CISSPChinese-考试大纲-.pdf

考试大纲注册信息系统安全师生效期：2018年4月2CISSP Certification Exam Outline关于CISSP注册信息系统安全师（CISSP）是全球最受广泛认可的信息安全认证CISSP认证反映了持证者具备有效设计、构建及管理组织整体安全态势所需的深厚信息安全技术、管理知识、技能与经验CISSP的公共知识体系（CBK）中包含的广泛议题确保了与信息安全领域中所有原理的相关性通过认证的考生展示了在以下八大知识域的能力：安全与风险管理资产安全安全架构与工程通信与网络安全身份与访问管理安全评估与测试安全运营软件开发安全经验要求考生必须在(ISC)2CISSP公共知识体系（CBK）八大知识域中的至少两个或两个以上领域，拥有至少5年全职工作经验拥有4年大学本科学历或同等学历，以及(ISC)2认可的其它证书可以抵免一年的工作经验所有教育学位最多只能抵免一年工作经验没有满足CISSP所需工作经验的考生，如果能够通过CISSP考试则可以成为(ISC)2的准会员（Associate）ISC)2的准会员可以用接下来的6年时间积累所需工作经验认可 CISSP是业界首张符合ANSI/ISO/IEC17024国际标准要求的信息安全认证。

工作任务分析（Job Task Analysis）(ISC)2对其会员有义务维护CISSP的关联性定期进行工作任务分析（JTA）是一项系统而关键的过程，用来确定由CISSP安全专业人士所从事的工作JTA的分析结果会用来更新考试这个过程确保了考生的测试题目与目前从业的信息安全专业人士的角色和职责密切相关3CISSP Certification Exam OutlineCISSP计算机自适应测试（CAT）的考试信息CISSP CAT 考试的权重考试时长考题数量考题格式及格线可提供的考试语言测试中心小时100道至150道多项选择和高级创新型考题1000分中得到700分英语(ISC)2授权的、且由PPC和PVTC精选的PearsonVUE测试中心领域平均权重1.安全与风险管理15%2.资产安全10%3.安全架构与工程13%4.通信与网络安全14%5.身份与访问管理（IAM）13%6.安全评估与测试12%7.安全运营13%8.软件开发安全10%总计:100%CISSP的所有英语考试都采用计算机自适应测试（CAT）CISSP的其它语种的考试采用线性和固定格式的测试欲了解CISSP的CAT详情，请访问:www.isc2.org/certificatons/CISSP-CAT。

4CISSP Certification Exam OutlineCISSP线性考试信息CISSP线性考试权重考试时长考题数量考题格式及格线可提供的考试语言测试中心6小时250道多项选择和高级创新型考题1000分中得到700分法语、德语、巴西葡萄牙语、西班牙语、日语、简体中文、韩语(ISC)2授权的、且由PPC和PVTC精选的PearsonVUE测试中心领域权重1.安全与风险管理15%2.资产安全10%3.安全架构与工程13%4.通信与网络安全14%5.身份与访问管理（IAM）13%6.安全评估与测试12%7.安全运营13%8.软件开发安全10%总计:100%5CISSP Certification Exam Outline领域 1:安全与风险管理1.1 理解和运用保密性、完整性和可用性的概念1.2 评估和应用安全治理的原理 1.3 确定合规要求 合约、法律、行业标准和监管的要求 隐私的要求1.4 理解与信息安全的全球背景相关的法律和监管问题1.5 理解、遵从与提升职业道德 (ISC)2职业道德规范 组织的道德规范1.6 开发、撰写与实现安全政策、标准、流程和指南1.7 对业务连续性（Business Continuity）进行识别、分析及优先级排序 制定并记录范围和计划 经营影响分析（BIA）将安全功能与商业策咯、目标、使命和宗旨相连接 