CISSP第九版的整体框架思维导图模板_ProcessOn思维导图、流程图

域1安全与风险管理

第一章

·1.2理解和应用安全概念

·1.2.1保密性、完整性、可用性、真实性和不可否认性

·1.3评估和应用安全治理原则

·1.3.1安全功能与业务战略、目标、使命和宗旨保持一致 ·1.3.2组织流程（如收购、资产剥离、治理委员会） ·1.3.3组织的角色与责任 ·1.3.4安全控制框架 ·1.3.5应尽关心和尽职审查

·1.7制订、记录和实施安全策略、标准、程序和指南

·1.11理解与应用威胁建模的概念和方法

·1.12应用供应链风险管理（SCRM）概念

·1.12.1与硬件、软件和服务相关的风险 ·1.12.2第三方评估与监测 ·1.12.3最低安全要求 ·1.12.4服务水平要求

第二章

·1.9促进并执行人员安全策略和程序

·1.9.1候选人筛选与招聘 ·1.9.2雇佣协议及策略 ·1.9.3入职、调动和离职程序 ·1.9.4供应商、顾问和承包商的协议和控制 ·1.9.5合规策略要求 ·1.9.6隐私策略要求

·1.10理解并应用风险管理概念

·1.10.1识别威胁和脆弱性 ·1.10.2风险评估/分析 ·1.10.3风险响应 ·1.10.4选择与实施控制措施 ·1.10.5适用的控制类型（如预防、检测、纠正） ·1.10.6控制评估（安全与隐私） ·1.10.7监控和测量 ·1.10.8报告 ·1.10.9持续改进（如风险成熟度模型） ·1.10.10风险框架

·1.13建立并维护安全意识、教育和培训计划

·1.13.1展示意识和培训的方法和技巧（如社会工程、网络钓鱼、安全带头人、游戏化） ·1.13.2定期内容评审 ·1.13.3计划有效性评估

第三章

·1.8业务连续性（BC）需求的识别、分析与优先级排序

·1.8.1业务影响分析（BIA） ·1.8.2制订并记录范围和计划

第四章

·1.4确定合规和其他要求

·1.4.1合同、法律、行业标准和监管要求 ·1.4.2隐私要求

·1.5全面理解全球范围内与信息安全相关的法律和监管问题

·1.5.1网络犯罪和数据泄露 ·1.5.2许可和知识产权（IP）要求 ·1.5.3进口/出口控制 ·1.5.4跨境数据流

第十九章

·1.1理解、坚持和弘扬职业道德

·1.1.1ISC职业道德规范 ·1.1.2组织道德规范 ·1.6了解各类调查的要求（即行政、刑事、民事、监管、行业标准）

域2资产安全

第五章

·2.1信息和资产的识别和分类

·2.1.1数据分类 ·2.1.2资产分类

·2.2建立信息和资产的处理要求

·2.4管理数据生命周期

·2.4.1数据角色（如所有者、控制者、托管人员、处理者、用户/主体） ·2.4.2数据收集 ·2.4.3数据位置 ·2.4.4数据维护 ·2.4.5数据留存 ·2.4.6数据残留 ·2.4.7数据销毁

·2.5确保适当的资产保留期（如生产期终止（EOL）、支持期终止（EOS））

·2.6确定数据安全控制和合规要求

·2.6.1数据状态（如使用中、传输中、静态） ·2.6.2范围界定和按需定制 ·2.6.3标准选择 ·2.6.4数据保护方法（如数字版权管理（DRM）、数据丢失预防（DLP）、云访问安全代 理（CASB））

第十六章

·2.3安全配置资源

·2.3.1信息和资产所有权 ·2.3.2资产列表（如有形、无形） ·2.3.3资产管理

域3安全架构与工程

第一章

·3.1利用安全设计原则研究、实施和管理工程过程

·3.1.1威胁建模 ·3.1.3纵深防御

第五章

·3.5评价和抑制安全架构、设计和解决方案元素的漏洞

·3.5.4密码系统

·3.6挑选和确定密码解决方案

·3.6.1密码生命周期（如密钥管理、算法挑选） ·3.6.2加密方法（如对称、非对称、椭圆曲线、量子） ·3.6.6不可否认性 ·3.6.7完整性（如哈希）

第七章

·3.5评价和抑制安全架构、设计和解决方案元素的漏洞

·3.5.4密码系统

·3.6挑选和确定密码解决方案

·3.6.1密码生命周期（如密钥管理、算法挑选） ·3.6.2加密方法（如对称、非对称、椭圆曲线、量子） ·3.6.3公钥基础设施（PKT） ·3.6.4密钥管理实践规范 ·3.6.5数字签名和数字证书 ·3.6.6不可否认性 ·3.6.7完整性（如哈希）

