)是一项系统而关键的过程,用来确定由CISSP安全专业人士所从事的工作。JTA的分析结果会用来更新考试。这个过程确保了考生的测试题目与目前从业的信息安全专业人士的角色和职责密切相关。3CISSP Certification Exam OutlineCISSP计算机自适应测试(CAT)的考试信息CISSP CAT 考试的权重考试时长考题数量 考题格式及格线可提供的考试语言测试中心小时100道至150道多项选择和高级创新型考题1000分中得到700分英语(ISC)2授权的、且由 PPC 和 PVTC 精选的 Pearson VUE 测试中心领域 平均权重1.安全与风险管理 15%
4、2.资产安全 10%3.安全架构与工程 13%4.通信与网络安全 14%5.身份与访问管理 (IAM) 13%6.安全评估与测试 12%7.安全运营 13%8.软件开发安全 10%总计: 100%CISSP的所有英语考试都采用计算机自适应测试(CAT)。CISSP的其它语种的考试采用线性和固定格式的测试。欲了解CISSP的CAT详情,请访问: www.isc2.org/certificatons/CISSP-CAT。4CISSP Certification Exam OutlineCISSP线性考试信息CISSP线性考试权重考试时长考题数量考题格式及格线可提供的考试语言测试中心6小时250道多
5、项选择和高级创新型考题1000分中得到700分法语、德语、巴西葡萄牙语、西班牙语、日语、简体中文、韩语(ISC)2授权的、且由 PPC 和 PVTC 精选的 Pearson VUE 测试中心 领域 权重1.安全与风险管理 15%2.资产安全 10%3.安全架构与工程 13%4.通信与网络安全 14%5.身份与访问管理 (IAM) 13%6.安全评估与测试 12%7.安全运营 13%8.软件开发安全 10%总计: 100%5CISSP Certification Exam Outline领域 1:安全与风险管理1.1 理解和运用保密性、完整性和可用性的概念1.2 评估和应用安全治理的原理 1.3
6、 确定合规要求null 合约、法律、行业标准和监管的要求null 隐私的要求 1.4 理解与信息安全的全球背景相关的法律和监管问题1.5 理解、遵从与提升职业道德null (ISC)2职业道德规范null 组织的道德规范 1.6 开发、撰写与实现安全政策、标准、流程和指南1.7 对业务连续性(Business Continuity)进行识别、分析及优先级排序null 制定并记录范围和计划null 经营影响分析 (BIA) null 将安全功能与商业策咯、目标、使命和宗旨相连接null 组织的流程 (例如购置、剥离、治理委员会)null 组织的角色与职责null 安全控制框架null 谨慎考虑/
7、恪尽职守null 确定合规要求 null 网络犯罪和数据泄露null 许可和知识产权的要求null 进口/出口控制null 跨境数据流null 隐私 6CISSP Certification Exam Outline1.8 促进与实行人员安全的策略与流程1.9 理解与运用风险管理的概念 1.10 理解与运用威胁建模的概念和方法论 1.11 将基于风险的管理概念运用到供应链 1.12 建立与维护安全意识、教育和培训计划null 员工筛选与雇佣null 雇佣合约与政策null 入职与离职程序null 供应商、顾问与承包商的合约与控制null 合规策略要求null 隐私策略要求null 识别威胁与漏
8、洞null 风险评估/分析null 风险响应null 对策选择与实现null 控制措施适用的类型(例如:预防措施、检测措施和纠正措施null 安全控制评估 (SCA) null 监控与测量null 资产估价null 汇报null 持续提高null 风险框架 null 威胁建模的方法论null 威胁建模的概念null 与硬件、软件和服务相关的风险null 第三方评估与监测null 最低安全需求null 服务水平要求 null 安全意识宣贯与培训的方法和技术null 定期内容审查null 方案效果评价 7CISSP Certification Exam Outline领域 2:资产安全2.1 识别
9、与分类信息和资产2.2 确定与维护信息和资产所有权2.3 保护隐私 2.4 确保适当的资产保留2.5 确定数据安全控制 2.6 建立信息和资产的处理要求 null 数据所有者null 数据所有者null 数据残留null 数据收集限制 null 理解数据状态null 定界与定制null 标准选择null 数据保护的方法 null 数据分级null 资产分级8CISSP Certification Exam Outline领域 3:安全架构与工程3.1 使用安全设计原理来实施与管理工程的进程3.2 理解安全模型的基本概念3.3 基于系统安全需求选择控制措施3.4 理解信息系统的安全功能(例如:内
10、存保护、可信平台模块(TPM)、加密/解密)3.5 评估与缓解安全架构、设计和解决方案要素的漏洞 3.6 评估和缓解Web系统中的漏洞3.7 评估与缓解移动系统的漏洞3.8 评估与缓解嵌入式设备的漏洞3.9 运用密码学3.10 将安全原理运用到场所与设施的设计上 null 基于客户端的系统null 基于服务端的系统null 数据库系统null 密码系统null 工业控制系统(ICS)null 基于云端的系统null 分布式系统null 物联网(IoT)null 密码生命周期 (例如:密钥管理、算法选择)null 加密方法(例如:对称、非对称、椭圆曲线)null 公钥基础设施 (PKI)null
11、 密钥管理实践null 数字签名null 抗抵赖性null 完整性 (例如:哈希函数)null 理解密码攻击方法null 数字版权管理(DRM) 9CISSP Certification Exam Outline3.11 实施场所与设施的安全控制null 配线柜/中继配线设施null 服务器机房/数据中心null 媒体储存设施null 证据储存null 限制区与工作区的安全10CISSP Certification Exam Outline领域 4:通信与网络安全4.1 在网络架构中实施安全设计原则 4.2 网络组件安全4.3 根据设计实施安全通信通道null 开放系统互连(OSI)和传输控制
