CISSP 2024年考试大纲中文版_cissp2024

2024 CISSP详细内容大纲及权重最终版(仅供公众使用)

最后编辑于2023年8月18日-生效日期2024年4月15日

分类

域/任务/子任务

权重

域1

安全和风险管理

16%

1.1

理解、坚持和促进职业道德(2-4项)

1.1.1

ISC2职业道德守则

1.1.2

组织道德守则

1.2

理解并应用安全概念

1.2.1

机密性、完整性、可用性、真实性和不可否认性(信息安全的5大支柱)

1.3

评估、应用和维护安全治理原则

1.3.1

安全职能与业务战略、目标、使命和目的的一致性

1.3.2

组织流程(例如，收购、剥离、治理委员会)

1.3.3

组织角色和职责

1.3.4

安全控制框架(例如，国际标准化组织(ISO)、国家标准和技术研究所(NIST)、信息和相关技术控制目标(COBIT)、舍伍德应用商业安全架构(SABSA)、支付卡行业(PCI)、联邦风险和授权管理计划(FedRAMP)

1.3.5

Due  care/due diligence

1.4

从整体上理解与信息安全相关的法律、法规和合规性问题

1.4.1

网络犯罪和数据泄露

1.4.2

许可和知识产权要求

1.4.3

进口/出口管制

1.4.4

跨境数据流

1.4.5

与隐私相关的问题(例如，一般数据保护法规(GDPR)、加州消费者隐私法案、Personal Information Protection Law、Protection  of Personal Information Act))

1.4.6

合同、法律、行业标准和监管要求

1.5

了解调查类型的要求(即行政、刑事、民事、监管、行业标准)

1.6

制定、记录和实施安全政策、标准、程序和准则

1.7

确定、分析、评估、排定优先级并实施业务连续性(BC)要求

1.7.1

业务影响分析(BIA)

1.7.2

外部依赖性

1.8

促进和执行人员安全政策和程序

1.8.1

候选人筛选和聘用

1.8.2

雇佣协议和政策驱动的要求

1.8.3

入职、调动和离职流程

1.8.4

供应商、顾问和承包商协议和控制

1.9

理解并应用风险管理概念

1.9.1

威胁和漏洞识别

1.9.2

风险分析、评估和范围

1.9.3

风险应对和处理(如网络安全保险)

1.9.4

适用的控制类型(例如，预防、检测、纠正)

1.9.5

控制评估(例如，安全性和隐私)

1.9.6

连续监控和测量

1.9.7

报告(例如，内部、外部)

1.9.8

持续改进(例如，风险成熟度建模)

1.9.9

风险框架(例如，国际标准化组织(ISO)、国家标准和技术研究所(NIST)、信息和相关技术控制目标(COBIT)、舍伍德应用商业安全架构(SABSA)、支付卡行业(PCI))

1.10

理解并应用威胁建模概念和方法

1.11

应用供应链风险管理(SCRM)概念

1.11.1

与从供应商和提供商处获得产品和服务相关的风险(例如，产品篡改，伪造品、植入物)

1.11.2

风险缓解(例如，第三方评估和监控、最低安全要求、服务级别需求、信任根、物理上不可克隆的功能、软件材料清单)

1.12

建立并维护安全意识、教育和培训计划

1.12.1

提高意识和培训的方法和技术(例如，社会工程、网络钓鱼、security champions、游戏化)

1.12.2

定期内容审查，包括新兴技术和趋势(如加密货币、人工智能(AI)、区块链)

1.12.3

计划有效性评估

域2

资产安全

10%

2.1

识别和分类信息和资产

2.1.1

数据分类

2.1.2

资产分类

2.2

建立信息和资产处理要求

2.3

安全地调配信息和资产

2.3.1

信息和资产所有权

2.3.2

资产库存(例如，有形的、无形的)

2.3.3

资产管理

2.4

管理数据生命周期

2.4.1

数据角色(即所有者、控制者、保管者、处理者、用户/主体)

2.4.2

数据收集

2.4.3

数据单元

2.4.4

数据维护

2.4.5

数据保持

2.4.6

数据剩余

2.4.7

数据销毁

2.5

确保适当的资产保留(例如，生命周期终止(EOL)、支持终止)

2.6

确定数据安全控制和合规性要求

2.6.1

数据状态(例如，使用中、传输中、静止)

2.6.2

范围界定和裁剪

2.6.3

标准选择

2.6.4

数据保护方法(例如，数字版权管理(DRM)、数据丢失防护(DLP)、云访问安全代理(CASB))