·3.7理解密码分析攻击方法

·3.7.1暴力破解 ·3.7.2唯密文 ·3.7.3已知明文 ·3.7.4频率分析 ·3.7.5选择密文 ·3.7.6实现攻击 ·3.7.7边信道 ·3.7.8故障注入 ·3.7.9计时 ·3.7.10中间人（MITM）

第八章

·3.1利用安全设计原则研究、实施和管理工程过程

·3.1.4默认安全配置 ·3.1.5失效安全 ·3.1.7保持简单 ·3.1.8零信任 ·3.1.9通过设计保护隐私 ·3.1.10信任但要验证

·3.2了解安全模型的基本概念（例如Biba、星形模型、Bell-LaPadula）

·3.3根据系统安全要求选择控制

·3.4了解信息系统（IS）的安全能力（例如内存保护、可信平台模块、加密/解密）

第九章

·3.1利用安全设计原则研究、实施和管理工程过程

·3.1.11共担责任

·3.5评价和抑制安全架构、设计和解决方案元素的漏洞

·3.5.1基于客户端的系统 ·3.5.2基于服务器端的系统 ·3.5.5工业控制系统（ICS） ·3.5.7分布式系统 ·3.5.8物联网（ToT） ·3.5.9微服务 ·3.5.10容器化 ·3.5.11无服务器 ·3.5.12嵌入式系统 ·3.5.13高性能计算（HPC）系统 ·3.5.14边缘计算系统 ·3.5.15虚拟化系统

第十章

·3.8站点与设施设计的安全原则

·3.9站点与设施安全控制设计

·3.9.1配线间/中间布线设施 ·3.9.2服务器间/数据中心 ·3.9.3介质存储设施 ·3.9.4证据存储 ·3.9.5受限区与工作区安全 ·3.9.6基础设施与HVAC ·3.9.7环境问题 ·3.9.8火灾预防、探测与消防 ·3.9.9电源（如冗余、备份）

第十四章

·3.7理解密码分析攻击方法

·3.7.11哈希传递攻击 ·3.7.12 Kerberos 漏洞利用

第十六章

·3.1利用安全设计原则研究、实施和管理工程过程

·3.1.2最低特权 ·3.1.6职责分离（SoD）

·3.5评价和抑制安全架构、设计和解决方案元素的漏洞

·3.5.6基于云的系统（例如，软件即服务（SaaS）、基础架构即服务（laaS）、平台即服务（Paas））

第二十章

·3.5评价和抑制安全架构、设计和解决方案元素的漏洞

·3.5.3数据库系统

第二十一章

·3.7理解密码分析攻击方法

·3.7.13勒索软件

域4通信与网络安全

第十一章

·4.1评估并实施网络架构中的安全设计原则

·4.1.1OSI模型和TCP/IP模型 ·4.1.2互联网协议（P）网络（如互联网协议安全（IPSec）、互联网协议（IP）v4/6） ·4.1.3安全协议 ·4.1.4多层协议的含义 ·4.1.5融合协议（如以太网光纤通道（FCoE）、互联网小型计算机系统接口（iSCSID、 互联网语音协议（VolP）） ·4.1.6微分网段（如软件定义网络（SDN）、虚拟可扩展局域网（VXLAN）、封装、软 件定义广域网（SD-WAN）） ·4.1.7无线网络（如LiFi、Wi-Fi、Zigbee、卫星） ·4.1.8蜂窝网络（如4G、5G） ·4.1.9内容分发网络（CDN）

