CISSP認證是信息安全領域的權威認證,由國際信息系統(tǒng)安全認證協(xié)會(ISC)2提供。它評估個人在信息安全領域的知識和技能,包括安全管理、安全架構、安全工程、安全運營等方面。獲得CISSP認證可以證明持證人具備專業(yè)的信息安全知識和能力。
- 中文名CISSP信息安全專家認證
- 英文名Certified Information Security Systems Professional
- 英文簡稱CISSP
- 頒證機構(ISC)2(國際信息系統(tǒng)安全認證協(xié)會)
- 證書類別信息安全
- 同類認證CISM、CRISC、CISA
《CISSP官方學習手冊》
CISSP官方教材選用官方推薦的《CISSP Official Study Guide》(簡稱OSG),中文名《CISSP官方學習指南》(或《CISSP官方學習手冊》),它是CISSP認證考試的基礎。
目前OSG的_新版是第9版:《CISSP Official Study Guide,Ninth Edition》(英文版,于2021年出版),《CISSP官方學習手冊(第9版)》(中文版,于2022年12月出版)。《CISSP官方學習手冊(第9版)》涵蓋風險管理、云計算、移動安全、應用開發(fā)安全等關鍵安全議題,總結全球領~先~的網(wǎng)絡安全實踐。
備注:
1、除了《CISSP Official Study Guide》(OSG)外,其他推薦參考書目有:《CISSP All in One Exam Guide》、《The Official (ISC)2 CISSP CBK Reference》等。
2、OSG,適合基礎好的考生;All in one,適合基礎相對較一般的考生。學員可以選擇更適合自己的參考書目。
《CISSP官方學習手冊(第9版)》目錄結構
CISSP知識體系介紹
CISSP的知識體系是CBK ( Common Body of Knowledge) 八大知識域。CBK 知識域涵蓋了信息安全專業(yè)人士普遍關注的各種信息安全關鍵性議題,并定期更新,以反映全球_新的_佳實踐。同時建立了一個信息安全概念和原理的通用框架,以供探討、辯論、解決業(yè)內(nèi)難題。
CISSP CBK包含以下八大知識域:(2021年5月1日起實施)
CISSP-CBK( Common Body of Knowledge)八大安全專業(yè)知識體系 |
1 | 安全與風險管理 | 安全、風險、合規(guī)、法律、法規(guī)、業(yè)務連續(xù)性 |
2 | 資產(chǎn)安全 | 保護資產(chǎn)的安全性 |
3 | 安全工程 | 安全工程與管理 |
4 | 通信與網(wǎng)絡安全 | 設計和保護網(wǎng)絡安全 |
5 | 身份與訪問管理 | 訪問控制和身份管理 |
6 | 安全評估與測試 | 設計、執(zhí)行和分析安全測試 |
7 | 安全運營 | 基本概念、調(diào)查、事件管理、災難恢復 |
8 | 軟件開發(fā)安全 | 理解、應用和實施軟件安全 |
CISSP CBK八大知識域
1 安全與風險管理
- 1.1 理解、遵從與提升職業(yè)道德
- 1.2 理解和應用安全概念
- 1.3 評估和應用安全治理的原理
- 1.4 確定合規(guī)性和其他要求
- 1.5 理解在全球背景下與信息安全相關的法律和監(jiān)管問題
- 1.6 理解調(diào)查類型的要求(即行政、刑事、民事、監(jiān)管、行業(yè)標準)
- 1.7 制定、記錄和實施安全政策、標準、程序和指南
- 1.8 對業(yè)務連續(xù)性 (BC) 要求進行識別、分析及優(yōu)先級排序
- 1.9 協(xié)助制定和實施人員安全政策和程序
- 1.10 理解并應用風險管理概念
- 1.11 理解并應用威脅建模的概念和方法
- 1.12 應用供應鏈風險管理 (SCRM) 概念
- 1.13 制定并維護安全意識、教育和培訓計劃
2 資產(chǎn)安全
- 2.1 識別并分類信息和資產(chǎn)
- 2.2 制定信息和資產(chǎn)處理要求
- 2.3 安全配置資源
- 2.4 管理數(shù)據(jù)生命周期
- 2.5 確保適當?shù)馁Y產(chǎn)保留(例如,使用壽命結束 (EOL),支持結束 (EOS))
- 2.6 確定數(shù)據(jù)安全控制和合規(guī)要求
3 安全工程
- 3.1 使用安全設計原理來研究、實施與管理工程過程
- 3.2 理解安全模型的基本概念(例如 Biba、Star Model、Bell-LaPadula 等模型)
- 3.3 基于系統(tǒng)安全要求選擇控制措施
- 3.4 理解信息系統(tǒng) (IS) 的安全功能(例如:內(nèi)存保護、可信賴平臺模塊 (TPM)、加密/解密)
- 3.5 評估并降低安全架構、設計和解決方案方面的漏洞
- 3.6 選擇和確定加密解決方案
- 3.7 理解密碼分析攻擊方法
- 3.8 將安全原理運用到場所與設施的設計上
- 3.9 設計場所和設施安全控制措施
4 通信與網(wǎng)絡安全
- 4.1 評估和實施網(wǎng)絡架構中的安全設計原則
- 4.2 安全的網(wǎng)絡組件
- 4.3 根據(jù)設計實施安全通信通道
- D. 防護或減緩網(wǎng)絡攻擊
5 身份與訪問管理
- 5.1 控制對資產(chǎn)的物理和邏輯訪問
- 5.2 管理對人員、設備和服務的身份認證與驗證
- 5.3 通過第三方服務進行聯(lián)合身份驗證
- 5.4 實施和管理授權機制
- 5.5 管理身份和訪問配置生命周期
- 5.6 部署身份驗證系統(tǒng)
6 安全評估與測試
- 6.1 設計和驗證評估、測試和審計策略
- 6.2 進行安全控制測試
- 6.3 收集安全過程數(shù)據(jù)(例如,技術和管理)
- 6.4 分析測試輸出并生成報告
- 6.5 執(zhí)行或協(xié)助安全審計
7 安全運營
- 7.1 理解并遵守調(diào)查
- 7.2 執(zhí)行記錄和監(jiān)控活動
- 7.3 執(zhí)行配置管理 (CM)(例如,預配、基線、自動化)
- 7.4 應用基本的安全操作概念
- 7.5 應用資源保護
- 7.6 執(zhí)行事故管理
- 7.7 執(zhí)行和維護檢測和預防措施
- 7.8 實施和支持補丁和漏洞管理
- 7.9 理解并參與變更管理過程
- 7.10 執(zhí)行恢復策略
- 7.11 執(zhí)行災難恢復 (DR) 過程
- 7.12 測試災難恢復計劃 (DRP)
- 7.13 參與業(yè)務連續(xù)性 (BC) 計劃的制定和演練
- 7.14 執(zhí)行并管理物理安全
- 7.15 解決人員安全問題
8 軟件開發(fā)安全
- 8.1 理解安全并將其融入軟件開發(fā)生命周期 (SDLC) 中
- 8.2 在軟件開發(fā)環(huán)境中識別和應用安全控制
- 8.3 評估軟件安全的有效性
- 8.4 評估獲得軟件對安全的影響
- 8.5 定義并應用安全編碼準則和標準
點此查看_新中文考試大綱>>
CISSP知識體系圖譜