12、协议 / 互联网协议(TCP/IP)模型null 互联网协议(TCP/IP)网络null 多层协议的作用null 聚合协议null 软件定义网络null 无线网络null 硬件操作null 传输介质null 网络访问控制(NAC)设备null 端点安全null 内容配送网null 语音null 多媒体协作null 远程访问null 数据通信null 虚拟化网络11CISSP Certification Exam Outline领域 5:身份与访问管理 (IAM)5.1 控制对资产的物理和逻辑访问null 信息null 系统null 设备null 设施 5.2 管理对人员、设备和服务的身份识别与
13、验证5.3 集成身份为第三方服务5.4 实施和管理授权机制5.5 管理身份和访问配置生命周期null 用户访问审查null 系统账户访问审查null 配置与清除配置 null 实施身份管理null 单/多因素身份验证null 可核查性null 会话管理null 身份注册与证明null 联合身份管理 (FIM)null 凭证管理系统null 内部部署null 云计算null 联合null 基于角色的访问控制 (RBAC)null 基于规则的访问控制null 强制访问控制 (MAC)null 自主访问控制 (DAC)null 基于属性的访问控制 (ABAC) 12CISSP Certificati
14、on Exam Outline6.1 设计和验证评估、测试和审计策略6.2 对安全控制进行测试6.3 收集安全流程数据 (如:技术和管理)6.4 分析测试输出并生成报告6.5 执行或协助安全审计null 漏洞评估null 渗透测试null 日志审查null 模拟交易null 代码审查和测试null 误用案例测试null 测试覆盖率分析null 接口测试null 内部null 外部null 第三方null 内部null 外部null 第三方null 账户管理null 管理层审查和批准null 关键业绩和风险指标null 备份验证数据null 信息安全意识宣贯null 灾难恢复 (DR) 和业务连
15、续性 (BC)领域 6:安全评估与测试 13CISSP Certification Exam Outline7.1 理解和支持调查7.2 了解调查类型的要求7.3 进行日志记录和持续监测活动7.4 安全配置资源 7.5 理解和应用基本的安全运营概念7.6 应用资源保护技术null 介质管理null 硬件和软件资产管理领域 7:安全运营 null 证据采集和处理null 报告和记录null 调查技术null 数字取证工具、策略和程序null 入侵检测和防御null 安全信息和事件管理 (SIEM)null 不间断持续监测null 输出流量持续监测null 资产清单null 资产管理null 配置
16、管理null 因需可知 / 最低权限null 职责分离null 特权帐户管理null 岗位轮换null 信息生命周期null 服务水平协议(SLA)null 行政null 刑事null 民事null 监管null 行业标准14CISSP Certification Exam Outline7.7 执行事件管理 7.8 检测和预防措施的运营及维护7.9 实施和支持补丁和漏洞管理7.10 理解并参与变更管理流程7.11 实施灾难恢复(DR)过程7.12 实施灾难恢复 (DR) 流程7.13 测试灾难恢复计划 (DRP)7.14 参与业务连续性 (BC) 计划制定和演练7.15 实施和管理物理安全7
17、.16 解决人员安全问题null 检测null 响应null 缓解null 报告null 恢复null 补救 null 经验教训null 防火墙null 入侵检测和防御系统null 白名单 / 黑名单null 第三方提供的安全服务null 沙箱null 蜜罐 / 蜜网null 反恶意软件null 备份存储策略null 恢复站点策略null 多个处理站点null 系统弹性、高可用性、服务质量 (QoS) 和容错null 响应null 人员null 通信null 评估null 恢复null 培训和信息安全意识宣贯null 书面测试/测试null 穿行测试null 模拟测试null 并行测试null
18、 全面中断测试null 外围安全控制null 内部安全控制null 旅行null 安全培训和意识null 应急管理null 胁迫15CISSP Certification Exam Outline领域 8:软件开发安全8.1 理解安全并将其融入软件开发生命周期(SDLC)中8.2 开发环境中识别和应用安全控制8.3 评估软件安全的有效性8.4 评估获得软件对安全的影响8.5 定义并应用安全编码准则和标准null 开发方法null 成熟度模型null 运营和维护null 变更管理null 集成产品团队null 软件环境的安全null 配置管理作为安全编码的一个方面null 审核和变更记录 nul
19、l 风险分析和缓解null 源代码级安全弱点和漏洞 null 应用编程接口安全null 安全编码实践16CISSP Certification Exam Outline附加考试信息 补充参考鼓励应试者通过回顾有关CBK的相关资源,并找出可能需要额外注意的研究领域来补充他们的教育和经验。在 www.isc2.org/certifications/References 网站中查看补充参考的完整书单考试政策和规程(ISC) 建议 CISSP 考生在报名参加考试前到 www.isc2.org/Register-for-Exam 阅读有关考试政策和规程重要信息的详尽细目。法律信息有关 (ISC) 法律政策的任何问题, 请致信 legalisc2.org 与 (ISC) 法律部门联系。其他问题?(ISC) 考试服务311 Park Place Blvd, Suite 400Clearwater, FL 33759(ISC) 美洲区Tel: +1.866.331.ISC2 (4722) Email: infoisc2.org(ISC) 亚太区Tel: +(852) 28506951Email: isc2asiaisc2.org (ISC) 欧洲、中东及非洲地区Tel: +44 (0)203 300 1625Email: info-emeaisc2.org v0118