·4.2安全的网络组件

·4.2.1硬件操作（如冗余电源、保修、支持） ·4.2.2传输介质 ·4.2.3网络访问控制（NAC）设备 ·4.2.4端点安全

第十二章

·4.1评估并实施网络架构中的安全设计原则

·4.1.2互联网协议（IP）网络（如互联网协议安全（IPsec）、互联网协议（IP）v4/6）

·4.3按照设计实现安全通信通道

·4.3.1语音 ·4.3.2多媒体协作 ·4.3.3远程访问 ·4.3.4数据通信 ·4.3.5虚拟化网络 ·4.3.6第三方连接

域5身份和访问管理

第十三章

·5.1资产的物理和逻辑访问控制

·5.1.1信息 ·5.1.2系统 ·5.1.3设备 ·5.1.4设施 ·5.1.5应用

·5.2管理人员、设备和服务的标识和认证

·5.2.1身份管理（IdM）实施 ·5.2.2单因素/多因素身份认证（MFA） ·5.2.3问责 ·5.2.4会话管理 ·5.2.5身份注册、证明和创建 ·5.2.6联合身份管理（FM） ·5.2.7凭证管理系统 ·5.2.8单点登录（SSO） ·5.2.9准时制（JIT）

·5.3通过第三方服务进行联合身份认证

·5.3.1本地部署 ·5.3.2云部署 ·5.3.3混合模式

·5.5管理身份和访问配置生命周期

·5.5.1账户访问审查（如用户、系统、服务） ·5.5.2配置和取消配置（如入职、离职和调动） ·5.5.3角色定义（如分配到新角色的人员）

第十四章

·5.4授权机制的实现和管理

·5.4.1基于角色的访问控制（RBAC） ·5.4.2基于规则的访问控制 ·5.4.3强制访问控制（MAC） ·5.4.4自主访问控制（DAC） ·5.4.5基于属性的访问控制（ABAC） ·5.4.6基于风险的访问控制

·5.5管理身份和访问配置生命周期

·5.5.4特权提升（如托管服务账户、使用sudo、最小化使用）

·5.6实施身份认证系统

·5.6.1OpenID Connect（OIDC）/开放授权（Oauth） ·5.6.2安全断言标记语言（SAML） ·5.6.3 Kerberos ·5.6.4远程认证拨入用户服务（RADIUS）/增强型终端访问控制器访问控制系统 （TACACS+）

域6安全评估与测试

第十五章

·6.1设计和验证评估、测试和审计策略

·6.1.1内部 ·6.1.2外部 ·6.1.3第三方

·6.2进行安全控制测试

·6.2.1漏洞评估 ·6.2.2渗透测试 ·6.2.3日志审查 ·6.2.4模拟事务 ·6.2.5代码审查和测试 ·6.2.6误用案例测试 ·6.2.7测试覆盖率分析 ·6.2.8接口测试 ·6.2.9入侵攻击模拟 ·6.2.10合规性检查

·6.3收集安全过程数据（如技术和管理）

·6.3.1账户管理 ·6.3.2管理评审和批准 ·6.3.3关键绩效和风险指标 ·6.3.4备份验证数据 ·6.3.5培训和意识

·6.4分析测试输出并生成报告

·6.4.1补救措施 ·6.4.2异常处理 ·6.4.3道德披露

·6.5执行或协助安全审计

·6.5.1内部 ·6.5.2外部 ·6.5.3第三方

第十八章

·6.3收集安全过程数据（如技术和管理）

·6.3.5培训和意识 ·6.3.6灾难恢复（DR）和业务连续性（BC）

域7安全运营

第三章

7.13参与业务连续性（BC）计划和演练

第十章

·7.14物理安全的实现与管理

·7.14.1边界安全控制 ·7.14.2内部安全控制

第十一章

·7.7运行和维护检测与预防措施

·7.7.1防火墙（如下一代防火墙、Web应用防火墙、网络防火墙）

第十六章

·7.3执行配置管理（CM）（如配置、基线、自动化）

·7.4应用基本的安全运营概念·7.4.1因需可知/最小特权

·7.4.2职责分离（SoD）和责任 ·7.4.3特权账户管理 ·7.4.4岗位轮换 ·7.4.5服务水平协议（SLA）

·7.5应用资源保护·7.5.1媒介管理

·7.5.2媒介保护技术

·7.8实施并支持补丁和漏洞管理

·7.9理解并参与变更管理流程

·7.15解决人员安全问题

·7.15.1出差 ·7.15.2安全培训和意识 ·7.15.3应急管理 ·7.15.4胁迫

第十七章

·7.2开展日志记录和监控活动

·7.2.1入侵检测和预防 ·7.2.2安全信息和事件管理（SIEM） ·7.2.3持续监控 ·7.2.4出口监控 ·7.2.5日志管理 ·7.2.6威胁情报（如威胁馈送、威胁搜寻）