域3

安全架构和工程

13%

3.1

使用安全设计原则研究、实施和管理工程流程

3.1.1

威胁建模

3.1.2

最小特权

3.1.3

纵深防御

3.1.4

安全默认值

3.1.5

安全失败

3.1.6

职责分离（SoD）

3.1.7

保持简单和小型Keep it simple and small

3.1.8

零信任或信任但验证

3.1.9

设计隐私Privacy by design

3.1.10

分担责任Shared responsibility

3.1.11

安全接入服务边缘

3.2

理解安全模型的基本概念(例如，Biba、Star模型、Bell-LaPadula)

3.3

根据系统安全要求选择控制措施

3.4

了解信息系统的安全功能(例如，内存保护、可信平台模块(TPM)、加密/解密)

3.5

评估和减少安全架构、设计和解决方案元素的漏洞

3.5.1

基于客户端的系统

3.5.2

基于服务器的系统

3.5.3

数据库系统

3.5.4

密码系统

3.5.5

操作技术/工业控制系统(ICS)

3.5.6

基于云的系统(例如，软件即服务(SaaS)、基础设施即服务(IaaS)、平台即服务(PaaS))

3.5.7

分布式系统

3.5.8

物联网

3.5.9

微服务(例如，应用编程接口(API))

3.5.10

集装箱化

3.5.11

无服务器

3.5.12

嵌入式系统

3.5.13

高性能计算系统

3.5.14

边缘计算系统

3.5.15

虚拟化系统

3.6

选择和确定加密解决方案

3.6.1

加密生命周期(例如，密钥、算法选择)

3.6.2

加密方法(例如，对称、不对称、椭圆曲线、量子)

3.6.3

公钥基础设施(PKI)(例如，量子密钥分发)

3.6.4

关键管理实践(如轮换)

3.6.5

数字签名和数字证书(例如，不可否认性、完整性)

3.7

了解密码分析攻击的方法

3.7.1

暴力破解

3.7.2

仅密文Ciphertext only

3.7.3

已知明文Known plaintext

3.7.4

频率分析

3.7.5

选择的密文Chosen ciphertext

3.7.6

实施攻击

3.7.7

侧信道

3.7.8

故障注入Fault injection

3.7.9

计时Timing

3.7.10

中间人(MITM)

3.7.11

传递散列

3.7.12

Kerberos开发

3.7.13

勒索软件

3.8

将安全原则应用于现场和设施设计

3.9

设计现场和设施安全控制

3.9.1

配线间/中间配线架

3.9.2

服务器机房/数据中心

3.9.3

媒体存储设施

3.9.4

证据存储

3.9.5

受限和工作区域安全

3.9.6

公用设施和供暖、通风和空调(HVAC)

3.9.7

环境问题(如自然灾害、人为)

3.9.8

火灾预防、探测和灭火

3.9.9

电源(例如，冗余、备用)

3.10

管理信息系统生命周期

3.10.1

利益相关者的需求和要求

3.10.2

需求分析

3.10.3

建筑设计

3.10.4

开发/实施

3.10.5

综合

3.10.6

检验和确认

3.10.7

过渡/部署

3.10.8

操作和维护/维持

3.10.9

报废/处置

域4

通信和网络安全

13%

4.1

在网络架构中应用安全设计原则

4.1.1

开放系统互连(OSI)和传输控制协议/互联网协议(TCP/IP)模型

4.1.2

互联网协议(IP)版本4和版本6  (IPv6)(例如，单播、广播、组播、任意播)

4.1.3

安全协议(例如，互联网协议安全(IPSec)、安全外壳(SSH)、安全套接字层(SSL)/传输层安全性(TLS))

4.1.4

多层协议的含义

4.1.5

融合协议(例如，互联网小型计算机系统接口(iSCSI)，基于互联网协议的语音(VoIP)，以太网InfiniBand、快速计算链路)

4.1.6

传输架构(例如，拓扑、数据/控制/管理平面、直通/存储转发)

4.1.7

性能指标(例如，带宽、延迟、抖动、吞吐量、信噪比)

4.1.8

交通流量(如南北向、东西向)

4.1.9

物理分段(例如，带内、带外、air-gapped)

4.1.10

逻辑分段(例如，虚拟局域网(VLANs)、虚拟专用网(VPN)、虚拟路由和转发，虚拟域)

