2018年CISSP認(rèn)證新版考試大綱與舊版對比解析

來源：塔塔 更新時間：2018-04-15

更多

2018年4月CISSP認(rèn)證新版考試大綱與舊版解析

ISC2對CISSP國際注冊信息系統(tǒng)安全專家認(rèn)證考試發(fā)布更新考試大綱通告，請注意從2018年4月開始，CISSP考試將以新的考試大綱為基礎(chǔ)。

為了方便廣大學(xué)友學(xué)習(xí)備考，我們把即將啟用的新大綱與2015年4月15日發(fā)布的考試大綱做了比較分析。

八大知識域沒有大的變化，權(quán)重略有調(diào)整，細(xì)節(jié)略有調(diào)整。

CISSP新版大綱考試內(nèi)容及權(quán)重對比表

2018年CISSP考試大綱與2015考試大綱知識點對比

01 安全與風(fēng)險管理（15%）

A．理解并應(yīng)用保密性、完整性和可用性的概念

B．應(yīng)用安全治理原則

C．合規(guī)

D．在全球化背景下理解與信息安全相關(guān)的法律和法規(guī)問題

其中刪除D.6 數(shù)據(jù)泄露

E．理解、遵守并提升職業(yè)道德

F．制定、文檔化并實施安全策略、標(biāo)準(zhǔn)、程序和方針

G．識別、分析并排列優(yōu)先級業(yè)務(wù)連續(xù)性需求

H．促進(jìn)和強(qiáng)化人員安全策略

I．理解與應(yīng)用風(fēng)險管理的概念

J．理解與運用威脅建模

2015版的J.1—J.4重新定義為：

J.1．威脅建模方法論

J.2．威脅建模概念

K．應(yīng)用基于風(fēng)險的管理概念至供應(yīng)鏈

L．建立并管理安全意識、教育和培訓(xùn)項目群

增加L.3 項目群效果評價

02 資產(chǎn)安全（10%）

A．識別并分類信息和資產(chǎn)

增加

A.1 數(shù)據(jù)分類

A.2 資產(chǎn)分類

B．確定并維護(hù)所有權(quán)（例如：數(shù)據(jù)所有者、系統(tǒng)所有者、業(yè)務(wù)/使命所有者）

C．保護(hù)隱私

D．確保適當(dāng)?shù)臄?shù)據(jù)保留（例如：介質(zhì)、硬件、人員）

E．確定數(shù)據(jù)安全控制措施（例如：靜態(tài)數(shù)據(jù)、傳輸中數(shù)據(jù)）

其中：E1，E4重新定義為：

E.1 理解數(shù)據(jù)狀態(tài)

E.4 數(shù)據(jù)保護(hù)方法

F．建立信息和資產(chǎn)處理要求（例如：敏感信息的標(biāo)示、標(biāo)記、存儲和銷毀）

03 安全工程（13%）

A．利用安全設(shè)計原則實施和管理工程過程

B．理解安全模型的基礎(chǔ)概念（例如：保密性、完整性、多層模型）

C．基于系統(tǒng)安全要求評估模型選擇控制措施和對策

D．理解信息系統(tǒng)的安全能力（例如：內(nèi)存存儲保護(hù)、虛擬化、可信平臺模塊、加密/解密、接口、容錯）

E．評估與緩解安全架構(gòu)、設(shè)計和解決方案要素的脆弱性

其中刪除E.4大型并行數(shù)據(jù)系統(tǒng)，分拆E.5分布式系統(tǒng)（例如：云計算、網(wǎng)格計算、對等計算）為E.6 基于云的系統(tǒng)和E.7分布式系統(tǒng)，增加E.8物聯(lián)網(wǎng)

F．評估和減緩基于Web系統(tǒng)的脆弱性（例如：XML,OWASP）

G．評估和減緩移動系統(tǒng)的脆弱性

H．評估和減緩嵌入式設(shè)備和網(wǎng)絡(luò)物理系統(tǒng)的脆弱性（例如：可啟用網(wǎng)絡(luò)設(shè)備、物聯(lián)網(wǎng)（LoT））

I．應(yīng)用密碼學(xué)

J．應(yīng)用安全原則于場地與設(shè)施設(shè)計

K．設(shè)計和實施場地與設(shè)施物理安全控制

其中刪除K.6數(shù)據(jù)中心安全，K.8供水問題（例如：滲漏、洪災(zāi)）更改為K.7 環(huán)境問題。

04 通信與網(wǎng)絡(luò)安全（14%）

A.應(yīng)用安全設(shè)計原則于網(wǎng)絡(luò)架構(gòu)（例如：IP協(xié)議與非IP協(xié)議，網(wǎng)絡(luò)分段）

刪除A.7用于維護(hù)通信安全的密碼學(xué)

