CISSP第九版的整体框架

·1.2.1保密性、完整性、可用性、真实性和不可否认性

·1.3.1安全功能与业务战略、目标、使命和宗旨保持一致<br>·1.3.2组织流程（如收购、资产剥离、治理委员会）<br>·1.3.3组织的角色与责任<br>·1.3.4安全控制框架<br>·1.3.5应尽关心和尽职审查

·1.12.1与硬件、软件和服务相关的风险<br>·1.12.2第三方评估与监测<br>·1.12.3最低安全要求<br>·1.12.4服务水平要求

·1.9.1候选人筛选与招聘<br>·1.9.2雇佣协议及策略<br>·1.9.3入职、调动和离职程序<br>·1.9.4供应商、顾问和承包商的协议和控制<br>·1.9.5合规策略要求<br>·1.9.6隐私策略要求

·1.10.1识别威胁和脆弱性<br>·1.10.2风险评估/分析<br>·1.10.3风险响应<br>·1.10.4选择与实施控制措施<br>·1.10.5适用的控制类型（如预防、检测、纠正）<br>·1.10.6控制评估（安全与隐私）<br>·1.10.7监控和测量<br>·1.10.8报告<br>·1.10.9持续改进（如风险成熟度模型）<br>·1.10.10风险框架

·1.13.1展示意识和培训的方法和技巧（如社会工程、网络钓鱼、安全带头人、游戏化）<br>·1.13.2定期内容评审<br>·1.13.3计划有效性评估

·1.8.1业务影响分析（BIA）<br>·1.8.2制订并记录范围和计划

·1.4.1合同、法律、行业标准和监管要求<br>·1.4.2隐私要求

·1.5.1网络犯罪和数据泄露<br>·1.5.2许可和知识产权（IP）要求<br>·1.5.3进口/出口控制<br>·1.5.4跨境数据流

·1.1.1ISC职业道德规范<br>·1.1.2组织道德规范<br>·1.6了解各类调查的要求（即行政、刑事、民事、监管、行业标准）

·2.1.1数据分类<br>·2.1.2资产分类

·2.4.1数据角色（如所有者、控制者、托管人员、处理者、用户/主体）<br>·2.4.2数据收集<br>·2.4.3数据位置<br>·2.4.4数据维护<br>·2.4.5数据留存<br>·2.4.6数据残留<br>·2.4.7数据销毁

·2.6.1数据状态（如使用中、传输中、静态）<br>·2.6.2范围界定和按需定制<br>·2.6.3标准选择<br>·2.6.4数据保护方法（如数字版权管理（DRM）、数据丢失预防（DLP）、云访问安全代<br>理（CASB））

·2.3.1信息和资产所有权<br>·2.3.2资产列表（如有形、无形）<br>·2.3.3资产管理

·3.1.1威胁建模<br>·3.1.3纵深防御

·3.5.4密码系统<br>

·3.6.1密码生命周期（如密钥管理、算法挑选）<br>·3.6.2加密方法（如对称、非对称、椭圆曲线、量子）<br>·3.6.6不可否认性<br>·3.6.7完整性（如哈希）

·3.5.4密码系统

·3.6.1密码生命周期（如密钥管理、算法挑选）<br>·3.6.2加密方法（如对称、非对称、椭圆曲线、量子）<br>·3.6.3公钥基础设施（PKT）<br>·3.6.4密钥管理实践规范<br>·3.6.5数字签名和数字证书<br>·3.6.6不可否认性<br>·3.6.7完整性（如哈希）

·3.7.1暴力破解<br>·3.7.2唯密文<br>·3.7.3已知明文<br>·3.7.4频率分析<br>·3.7.5选择密文<br>·3.7.6实现攻击<br>·3.7.7边信道<br>·3.7.8故障注入<br>·3.7.9计时<br>·3.7.10中间人（MITM）

·3.1.4默认安全配置<br>·3.1.5失效安全<br>·3.1.7保持简单<br>·3.1.8零信任<br>·3.1.9通过设计保护隐私<br>·3.1.10信任但要验证

