CISSP第九版的整体框架

·1.2.1保密性、完整性、可用性、真实性和不可否认性

·1.2理解和应用安全概念

·1.3.1安全功能与业务战略、目标、使命和宗旨保持一致·1.3.2组织流程（如收购、资产剥离、治理委员会）·1.3.3组织的角色与责任·1.3.4安全控制框架·1.3.5应尽关心和尽职审查

·1.3评估和应用安全治理原则

·1.7制订、记录和实施安全策略、标准、程序和指南

·1.11理解与应用威胁建模的概念和方法

·1.12.1与硬件、软件和服务相关的风险·1.12.2第三方评估与监测·1.12.3最低安全要求·1.12.4服务水平要求

·1.12应用供应链风险管理（SCRM）概念

第一章

·1.9.1候选人筛选与招聘·1.9.2雇佣协议及策略·1.9.3入职、调动和离职程序·1.9.4供应商、顾问和承包商的协议和控制·1.9.5合规策略要求·1.9.6隐私策略要求

·1.9促进并执行人员安全策略和程序

·1.10.1识别威胁和脆弱性·1.10.2风险评估/分析·1.10.3风险响应·1.10.4选择与实施控制措施·1.10.5适用的控制类型（如预防、检测、纠正）·1.10.6控制评估（安全与隐私）·1.10.7监控和测量·1.10.8报告·1.10.9持续改进（如风险成熟度模型）·1.10.10风险框架

·1.10理解并应用风险管理概念

·1.13.1展示意识和培训的方法和技巧（如社会工程、网络钓鱼、安全带头人、游戏化）·1.13.2定期内容评审·1.13.3计划有效性评估

·1.13建立并维护安全意识、教育和培训计划

第二章

·1.8.1业务影响分析（BIA）·1.8.2制订并记录范围和计划

·1.8业务连续性（BC）需求的识别、分析与优先级排序

第三章

·1.4.1合同、法律、行业标准和监管要求·1.4.2隐私要求

·1.4确定合规和其他要求

·1.5.1网络犯罪和数据泄露·1.5.2许可和知识产权（IP）要求·1.5.3进口/出口控制·1.5.4跨境数据流

·1.5全面理解全球范围内与信息安全相关的法律和监管问题

第四章

·1.1.1ISC职业道德规范·1.1.2组织道德规范·1.6了解各类调查的要求（即行政、刑事、民事、监管、行业标准）

·1.1理解、坚持和弘扬职业道德

第十九章

域1安全与风险管理

·2.1.1数据分类·2.1.2资产分类

·2.1信息和资产的识别和分类

·2.2建立信息和资产的处理要求

·2.4.1数据角色（如所有者、控制者、托管人员、处理者、用户/主体）·2.4.2数据收集·2.4.3数据位置·2.4.4数据维护·2.4.5数据留存·2.4.6数据残留·2.4.7数据销毁

·2.4管理数据生命周期

·2.5确保适当的资产保留期（如生产期终止（EOL）、支持期终止（EOS））

·2.6.1数据状态（如使用中、传输中、静态）·2.6.2范围界定和按需定制·2.6.3标准选择·2.6.4数据保护方法（如数字版权管理（DRM）、数据丢失预防（DLP）、云访问安全代理（CASB））

·2.6确定数据安全控制和合规要求

第五章

·2.3.1信息和资产所有权·2.3.2资产列表（如有形、无形）·2.3.3资产管理

·2.3安全配置资源

第十六章

域2资产安全

·3.1.1威胁建模·3.1.3纵深防御

·3.1利用安全设计原则研究、实施和管理工程过程

·3.5.4密码系统

·3.5评价和抑制安全架构、设计和解决方案元素的漏洞

·3.6.1密码生命周期（如密钥管理、算法挑选）·3.6.2加密方法（如对称、非对称、椭圆曲线、量子）·3.6.6不可否认性·3.6.7完整性（如哈希）

·3.6挑选和确定密码解决方案

·3.6.1密码生命周期（如密钥管理、算法挑选）·3.6.2加密方法（如对称、非对称、椭圆曲线、量子）·3.6.3公钥基础设施（PKT）·3.6.4密钥管理实践规范·3.6.5数字签名和数字证书·3.6.6不可否认性·3.6.7完整性（如哈希）

·3.7.1暴力破解·3.7.2唯密文·3.7.3已知明文·3.7.4频率分析·3.7.5选择密文·3.7.6实现攻击·3.7.7边信道·3.7.8故障注入·3.7.9计时·3.7.10中间人（MITM）

