CISSP改版本大纲纲要

(ISC)2CISSPOfficialGuide第四版第一章安全与风险管理安全与风险管理的看法机密性、完满性与可用性机密性完满性可用性安全治理组织的目标Goals、使命Mission与任务Objectives组织流程安全角色与职责信息安全策略完满与有效的安全系统看守委员会控制框架应有的关注duecare应尽的职责duediligence合规性（原法律法规章节）治理、风险与合规（GRC）法律与法规合规隐私需求合规全球性法律与法规问题（原法律法规章节）计算机犯罪版权与知识产权进出口跨国界数据传输隐私数据泄露相关法律法规理解专业道德（原法律法规章节）道德系统的法规需求计算机道德的主题般计算机道德的谬论黑客行为与黑客主义道德规范的指引与资源ISC2的专业道德规范支持组织的道德规范开发与推行安全策略业务连续性与灾害恢复需求（原BCP与DRP章节项目启动与管理设计并定义项目范围与计划推行业务影响解析（BIA）鉴别与分级评估灾害的影响恢复点目标（RPO）管理人员安全背景检查聘用协议与策略雇员离职程序供应商、顾问与合同工控制隐私风险管理的看法组织风险管理看法风险评估方法论鉴别威胁与纤弱性风险评估与解析控制措施选择推行风险控制措施控制的种类接见控制的种类控制评估、监控与测量实物与非实物财富议论连续改进风险管理框架威胁建模决定可能的攻击与降低解析减小威胁的技术与流程采买策略与实践硬件、软件与服务管理第三方供应商最小的安全与服务级别需求安全教育、培训与意识正式的安全意识培训意识活动与防范-创办组织的安全文化第二章财富安全（新增章节）财富安全看法数据管理：决定与保护所有者数据策略角色与责任数据所有者数据保留者数据质量数据文件化与组织化数据标准数据生命周期控制数据定义与建模数据库保护数据审计数据储藏与归档数据寿命与使用数据安全数据接见、共享与流传数据宣布信息分级与支持财富财富管理软件版权设施生命周期保护隐私保证合适的保留介质、硬件和人员企业“X”数据保留策略数据安全控制静态的数据传输的数据基线范围与裁剪标准选择美国的资源全球的资源国家网络安全框架手册提升要点基础推行网络安全的框架第三章安全工程（新增章节、交融了安全架构、物理安全、密码学等在工程生命周期中应用安全设计原则安全模型的基本看法通用系统组件他们如何一起工作企业安全架构通用架构框架Zachman框架获取和解析需求创办和设计安全架构信息系统安全议论模型通用正式安全模型产议论论模型业界和国际安全推行指南安全架构的漏洞系统技术与流程集成单点故障客户端的漏洞服务端的漏洞数据库安全大型可扩展并行数据系统分布式系统加密系统软件和系统的漏洞与威胁Web安全搬动系统的漏洞远程计算的风险搬动办公的风险嵌入式设施和网络物理系统的漏洞密码学应用密码学历史新出现的而技术中心信息安全原则密码系统的附加特点密码生命周期公钥基础设施（PKI）密钥管理流程密钥的创办与发散数字签字数字版权管理抗狡辩哈希单向哈希函数加密攻击的方法站点和设施的设计考虑安全检查站点规划路径设计经过环境设计来防范犯罪（CPTED）窗户设施安全的设计与推行设施安全的推行与运营通信与服务器机房地域划分与地域安全限制数据中心安全第四章通信与网络安全通信与网络安全看法安全网络架构与设计OSI与TCP/IPIP组网目录服务多层协议的含义各样协议推行VOIP网络无线网络无线安全问题加密来保证通信安全网络组件安全硬件传输介质网络接见控制设施终端安全内容发散网络（CDN）通信通道安全多媒体开放协议、应用与服务远程接见数据通信虚假化网络网络攻击网络作为攻击通道网络作为防范堡垒网络安全目标与攻击模式扫描技术安全事件管理（SEM）IP碎片攻击与捏造包

拒绝服务与分布式拒绝服务攻击欺骗会话挟持第五章身份与接见管理原接见控制章节）身份与接见管理看法财富的物理与逻辑接见人员和设施的身份鉴别与认证身份鉴别、认证与授权身份管理推行密码管理账户管理用户配置管理目录管理目录技术单/多因素认证可审计性会话管理身份的注册与考据证书管理系统身份即服务（IDaaS）集成第三方身份服务授权体系的推行与管理基于角色的接见控制基于规则的接见控制逼迫接见控制自主接见控制防范或缓解对接见控制攻击WindowsPowerShell相关命令鉴别与接见规定的生命周期规定回顾撤掉第六章安全评估与测试（新增章节）安全评估与测试看法评估与测试策略软件开发生为系统设计的一部分日志审察虚假交易代码审察与测试负向测试/滥用用力测试接口测试收集安全流程数据内部与第三方审计SOC报告选项第七章安全运营（交融了原DRP、物理安全、检查取证等相关内容）安全运营看法检查（原法律法规吻合性“检查取证章节）犯刑场景策略、角色与责任事件办理与响应恢复阶段凭据收集与办理报告与记录凭据收集与办理连续监控数据防泄露（DLP）为资源供应配置管理安全运营的基本看法要点主题控制特权账户使用组和角色管理账户职责分别监控特别权限工作轮换管理信息生命周期服务级别管理资源保护（原物理安全章节）实物财富与非实物财富硬件介质管理事件响应事件管理安全胸襟与报告管理安全技术检测响应报告恢复维修与回顾（经验学习）针对攻击的防守性措施非授权泄密网络入侵检测系统架构白名单、黑名单、灰名单第三方安全服务、沙箱、恶意代码防范、蜜罐和蜜网补丁和漏洞管理安全与补丁信息资源改正与配置管理配置管理恢复站点策略多办理中心系统弹性与容错需求灾害恢复流程（原DRP章节）创办计划响应人员通信评估还原供应培训计划的演练、评估与保护演练计划回顾桌面演练仿真演练并行演练中断演练计划的更新与演练业务连续性与其他风险领域界线安全的推行与运维接见控制（原物理安全章节）智能卡种类闭路电视内部安全建筑物内部安全人员安全隐私出差威胁第八章软件开发生命周期安全软件开发生命周期安全看法软件开发安全大纲开发生命周期成熟度模型操作与保护改正管理DevOps（与产品运维集成）环境与安全控制软件开发方法数据库与数据库房环境数据库漏洞与威胁数据库控制知识