·3.1.11共担责任

·3.5.1基于客户端的系统<br>·3.5.2基于服务器端的系统<br>·3.5.5工业控制系统（ICS）<br>·3.5.7分布式系统<br>·3.5.8物联网（ToT）<br>·3.5.9微服务<br>·3.5.10容器化<br>·3.5.11无服务器<br>·3.5.12嵌入式系统<br>·3.5.13高性能计算（HPC）系统<br>·3.5.14边缘计算系统<br>·3.5.15虚拟化系统

·3.9.1配线间/中间布线设施<br>·3.9.2服务器间/数据中心<br>·3.9.3介质存储设施<br>·3.9.4证据存储<br>·3.9.5受限区与工作区安全<br>·3.9.6基础设施与HVAC<br>·3.9.7环境问题<br>·3.9.8火灾预防、探测与消防<br>·3.9.9电源（如冗余、备份）

·3.7.11哈希传递攻击<br>·3.7.12&nbsp;Kerberos&nbsp;漏洞利用

·3.1.2最低特权<br>·3.1.6职责分离（SoD）

·3.5.6基于云的系统（例如，软件即服务（SaaS）、基础架构即服务（laaS）、平台即服务（Paas））

·3.5.3数据库系统

·3.7.13勒索软件

·4.1.1OSI模型和TCP/IP模型<br>·4.1.2互联网协议（P）网络（如互联网协议安全（IPSec）、互联网协议（IP）v4/6）<br>·4.1.3安全协议<br>·4.1.4多层协议的含义<br>·4.1.5融合协议（如以太网光纤通道（FCoE）、互联网小型计算机系统接口（iSCSID、<br>互联网语音协议（VolP））<br>·4.1.6微分网段（如软件定义网络（SDN）、虚拟可扩展局域网（VXLAN）、封装、软<br>件定义广域网（SD-WAN））<br>·4.1.7无线网络（如LiFi、Wi-Fi、Zigbee、卫星）<br>·4.1.8蜂窝网络（如4G、5G）<br>·4.1.9内容分发网络（CDN）

·4.2.1硬件操作（如冗余电源、保修、支持）<br>·4.2.2传输介质<br>·4.2.3网络访问控制（NAC）设备<br>·4.2.4端点安全

·4.1.2互联网协议（IP）网络（如互联网协议安全（IPsec）、互联网协议（IP）v4/6）

·4.3.1语音<br>·4.3.2多媒体协作<br>·4.3.3远程访问<br>·4.3.4数据通信<br>·4.3.5虚拟化网络<br>·4.3.6第三方连接

·5.1.1信息<br>·5.1.2系统<br>·5.1.3设备<br>·5.1.4设施<br>·5.1.5应用

·5.2.1身份管理（IdM）实施<br>·5.2.2单因素/多因素身份认证（MFA）<br>·5.2.3问责<br>·5.2.4会话管理<br>·5.2.5身份注册、证明和创建<br>·5.2.6联合身份管理（FM）<br>·5.2.7凭证管理系统<br>·5.2.8单点登录（SSO）<br>·5.2.9准时制（JIT）

·5.3.1本地部署<br>·5.3.2云部署<br>·5.3.3混合模式

·5.5.1账户访问审查（如用户、系统、服务）<br>·5.5.2配置和取消配置（如入职、离职和调动）<br>·5.5.3角色定义（如分配到新角色的人员）

·5.4.1基于角色的访问控制（RBAC）<br>·5.4.2基于规则的访问控制<br>·5.4.3强制访问控制（MAC）<br>·5.4.4自主访问控制（DAC）<br>·5.4.5基于属性的访问控制（ABAC）<br>·5.4.6基于风险的访问控制

·5.5.4特权提升（如托管服务账户、使用sudo、最小化使用）

·5.6.1OpenID&nbsp;Connect（OIDC）/开放授权（Oauth）<br>·5.6.2安全断言标记语言（SAML）<br>·5.6.3&nbsp;Kerberos<br>·5.6.4远程认证拨入用户服务（RADIUS）/增强型终端访问控制器访问控制系统<br>（TACACS+）