组织的流程（例如购置、剥离、治理委员会）组织的角色与职责 安全控制框架 谨慎考虑/恪尽职守 确定合规要求 网络犯罪和数据泄露 许可和知识产权的要求 进口/出口控制 跨境数据流 隐私6CISSP Certification Exam Outline1.8 促进与实行人员安全的策略与流程1.9 理解与运用风险管理的概念 1.10 理解与运用威胁建模的概念和方法论1.11 将基于风险的管理概念运用到供应链1.12 建立与维护安全意识、教育和培训计划 员工筛选与雇佣 雇佣合约与政策 入职与离职程序 供应商、顾问与承包商的合约与控制 合规策略要求 隐私策略要求 识别威胁与漏洞 风险评估/分析 风险响应 对策选择与实现 控制措施适用的类型（例如：预防措施、检测措施和纠正措施 安全控制评估(SCA)监控与测量 资产估价 汇报 持续提高 风险框架 威胁建模的方法论 威胁建模的概念 与硬件、软件和服务相关的风险 第三方评估与监测 最低安全需求 服务水平要求 安全意识宣贯与培训的方法和技术 定期内容审查 方案效果评价7CISSP Certification Exam Outline领域 2:资产安全2.1 识别与分类信息和资产2.2 确定与维护信息和资产所有权2.3 保护隐私 2.4 确保适当的资产保留2.5 确定数据安全控制 2.6 建立信息和资产的处理要求 数据所有者 数据所有者 数据残留 数据收集限制 理解数据状态 定界与定制 标准选择 数据保护的方法 数据分级 资产分级8CISSP Certification Exam Outline领域 3:安全架构与工程3.1 使用安全设计原理来实施与管理工程的进程3.2 理解安全模型的基本概念3.3 基于系统安全需求选择控制措施3.4 理解信息系统的安全功能（例如：内存保护、可信平台模块（TPM）、加密/解密）3.5 评估与缓解安全架构、设计和解决方案要素的漏洞 3.6 评估和缓解Web系统中的漏洞3.7 评估与缓解移动系统的漏洞3.8 评估与缓解嵌入式设备的漏洞3.9 运用密码学3.10 将安全原理运用到场所与设施的设计上 基于客户端的系统 基于服务端的系统 数据库系统 密码系统 工业控制系统（ICS）基于云端的系统 分布式系统 物联网（IoT）密码生命周期（例如：密钥管理、算法选择）加密方法（例如：对称、非对称、椭圆曲线）公钥基础设施（PKI）密钥管理实践 数字签名 抗抵赖性 完整性（例如：哈希函数）理解密码攻击方法 数字版权管理（DRM）9CISSP Certification Exam Outline3.11 实施场所与设施的安全控制 配线柜/中继配线设施 服务器机房/数据中心 媒体储存设施 证据储存 限制区与工作区的安全10CISSP Certification Exam Outline领域 4:通信与网络安全4.1 在网络架构中实施安全设计原则4.2 网络组件安全4.3 根据设计实施安全通信通道 开放系统互连（OSI）和传输控制协议/互联网协议（TCP/IP）模型 互联网协议（TCP/IP）网络 多层协议的作用 聚合协议 软件定义网络 无线网络 硬件操作 传输介质 网络访问控制（NAC）设备 端点安全 内容配送网 语音 多媒体协作 远程访问 数据通信 虚拟化网络11CISSP Certification Exam Outline领域 5:身份与访问管理(IAM)5.1 控制对资产的物理和逻辑访问 信息 系统 设备 设施5.2 管理对人员、设备和服务的身份识别与验证5.3 集成身份为第三方服务5.4 实施和管理授权机制5.5 管理身份和访问配置生命周期 用户访问审查 系统账户访问审查 配置与清除配置 实施身份管理 单/多因素身份验证 可核查性 会话管理 身份注册与证明 联合身份管理(FIM)凭证管理系统 内部部署 云计算 联合 基于角色的访问控制(RBAC)基于规则的访问控制 强制访问控制(MAC)自主访问控制(DAC)基于属性的访问控制(ABAC)12CISSP