CISSP 考试大纲 2021 中文版

认证考试大纲 b u 生效日期：2021 年 5 月 1 日 h t i g c . 5 m o 关于 CISSP 信息系统安全认证专家 (CISSP) 是信息安全领域最被全球广泛认可的认证。CISSP 认证反映了持证者具备有效设计、构建及管理组织整体安全态势所需的深厚信息安全技术、管理知识、技能与经验。 CISSP 公共知识体系 (CBK®) 中包含的广泛议题确保了与信息安全领域所有原理的相关性。通过认证的考生展示了在以下八大知识域的能力： • 安全与风险管理 • 资产安全 • 安全架构与工程 • 通信与网络安全 • 身份识别访问管理 • 安全评估与测试 • 安全运营 • 软件开发安全 m o 经验要求 c . 5 b u 考生必须在 CISSP 公共知识体系 (CBK) 八大知识域中的至少两个或两个以上领域，拥有至少 5 年全职工作经验。拥有 4 年大学本科学历或同等学历，或者 (ISC)2 认可的其它证书可以抵免一年的工作经验。所有教育学位最多只能抵免一年工作经验。 h t i g 没有满足 CISSP 所需工作经验的考生，如果能够通过 CISSP 考试则可以成为 (ISC)2 的准会员(即 Associate) 。(ISC)2 的准会员可以用接下来的 6 年时间积累所需的五年工作经验。欲了解更多关于 CISSP 工作经验要求以及如何计算兼职工作和实习经验的信息，请访问 www.isc2.org/Certifications/CISSP/experience-requirements。认证 CISSP 是业界首张符合 ANSI/ ISO/IEC 17024 国际标准严格要求的信息安全认证。工作任务分析 (JTA) (ISC)2 有义务保持其会员所持 CISSP 认证的相关性。定期进行工作任务分析 (JTA) 是一项系统而关键的过程，用以确定从事 CISSP 所定义专业领域的安全专业人士所执行的任务。JTA 的分析结果会用来更新考试。此过程确保了考生的测试题目与目前从业的信息安全专业人士的角色和职责密切相关。 CISSP认证考试大纲 2 CISSP 计算机自适应测试 (CAT) 考试信息 CISSP 的所有英语考试都采用计算机自适应测试 (CAT) 。CISSP 的其它语种考试采用线性和固定格式的测试。欲了解 CISSP 的 CAT 详情，请访问 www.isc2.org/certificatons/CISSP-CAT。考试时长 3 小时考题数量 100 - 150 考题格式多项选择和高级创新型考题及格分数 700（满分 1000）可提供的考试语言英语测试中心 (ISC)2 授权且由 PPC 和 PVTC 精选的 Pearson VUE 测试中心 h t i g m o c . 5 b u CISSP CAT 考试的权重领域 1.安全与风险管理平均权重 15% 2.资产安全 10% 3.安全架构与工程 13% 4.通信与网络安全 13% 5.身份识别访问管理 13% 6.安全评估与测试 12% 7.安全运营 13% 8.软件开发安全 11% 总计： CISSP认证考试大纲 100% 3 CISSP 线性考试信息考试时长 6 小时考题数量 250 考题格式多项选择和高级创新型考题及格分数 700（满分 1000）可提供的考试语言法语、德语、巴西葡萄牙语、现代西班牙语、日语、简体中文、韩语测试中心 (ISC)2授权且由 PPC 和 PVTC 精选的 Pearson VUE 测试中心 CISSP 线性考试权重领域 1.安全与风险管理 2.资产安全 3.安全架构与工程 h t i g m o c . 5 b u 权重 15% 10% 13% 4.通信与网络安全 13% 5.身份识别访问管理 13% 6.安全评估与测试 12% 7.安全运营 13% 8.软件开发安全 11% 总计： CISSP认证考试大纲 100% 4 领域 1：安全与风险管理 1.1 理解、遵从与提升职业道德 » (ISC)2 职业道德规范 » 组织的道德规范 1.2 理解和应用安全概念 m o » 保密性、完整性、可用性、真实性和不可否认性 c . 5 1.3 评估和应用安全治理的原理 » 将安全功能与业务战略、目标、使命和宗旨相关联 » 组织过程（例如，收购、剥离、治理委员会） » 组织角色和职责 » 安全控制框架 » 谨慎考虑/恪尽职守 1.4 确定合规性和其他要求 h t i g b u » 合约、法律、行业标准和监管要求 » 隐私要求 1.5 理解在全球背景下与信息安全相关的法律和监管问题 » 网络犯罪和数据泄露 » 跨境数据流 » 许可和知识产权 (IP) 要求 » 隐私 » 进口/出口控制 1.6 理解调查类型的要求（即行政、刑事、民事、监管、行业标准） 1.7 制定、记录和实施安全政策、标准、程序和指南 CISSP认证考试大纲 5 1.8 对业务连续性 (BC) 要求进行识别、分析及优先级排序 » 业务影响分析 (BIA) » 制定和记录范围和计划 1.9 协助制定和实施人员安全政策和程序 » 员工筛选与雇佣 » 隐私策略要求 » 雇佣协议与政策 » 员工入职、调动和离职流程 » 供应商、顾问与承包商协议与控制 m o » 合规策略要求 c . 