4.1.11

微分段(例如，网络覆盖/封装；分布式防火墙、路由器、入侵检测系统(IDS)/入侵防御系统(IPS)，零信任)

4.1.12

边缘网络(例如入口/出口、对等)

4.1.13

无线网络(例如，蓝牙、Wi-Fi、Zigbee、卫星)

4.1.14

蜂窝/移动网络(例如，4G、5G)

4.1.15

内容分发网络(CDN)

4.1.16

软件定义的网络(SDN)，(例如，应用编程接口(API)，软件定义的广域网，网络功能虚拟化)

4.1.17

虚拟专用云(VPC)

4.1.18

监控和管理(例如，网络可观察性、流量/整形、容量管理、故障检测和处理)

4.2

安全网络组件

4.2.1

基础设施的运营(例如，冗余电源、保修、支持)

4.2.2

传输介质(例如，介质的物理安全性、信号传播质量)

4.2.3

网络访问控制(NAC)系统(例如，物理和虚拟解决方案)

4.2.4

终端安全性(例如，基于主机)

4.3

根据设计实施安全通信通道

4.3.1

语音、视频和协作(例如，会议、缩放房间)

4.3.2

远程访问(例如，网络管理功能)

4.3.3

数据通信(例如回程网络、卫星)

4.3.4

第三方连接(例如，电信提供商、硬件支持)

域5

身份和访问管理(IAM)

13%

5.1

控制对资产的物理和逻辑访问

5.1.1

信息

5.1.2

系统

5.1.3

设备

5.1.4

工具

5.1.5

应用程序

5.1.6

服务

5.2

设计识别和身份验证策略(例如，人员、设备和服务)

5.2.1

组和角色

5.2.2

认证、授权和计费(AAA)(例如，多因素认证(MFA)、无密码认证)

5.2.3

会话管理

5.2.4

身份的登记、验证和确立

5.2.5

联合身份管理(FIM)

5.2.6

凭证管理系统(如密码库)

5.2.7

单点登录(SSO)

5.2.8

及时的Just-In-Time

5.3

与第三方服务的联合身份

5.3.1

内部部署

5.3.2

云

5.3.3

混合物

5.4

实施和管理授权机制

5.4.1

基于角色的访问控制(RBAC)

5.4.2

基于规则的访问控制

5.4.3

强制访问控制(MAC)

5.4.4

自主访问控制(DAC)

5.4.5

基于属性的访问控制(ABAC)

5.4.6

基于风险的访问控制

5.4.7

访问策略实施(例如，策略决策点、策略实施点)

5.5

管理身份和访问配置生命周期

5.5.1

帐户访问审查(例如，用户、系统、服务)

5.5.2

供应和取消供应(例如，on/off boarding和转移)

5.5.3

角色定义和过渡(例如，分配到新角色的人员)

5.5.4

权限提升(例如，使用sudo，审计其使用)

5.5.5

服务帐户管理

5.6

实施认证系统

域6

安全评估和测试

12%

6.1

设计和验证评估、测试和审计策略

6.1.1

内部(例如，在组织控制范围内)

6.1.2

外部(例如，组织控制之外)

6.1.3

第三方(例如，不受企业控制)

6.1.4

位置(例如，内部、云、混合)

6.2

进行安全控制测试

6.2.1

脆弱性评估

6.2.2

渗透测试(例如，红色、蓝色和/或紫色团队练习)

6.2.3

日志检验Log reviews

6.2.4

综合交易/基准

6.2.5

代码审查和测试

6.2.6

误用案例测试

6.2.7

覆盖率分析

6.2.8

接口测试(例如，用户接口、网络接口、应用编程接口(API))

6.2.9

违规攻击模拟

6.2.10

符合性检查

6.3

收集安全流程数据(例如，技术和管理数据)

6.3.1

账户管理

6.3.2

管理评审和批准

6.3.3

关键绩效和风险指标

6.3.4

备份验证数据

6.3.5

培训和意识

6.3.6

灾难恢复和业务连续性

6.4

分析测试输出并生成报告

6.4.1

补救

6.4.2

异常处理

6.4.3

道德披露

6.5

进行或促进安全审计

6.5.1

内部(例如，在组织控制范围内)

6.5.2

外部(例如，组织控制之外)

6.5.3

第三方(例如，不受企业控制)

6.5.4

位置(例如，内部、云、混合)

域7

安全操作

13%

7.1

理解并遵守调查

7.1.1

证据收集和处理

7.1.2

报告和文件

7.1.3

调查技术

7.1.4

数字取证工具、策略和程序

7.1.5

工件(例如，数据、计算机、网络、移动设备)