·3.7理解密码分析攻击方法

第七章

·3.1.4默认安全配置·3.1.5失效安全·3.1.7保持简单·3.1.8零信任·3.1.9通过设计保护隐私·3.1.10信任但要验证

·3.2了解安全模型的基本概念（例如Biba、星形模型、Bell-LaPadula）

·3.3根据系统安全要求选择控制

·3.4了解信息系统（IS）的安全能力（例如内存保护、可信平台模块、加密/解密）

第八章

·3.1.11共担责任

·3.5.1基于客户端的系统·3.5.2基于服务器端的系统·3.5.5工业控制系统（ICS）·3.5.7分布式系统·3.5.8物联网（ToT）·3.5.9微服务·3.5.10容器化·3.5.11无服务器·3.5.12嵌入式系统·3.5.13高性能计算（HPC）系统·3.5.14边缘计算系统·3.5.15虚拟化系统

第九章

·3.8站点与设施设计的安全原则

·3.9.1配线间/中间布线设施·3.9.2服务器间/数据中心·3.9.3介质存储设施·3.9.4证据存储·3.9.5受限区与工作区安全·3.9.6基础设施与HVAC·3.9.7环境问题·3.9.8火灾预防、探测与消防·3.9.9电源（如冗余、备份）

·3.9站点与设施安全控制设计

第十章

·3.7.11哈希传递攻击·3.7.12 Kerberos 漏洞利用

第十四章

·3.1.2最低特权·3.1.6职责分离（SoD）

·3.5.6基于云的系统（例如，软件即服务（SaaS）、基础架构即服务（laaS）、平台即服务（Paas））

·3.5.3数据库系统

第二十章

·3.7.13勒索软件

第二十一章

域3安全架构与工程

·4.1.1OSI模型和TCP/IP模型·4.1.2互联网协议（P）网络（如互联网协议安全（IPSec）、互联网协议（IP）v4/6）·4.1.3安全协议·4.1.4多层协议的含义·4.1.5融合协议（如以太网光纤通道（FCoE）、互联网小型计算机系统接口（iSCSID、互联网语音协议（VolP））·4.1.6微分网段（如软件定义网络（SDN）、虚拟可扩展局域网（VXLAN）、封装、软件定义广域网（SD-WAN））·4.1.7无线网络（如LiFi、Wi-Fi、Zigbee、卫星）·4.1.8蜂窝网络（如4G、5G）·4.1.9内容分发网络（CDN）

·4.1评估并实施网络架构中的安全设计原则

·4.2.1硬件操作（如冗余电源、保修、支持）·4.2.2传输介质·4.2.3网络访问控制（NAC）设备·4.2.4端点安全

·4.2安全的网络组件

第十一章

·4.1.2互联网协议（IP）网络（如互联网协议安全（IPsec）、互联网协议（IP）v4/6）

·4.3.1语音·4.3.2多媒体协作·4.3.3远程访问·4.3.4数据通信·4.3.5虚拟化网络·4.3.6第三方连接

·4.3按照设计实现安全通信通道

第十二章

域4通信与网络安全

·5.1.1信息·5.1.2系统·5.1.3设备·5.1.4设施·5.1.5应用

·5.1资产的物理和逻辑访问控制

·5.2.1身份管理（IdM）实施·5.2.2单因素/多因素身份认证（MFA）·5.2.3问责·5.2.4会话管理·5.2.5身份注册、证明和创建·5.2.6联合身份管理（FM）·5.2.7凭证管理系统·5.2.8单点登录（SSO）·5.2.9准时制（JIT）

·5.2管理人员、设备和服务的标识和认证

·5.3.1本地部署·5.3.2云部署·5.3.3混合模式

·5.3通过第三方服务进行联合身份认证

·5.5.1账户访问审查（如用户、系统、服务）·5.5.2配置和取消配置（如入职、离职和调动）·5.5.3角色定义（如分配到新角色的人员）

·5.5管理身份和访问配置生命周期

第十三章

·5.4.1基于角色的访问控制（RBAC）·5.4.2基于规则的访问控制·5.4.3强制访问控制（MAC）·5.4.4自主访问控制（DAC）·5.4.5基于属性的访问控制（ABAC）·5.4.6基于风险的访问控制

·5.4授权机制的实现和管理

·5.5.4特权提升（如托管服务账户、使用sudo、最小化使用）

·5.6.1OpenID Connect（OIDC）/开放授权（Oauth）·5.6.2安全断言标记语言（SAML）·5.6.3 Kerberos·5.6.4远程认证拨入用户服务（RADIUS）/增强型终端访问控制器访问控制系统（TACACS+）

·5.6实施身份认证系统

域5身份和访问管理

·6.1.1内部·6.1.2外部·6.1.3第三方

·6.1设计和验证评估、测试和审计策略

·6.2.1漏洞评估·6.2.2渗透测试·6.2.3日志审查·6.2.4模拟事务·6.2.5代码审查和测试·6.2.6误用案例测试·6.2.7测试覆盖率分析·6.2.8接口测试·6.2.9入侵攻击模拟·6.2.10合规性检查