Certification Exam Outline126.1 设计和验证评估、测试和审计策略6.2 对安全控制进行测试6.3 收集安全流程数据(如：技术和管理)6.4 分析测试输出并生成报告6.5 执行或协助安全审计 漏洞评估 渗透测试 日志审查 模拟交易 代码审查和测试 误用案例测试 测试覆盖率分析 接口测试 内部 外部 第三方 内部 外部 第三方 账户管理 管理层审查和批准 关键业绩和风险指标 备份验证数据 信息安全意识宣贯 灾难恢复(DR)和业务连续性(BC)领域 6:安全评估与测试 13CISSP Certification Exam Outline7.1 理解和支持调查7.2 了解调查类型的要求7.3 进行日志记录和持续监测活动7.4 安全配置资源 7.5 理解和应用基本的安全运营概念7.6 应用资源保护技术 介质管理 硬件和软件资产管理领域 7:安全运营 证据采集和处理 报告和记录 调查技术 数字取证工具、策略和程序 入侵检测和防御 安全信息和事件管理(SIEM)不间断持续监测 输出流量持续监测 资产清单 资产管理 配置管理 因需可知/最低权限 职责分离 特权帐户管理 岗位轮换 信息生命周期 服务水平协议（SLA）行政 刑事 民事 监管 行业标准14CISSP Certification Exam Outline7.7 执行事件管理7.8 检测和预防措施的运营及维护7.9 实施和支持补丁和漏洞管理7.10 理解并参与变更管理流程7.11 实施灾难恢复（DR）过程7.12 实施灾难恢复(DR)流程7.13 测试灾难恢复计划(DRP)7.14 参与业务连续性(BC)计划制定和演练7.15 实施和管理物理安全7.16 解决人员安全问题 检测 响应 缓解 报告 恢复 补救 经验教训 防火墙 入侵检测和防御系统 白名单/黑名单 第三方提供的安全服务 沙箱 蜜罐/蜜网 反恶意软件 备份存储策略 恢复站点策略 多个处理站点 系统弹性、高可用性、服务质量(QoS)和容错 响应 人员 通信 评估 恢复 培训和信息安全意识宣贯 书面测试/测试 穿行测试 模拟测试 并行测试 全面中断测试 外围安全控制 内部安全控制 旅行 安全培训和意识 应急管理 胁迫15CISSP Certification Exam Outline领域 8:软件开发安全8.1 理解安全并将其融入软件开发生命周期（SDLC）中8.2 开发环境中识别和应用安全控制8.3 评估软件安全的有效性8.4 评估获得软件对安全的影响8.5 定义并应用安全编码准则和标准 开发方法 成熟度模型 运营和维护 变更管理 集成产品团队 软件环境的安全 配置管理作为安全编码的一个方面 审核和变更记录 风险分析和缓解 源代码级安全弱点和漏洞 应用编程接口安全 安全编码实践16CISSP Certification Exam Outline附加考试信息 补充参考鼓励应试者通过回顾有关CBK的相关资源，并找出可能需要额外注意的研究领域来补充他们的教育和经验。

在www.isc2.org/certifications/References网站中查看补充参考的完整书单考试政策和规程(ISC)建议CISSP考生在报名参加考试前到www.isc2.org/Register-for-Exam阅读有关考试政策和规程重要信息的详尽细目法律信息有关(ISC)法律政策的任何问题,请致信legalisc2.org与(ISC)法律部门联系其他问题?(ISC)考试服务311ParkPlaceBlvd,Suite400Clearwater,FL33759(ISC)美洲区Tel:+1.866.331.ISC2(4722)Email:infoisc2.org(ISC)亚太区Tel:+(852)28506951Email:isc2asiaisc2.org(ISC)欧洲、中东及非洲地区Tel:+44(0)2033001625Email:info-emeaisc2.org。