7.2

开展记录和监控活动

7.2.1

入侵检测和预防系统(IDPS)

7.2.2

安全信息和事件管理(SIEM)

7.2.3

安全协调、自动化和响应(SOAR)

7.2.4

持续监控和调整

7.2.5

出口监控

7.2.6

日志管理

7.2.7

威胁情报(例如，威胁源、威胁追踪)

7.2.8

用户和实体行为分析

7.3

执行配置管理(CM)(例如，配置、基线、自动化)

7.4

应用基本的安全运营概念

7.4.1

需要知道/最小特权（Need-to-know/least privilege）

7.4.2

职责分离(SoD)和责任

7.4.3

特权账户管理

7.4.4

岗位轮换

7.4.5

服务水平协议

7.5

应用资源保护

7.5.1

介质管理

7.5.2

介质保护技术

7.5.3

静态数据/传输中的数据

7.6

进行事件管理incident

7.6.1

侦查

7.6.2

反应

7.6.3

减轻

7.6.4

报告

7.6.5

恢复

7.6.6

补救

7.6.7

经验教训

7.7

操作和维护检测和预防措施

7.7.1

防火墙(例如，下一代、web应用程序、网络)

7.7.2

入侵检测系统(IDS)和入侵防御系统(IPS)

7.7.3

白名单/黑名单

7.7.4

第三方提供的安全服务

7.7.5

沙盒

7.7.6

蜜罐/蜜网

7.7.7

反恶意软件

7.7.8

基于机器学习和人工智能的工具

7.8

实施和支持补丁和漏洞管理

7.9

了解并参与变革管理流程

7.10

实施恢复策略

7.10.1

备份存储策略(例如，云存储、现场、异地)

7.10.2

恢复站点策略(例如，冷对热、资源容量协议)

7.10.3

多个处理站点

7.10.4

系统弹性、高可用性(HA)、服务质量(QoS)和容错

7.11

实施灾难恢复(DR)流程

7.11.1

反应

7.11.2

人事部门

7.11.3

沟通(例如，方法)

7.11.4

评价

7.11.5

恢复

7.11.6

培训和意识

7.11.7

经验教训

7.12

测试灾难恢复计划(DRP)

7.12.1

通读/桌面

7.12.2

Walkthrough

7.12.3

模拟

7.12.4

并行

7.12.5

完全中断

7.12.6

沟通(例如，利益相关者、测试状态、监管者)

7.13

参与业务连续性(BC)规划和练习

7.14

实施和管理物理安全

7.14.1

周边安全控制

7.14.2

内部安全控制

7.15

解决人员安全和安保问题

7.15.1

旅行

7.15.2

安全培训和意识(例如，内部威胁、社交媒体影响、双因素身份认证(2FA)疲劳)

7.15.3

应急管理

7.15.4

强迫

域8

软件开发安全性

10%

8.1

理解并整合软件开发生命周期(SDLC)中的安全性

8.1.1

开发方法(例如，敏捷、瀑布、DevOps、DevSecOps、扩展敏捷框架)

8.1.2

成熟度模型(例如，能力成熟度模型(CMM)，软件保障成熟度模型(SAMM))

8.1.3

使用和维护

8.1.4

变更管理

8.1.5

集成产品团队

8.2

在软件开发生态系统中识别和应用安全控制

8.2.1

编程语言

8.2.2

图书馆

8.2.3

工具集

8.2.4

集成开发环境

8.2.5

运行时间

8.2.6

持续集成和持续交付(CI/CD)

8.2.7

软件配置管理

8.2.8

代码库

8.2.9

应用安全测试(例如，静态应用安全测试(SAST)，动态应用安全测试(DAST)，软件组成分析，交互式应用安全测试(IAST))

8.3

评估软件安全的有效性

8.3.1

审核和记录变更

8.3.2

风险分析和缓解

8.4

评估收购软件的安全影响

8.4.1

商业现货(COTS)

8.4.2

开放源码

8.4.3

第三方

8.4.4

托管服务(例如，企业应用程序)

8.4.5

云服务(例如，软件即服务(SaaS)、基础设施即服务(IaaS)、平台即服务(PaaS))

8.5

定义和应用安全编码指南和标准

8.5.1

源代码级别的安全弱点和漏洞

8.5.2

应用程序编程接口(API)的安全性

8.5.3

安全编码实践

8.5.4

软件定义的安全性