·6.2进行安全控制测试

·6.3.1账户管理·6.3.2管理评审和批准·6.3.3关键绩效和风险指标·6.3.4备份验证数据·6.3.5培训和意识

·6.3收集安全过程数据（如技术和管理）

·6.4.1补救措施·6.4.2异常处理·6.4.3道德披露

·6.4分析测试输出并生成报告

·6.5.1内部·6.5.2外部·6.5.3第三方

·6.5执行或协助安全审计

第十五章

·6.3.5培训和意识·6.3.6灾难恢复（DR）和业务连续性（BC）

第十八章

域6安全评估与测试

7.13参与业务连续性（BC）计划和演练

·7.14.1边界安全控制·7.14.2内部安全控制

·7.14物理安全的实现与管理

·7.7.1防火墙（如下一代防火墙、Web应用防火墙、网络防火墙）

·7.7运行和维护检测与预防措施

·7.3执行配置管理（CM）（如配置、基线、自动化）

·7.4.2职责分离（SoD）和责任·7.4.3特权账户管理·7.4.4岗位轮换·7.4.5服务水平协议（SLA）

·7.4应用基本的安全运营概念·7.4.1因需可知/最小特权

·7.5.2媒介保护技术

·7.5应用资源保护·7.5.1媒介管理

·7.8实施并支持补丁和漏洞管理

·7.9理解并参与变更管理流程

·7.15.1出差·7.15.2安全培训和意识·7.15.3应急管理·7.15.4胁迫

·7.15解决人员安全问题

·7.2.1入侵检测和预防·7.2.2安全信息和事件管理（SIEM）·7.2.3持续监控·7.2.4出口监控·7.2.5日志管理·7.2.6威胁情报（如威胁馈送、威胁搜寻）

·7.2开展日志记录和监控活动

·7.6.1检测·7.6.2响应·7.6.3抑制·7.6.4报告·7.6.5恢复·7.6.6补救·7.6.7总结教训

·7.6实施事件管理

·7.7.2入侵检测系统（IDS）和入侵预防系统（IPS）·7.7.3白名单/黑名单·7.7.4第三方提供安全服务·7.7.5沙箱·7.7.6蜜罐/蜜网·7.7.7反恶意软件·7.7.8基于机器学习和人工智能（A）的工具

第十七章

·7.10.1备份存储策略·7.10.2恢复站点策略·7.10.3多处理站点·7.10.4系统韧性、高可用性（HA）、服务质量（QoS）和容错能力

·7.10实施恢复策略

·7.11.1响应·7.11.2人员·7.11.3通信·7.11.4评估·7.11.5恢复·7.11.6培训和意识·7.11.7经验教训

·7.11实施灾难恢复（DR）流程

·7.12.1通读测试·7.12.2结构化演练·7.12.3模拟测试·7.12.4并行测试·7.12.5完全中断测试

·7.12测试灾难恢复计划（DRP）

·7.1.1证据收集和处理·7.1.2报告和文档·7.1.3调查技术·7.1.4数字取证工具、策略和程序·7.1.5工件（如计算机、网络、移动设备）

·7.1理解和遵守调查

·7.2.7用户和实体行为分析（UEBA）

·7.7.7反恶意软件

域7安全运营

·8.2.10应用程序安全测试（如静态应用程序安全测试（SAST）、动态应用程序安全测试DAST）

·8.2识别并应用软件开发生态系统中的安全控制

·8.4.4托管服务（例如.软件即服务（SaaS）、基础架构即服务（laaS）、平台即服务（PaaS））

8.4评估所购软件对安全的影响

·8.2.7安全编排、自动化和响应（SOAR）

·8.1.1开发方法（如敏捷、瀑布、DevOps、DevSecOps）·8.1.2成熟度模型（如能力成熟度模型（CMM）、软件保证成熟度模型（SAMM））·8.1.3运营和维护·8.1.4变更管理·8.1.5集成产品团队（IPT）

·8.1理解并集成软件开发生命周期（SDLC）中的安全

·8.2.1编程语言·8.2.2库·8.2.3工具集·8.2.4集成开发环境（IDE）·8.2.5运行时·8.2.6持续集成和持续交付（CIVCD）·8.2.8软件配置管理（SCM）·8.2.9代码库

·8.3.1审核和记录变更

·8.3评估软件安全的有效性

·8.4.1商用现货（COTS）·8.4.2开放源码·8.4.3第三方

·8.4评估所购软件对安全的影响

·8.5.2API的安全性·8.5.3安全编码实践·8.5.4软件定义的安全性

·8.5定义并应用安全编码指南和标准

·8.3.2风险分析和缓解

·8.5.1源代码级别的安全弱点和漏洞

域8软件开发安全

自由主题