5 1.10 理解并应用风险管理概念 » 识别风险与漏洞 » 监控与测量 » 风险评估/分析 » 报告 » 风险响应 » 对策选择与实施 h t i g » 适用的控制类型（如预防、检测、纠正） » 控制评估（安全与隐私） b u » 持续提高（如风险成熟度模型） » 风险框架 1.11 理解并应用威胁建模的概念和方法 1.12 应用供应链风险管理 (SCRM) 概念 » 与硬件、软件和服务相关的风险 » 服务水平要求 » 第三方评估和监控 » 最低安全要求 1.13 制定并维护安全意识、教育和培训计划 » 安全意识宣贯与培训的方法和技术（例如，社会工程、网络钓鱼、安全冠军、游戏化） » 定期内容审查 » 方案效果评估 CISSP认证考试大纲 6 领域 2：资产安全 2.1 识别并分类信息和资产 » 数据分类 » 资产分类 2.2 制定信息和资产处理要求 m o 2.3 安全配置资源 c . 5 » 信息和资产所有权 » 资产列表（如有形、无形） » 资产管理 2.4 管理数据生命周期 h t i g » 数据角色（例如，所有者、控制者、保管员、处理员、用户/对象） » 数据采集 » 数据位置 b u » 数据维护 » 数据保留 » 数据残留 » 数据销毁 2.5 确保适当的资产保留（例如，使用寿命结束 (EOL)，支持结束 (EOS)) 2.6 确定数据安全控制和合规要求 » 数据状态（例如，使用中、传输中、静止） » 数据定界和定制 » 标准选择 » 数据保护方法（例如，数字化权限管理 (DRM)、数据丢失防护 (DLP)、云访问安全代理 (CASB)） CISSP认证考试大纲 7 领域 3：安全架构与工程 3.1 使用安全设计原理来研究、实施与管理工程过程 » 威胁建模 » 保持简单 » 最小权限 » 零信任 » 深度防御 » 通过设计保护隐私 » 默认安全配置 » 信任但要确认 » 失效安全 » 共同责任 » 职责分离 (SoD) c . 5 3.2 理解安全模型的基本概念（例如 Biba、Star Model、Bell-LaPadula 等模型） 3.3 基于系统安全要求选择控制措施 m o b u 3.4 理解信息系统 (IS) 的安全功能（例如：内存保护、可信赖平台模块 (TPM)、加密/解密） h t i g 3.5 评估并降低安全架构、设计和解决方案方面的漏洞 » 基于客户端的系统 » 基于服务器的系统 » 数据库系统 » 密码系统 » 微服务 » 容器化 » 无服务器 » 嵌入式系统 » 工业控制系统 (ICS) » 高性能计算 (HPC) 系统 » 基于云端的系统（例如，软件即服务 (SaaS)、基础架构即服务 (IaaS)、平台即服务 (PaaS)) » 边缘计算系统 » 分布式系统 » 虚拟化系统 » 物联网 (IoT) 3.6 选择和确定加密解决方案 » 密码生命周期（如密钥、算法选择） » 数字签名和数字证书 » 加密方法（例如：对称、非对称、椭圆曲线、量子） » 不可否认性 » 公钥基础架构 (PKI) » 完整性（例如：哈希函数） » 密钥管理实践 CISSP认证考试大纲 8 3.7 理解密码分析攻击方法 » 暴力破解 » 故障注入 » 唯密文攻击 » 定时 » 已知明文攻击 » 中间人攻击 (MITM) » 频率分析 » 哈希传递攻击 » 选择密文攻击 » Kerberos 协议攻击 » 实现攻击 » 勒索软件 » 边信道 3.8 将安全原理运用到场所与设施的设计上 m o 3.9 设计场所和设施安全控制措施 c . 5 » 配线柜/中继配电设施 » 公用事业设备及供暖、通风与空调 (HVAC) » 服务器机房/数据中心 » 环境问题 » 媒体储存设施 » 防火、检测和灭火 » 证据储存 » 电源（如冗余、备份） » 限制区与工作区的安全 h t i g CISSP认证考试大纲 b u 9 领域 4：通信与网络安全 4.1 评估和实施网络架构中的安全设计原则 » 开放系统互连 (OSI) 和传输控制协议 / 互联网协议 (TCP/IP) 模型 » 互联网协议 (IP) 网络（例如，互联网协议安全 (IPSec)、互联网协议 (IP) v4/6) » 安全协议 m o » 多层协议的含义 » 聚合协议（例如，以太网光纤通道 (FCoE)、互联网小型计算机系统接口 (iSCSI)、IP 语音 (VoIP)) » 微隔离（例如，软件定义网络 (SDN)、虚拟可扩展局域网 (VXLAN)