·7.6实施事件管理

·7.6.1检测 ·7.6.2响应 ·7.6.3抑制 ·7.6.4报告 ·7.6.5恢复 ·7.6.6补救 ·7.6.7总结教训

·7.7运行和维护检测与预防措施

·7.7.2入侵检测系统（IDS）和入侵预防系统（IPS） ·7.7.3白名单/黑名单 ·7.7.4第三方提供安全服务 ·7.7.5沙箱 ·7.7.6蜜罐/蜜网 ·7.7.7反恶意软件 ·7.7.8基于机器学习和人工智能（A）的工具

第十八章

·7.10实施恢复策略

·7.10.1备份存储策略 ·7.10.2恢复站点策略 ·7.10.3多处理站点 ·7.10.4系统韧性、高可用性（HA）、服务质量（QoS）和容错能力

·7.11实施灾难恢复（DR）流程

·7.11.1响应 ·7.11.2人员 ·7.11.3通信 ·7.11.4评估 ·7.11.5恢复 ·7.11.6培训和意识 ·7.11.7经验教训

·7.12测试灾难恢复计划（DRP）

·7.12.1通读测试 ·7.12.2结构化演练 ·7.12.3模拟测试·7.12.4并行测试 ·7.12.5完全中断测试

第十九章

·7.1理解和遵守调查

·7.1.1证据收集和处理 ·7.1.2报告和文档 ·7.1.3调查技术 ·7.1.4数字取证工具、策略和程序 ·7.1.5工件（如计算机、网络、移动设备）

第二十一章

·7.2开展日志记录和监控活动

·7.2.7用户和实体行为分析（UEBA）

·7.7运行和维护检测与预防措施

·7.7.7反恶意软件

域8软件开发安全

第十五章

·8.2识别并应用软件开发生态系统中的安全控制

·8.2.10应用程序安全测试（如静态应用程序安全测试（SAST）、动态应用程序安全测试DAST）

第十六章

8.4评估所购软件对安全的影响

·8.4.4托管服务（例如.软件即服务（SaaS）、基础架构即服务（laaS）、平台即服务（PaaS））

第十七章

·8.2识别并应用软件开发生态系统中的安全控制

·8.2.7安全编排、自动化和响应（SOAR）

第二十章

·8.1理解并集成软件开发生命周期（SDLC）中的安全

·8.1.1开发方法（如敏捷、瀑布、DevOps、DevSecOps） ·8.1.2成熟度模型（如能力成熟度模型（CMM）、软件保证成熟度模型（SAMM）） ·8.1.3运营和维护 ·8.1.4变更管理 ·8.1.5集成产品团队（IPT）

·8.2识别并应用软件开发生态系统中的安全控制

·8.2.1编程语言 ·8.2.2库 ·8.2.3工具集 ·8.2.4集成开发环境（IDE） ·8.2.5运行时 ·8.2.6持续集成和持续交付（CIVCD） ·8.2.8软件配置管理（SCM） ·8.2.9代码库

·8.3评估软件安全的有效性

·8.3.1审核和记录变更

·8.4评估所购软件对安全的影响

·8.4.1商用现货（COTS） ·8.4.2开放源码 ·8.4.3第三方

·8.5定义并应用安全编码指南和标准

·8.5.2API的安全性 ·8.5.3安全编码实践 ·8.5.4软件定义的安全性

第二十一章

·8.2识别并应用软件开发生态系统中的安全控制

·8.3评估软件安全的有效性

·8.3.2风险分析和缓解

·8.5定义并应用安全编码指南和标准

·8.5.1源代码级别的安全弱点和漏洞

自由主题