·6.1.1内部<br>·6.1.2外部<br>·6.1.3第三方

·6.2.1漏洞评估<br>·6.2.2渗透测试<br>·6.2.3日志审查<br>·6.2.4模拟事务<br>·6.2.5代码审查和测试<br>·6.2.6误用案例测试<br>·6.2.7测试覆盖率分析<br>·6.2.8接口测试<br>·6.2.9入侵攻击模拟<br>·6.2.10合规性检查

·6.3.1账户管理<br>·6.3.2管理评审和批准<br>·6.3.3关键绩效和风险指标<br>·6.3.4备份验证数据<br>·6.3.5培训和意识

·6.4.1补救措施<br>·6.4.2异常处理<br>·6.4.3道德披露

·6.5.1内部<br>·6.5.2外部<br>·6.5.3第三方

·6.3.5培训和意识<br>·6.3.6灾难恢复（DR）和业务连续性（BC）

·7.14.1边界安全控制<br>·7.14.2内部安全控制

·7.7.1防火墙（如下一代防火墙、Web应用防火墙、网络防火墙）

·7.4.2职责分离（SoD）和责任<br>·7.4.3特权账户管理<br>·7.4.4岗位轮换<br>·7.4.5服务水平协议（SLA）

·7.5.2媒介保护技术

·7.15.1出差<br>·7.15.2安全培训和意识<br>·7.15.3应急管理<br>·7.15.4胁迫

·7.2.1入侵检测和预防<br>·7.2.2安全信息和事件管理（SIEM）<br>·7.2.3持续监控<br>·7.2.4出口监控<br>·7.2.5日志管理<br>·7.2.6威胁情报（如威胁馈送、威胁搜寻）

·7.6.1检测<br>·7.6.2响应<br>·7.6.3抑制<br>·7.6.4报告<br>·7.6.5恢复<br>·7.6.6补救<br>·7.6.7总结教训

·7.7.2入侵检测系统（IDS）和入侵预防系统（IPS）<br>·7.7.3白名单/黑名单<br>·7.7.4第三方提供安全服务<br>·7.7.5沙箱<br>·7.7.6蜜罐/蜜网<br>·7.7.7反恶意软件<br>·7.7.8基于机器学习和人工智能（A）的工具

·7.10.1备份存储策略<br>·7.10.2恢复站点策略<br>·7.10.3多处理站点<br>·7.10.4系统韧性、高可用性（HA）、服务质量（QoS）和容错能力<br>

·7.11.1响应<br>·7.11.2人员<br>·7.11.3通信<br>·7.11.4评估<br>·7.11.5恢复<br>·7.11.6培训和意识<br>·7.11.7经验教训

·7.12.1通读测试<br>·7.12.2结构化演练<br>·7.12.3模拟测试·7.12.4并行测试<br>·7.12.5完全中断测试

·7.1.1证据收集和处理<br>·7.1.2报告和文档<br>·7.1.3调查技术<br>·7.1.4数字取证工具、策略和程序<br>·7.1.5工件（如计算机、网络、移动设备）

·7.2.7用户和实体行为分析（UEBA）

·7.7.7反恶意软件

·8.2.10应用程序安全测试（如静态应用程序安全测试（SAST）、动态应用程序安全测试DAST）

·8.4.4托管服务（例如.软件即服务（SaaS）、基础架构即服务（laaS）、平台即服务（PaaS））

·8.2.7安全编排、自动化和响应（SOAR）

·8.1.1开发方法（如敏捷、瀑布、DevOps、DevSecOps）<br>·8.1.2成熟度模型（如能力成熟度模型（CMM）、软件保证成熟度模型（SAMM））<br>·8.1.3运营和维护<br>·8.1.4变更管理<br>·8.1.5集成产品团队（IPT）

·8.2.1编程语言<br>·8.2.2库<br>·8.2.3工具集<br>·8.2.4集成开发环境（IDE）<br>·8.2.5运行时<br>·8.2.6持续集成和持续交付（CIVCD）<br>·8.2.8软件配置管理（SCM）<br>·8.2.9代码库

·8.3.1审核和记录变更

·8.4.1商用现货（COTS）<br>·8.4.2开放源码<br>·8.4.3第三方

·8.5.2API的安全性<br>·8.5.3安全编码实践<br>·8.5.4软件定义的安全性

·8.3.2风险分析和缓解

·8.5.1源代码级别的安全弱点和漏洞