B.保護(hù)網(wǎng)絡(luò)組件安全

刪除B.6物理設(shè)備

C.根據(jù)設(shè)計實施與建立安全通信信道

刪除D預(yù)防和減緩網(wǎng)絡(luò)攻擊

05 身份與訪問管理（13%）

A.控制資產(chǎn)的物理與邏輯訪問

B.管理人員、設(shè)備與服務(wù)的身份和驗證

C.整合身份即第三方服務(wù)（如云身份）

其中增加C.1內(nèi)部部署，C.2 云，C.3 聯(lián)邦

刪除D.整合第三方身份服務(wù)（例如：內(nèi)部部署）

D.實施和管理授權(quán)機(jī)制

其中增加D.5 基于屬性的訪問控制

刪除F.預(yù)防與減緩訪問控制攻擊

E.管理身份與訪問配置生命周期（如供給、審查）

其中增加E.1用戶訪問審查，E.2系統(tǒng)賬戶訪問審查，E.3配置和解除配置

06 安全評估與測試（12%）

A．設(shè)計和驗證評估、測試與審計策略

其中增加A.1內(nèi)部，A.2外部，A.3第三方

B．執(zhí)行安全控制測試

C．收集安全過程數(shù)據(jù)（例如：技術(shù)和管理）

D．分析與報告測試結(jié)果（例如：自動、手動）

E．開展或促進(jìn)內(nèi)部和第三方審計

增加E.1內(nèi)部，E.2外部，E.3第三方

07 安全運營（13%）

A.理解與支持調(diào)查

B.理解調(diào)查類型的要求

其中刪除B.5電子發(fā)現(xiàn)(eDiscovery)，增加B.5行業(yè)標(biāo)準(zhǔn)

C.實施日志和監(jiān)測活動

D.安全地提供資源

其中增加D.2資產(chǎn)管理，刪除D.3物理資產(chǎn)，D.4虛擬資產(chǎn)（例如：軟件定義網(wǎng)絡(luò)、虛擬SAN、來賓操作系統(tǒng)），D.5云資產(chǎn)（例如：服務(wù)、虛擬機(jī)、存儲、網(wǎng)絡(luò)），D.6應(yīng)用（例如：工作負(fù)荷或私有云、Web服務(wù)、軟件即服務(wù)）

E.理解與應(yīng)用安全運營的基礎(chǔ)概念

F.利用資源保護(hù)技術(shù)

G.開展事件管理

H.操作和維護(hù)檢測與預(yù)防措施

I.實施和支持補(bǔ)丁與漏洞管理

J.參與和理解變更管理流程（例如：版本控制、基線化、安全性影響分析）

K.實施恢復(fù)策略

L.實施災(zāi)難恢復(fù)流程

M.測試災(zāi)難恢復(fù)計劃

N.參與業(yè)務(wù)連續(xù)性計劃和演練

O.實施和管理物理安全

P.參與解決人身安全和保安問題（例如脅迫、旅行、監(jiān)控）

其中增加P.1旅行，P.2安全培訓(xùn)與意識，P.3應(yīng)急管理，P.4脅迫

08 軟件開發(fā)安全（10%）

A.理解安全并將其整合于軟件開發(fā)生命周期

B.在開發(fā)環(huán)境中識別并應(yīng)用安全控制

其中刪除B.2在源代碼層面的安全弱點與脆弱性（例如：緩存溢出、權(quán)限升級、輸入輸出驗證），B.5應(yīng)用程序編碼接口的安全

C.評估軟件安全的有效性

其中刪除C.4驗收測試

D.評估采購軟件的安全影響

增加E.定義并應(yīng)用安全編碼指南與標(biāo)準(zhǔn)

其中增加E.1源代碼級別的安全弱點和脆弱性，E.2應(yīng)用編程接口的安全，E.3安全編碼實踐

---

深圳塔塔咨詢服務(wù)有限公司是邁瑞思旗下全資子公司，公司簡稱塔塔IT，是國內(nèi)知名的高端IT培訓(xùn)品牌，立足深圳，培訓(xùn)業(yè)務(wù)范圍覆蓋全國及港澳臺地區(qū)。公司專注于IT前沿技術(shù)的傳播與應(yīng)用，是一家以IT高端培訓(xùn)、咨詢服務(wù)、技術(shù)支持以及國際IT認(rèn)證考試為核心業(yè)務(wù)的專業(yè)服務(wù)商。公司與微軟、Redhat、Cisco、Oracle、IBM、Vmware、Citrix、EMC、HP、SAP、華為等全球著名IT廠商及EXIN、ISACA、EPI、PMI、Peoplecert、APMG等國際知名機(jī)構(gòu)建立長期合作伙伴關(guān)系，憑借在高端技術(shù)培訓(xùn)領(lǐng)域多年的教學(xué)經(jīng)驗和項目經(jīng)驗，積累了大量優(yōu)質(zhì)的客戶群體，服務(wù)客戶涉及通信、金融、交通、能源、制造、政府部門等多個行業(yè)領(lǐng)域，覆蓋面極廣，累計培訓(xùn)人數(shù)數(shù)萬人，深得用戶信賴和好評。

課程咨詢熱線：0755-29152000
培訓(xùn)咨詢郵箱：tata@tatait.com

部分榮譽資質(zhì)：

思科Cisco授權(quán)培訓(xùn)合作伙伴
紅帽培訓(xùn)交付合作伙伴
紅帽官方授權(quán)培訓(xùn)考試中心
RedHat(紅帽學(xué)院)合作伙伴
Oracle WDP 授權(quán)合作伙伴
Oracle官方授權(quán)培訓(xùn)考試中心
IBM培訓(xùn)合作伙伴
H3C大學(xué)培訓(xùn)合作伙伴
阿里云培訓(xùn)合作伙伴
微軟解決方案合作伙伴
ISACA國際信息審計協(xié)會授權(quán)合作伙伴
項目管理協(xié)會（PMI）注冊教育培訓(xùn)服務(wù)商（R.E.P.ID: 4412）
PMI官方授權(quán)PMP培訓(xùn)合作伙伴
EXIN EPI數(shù)據(jù)中心認(rèn)證體系授權(quán)培訓(xùn)合作伙伴
PeopleCert授權(quán)ITIL培訓(xùn)考試中心
PeopleCert授權(quán)Prince2考試中心
......