(ISC)2CISSPOfficialGuide第四版第一章安全与风险管理安全与风险管理的概念机密性、完整性与可用性机密性完整性可用性安全治理组织的目标Goals、使命Mission与任务Objectives组织流程安全角色与职责信息安全策略完整与有效的安全体系监管委员会控制框架应有的关注duecare应尽的职责duediligence合规性(原法律法规章节)治理、风险与合规(GRC)法律与法规合规隐私需求合规全球性法律与法规问题(原法律法规章节)计算机犯罪版权与知识产权进出口跨国界数据传输隐私数据泄露相关法律法规理解专业道德(原法律法规章节)道德体系的法规需求计算机道德的主题一般计算机道德的谬论黑客行为与黑客主义道德规范的指引与资源ISC2的专业道德规范支持组织的道德规范开发与实施安全策略业务连续性与灾难恢复需求(原BCP与DRP章节)项目启动与管理设计并定义项目范围与计划实施业务影响分析(BIA)识别与分级评估灾害的影响恢复点目标(RPO)管理人员安全背景调查雇佣协议与策略雇员离职程序供应商、顾问与合同工控制隐私风险管理的概念组织风险管理概念风险评估方法论识别威胁与脆弱性风险评估与分析控制措施选择实施风险控制措施控制的类型访问控制的类型控制评估、监控与测量实物与非实物资产评价持续改进风险管理框架威胁建模决定可能的攻击与降低分析减小威胁的技术与流程采购策略与实践硬件、软件与服务管理第三方供应商最小的安全与服务级别需求安全教育、培训与意识正式的安全意识培训意识活动与防范-创建组织的安全文化第二章资产安全(新增章节)资产安全概念数据管理:决定与维护所有者数据策略角色与责任数据所有者数据保管者数据质量数据文件化与组织化数据标准数据生命周期控制数据定义与建模数据库维护数据审计数据存储与归档数据寿命与使用数据安全数据访问、共享与传播数据发布信息分级与支持资产资产管理软件版权设备生命周期保护隐私确保合适的保存介质、硬件和人员公司“X”数据保留策略数据安全控制静态的数据传输的数据基线范围与裁剪标准选择美国的资源全球的资源国家网络安全框架手册提升关键基础实施网络安全的框架第三章安全工程(新增章节、融合了安全架构、物理安全、密码学等)在工程生命周期中应用安全设计原则安全模型的基本概念通用系统组件他们如何一起工作企业安全架构通用架构框架Zachman框架获取和分析需求创建和设计安全架构信息系统安全评价模型通用正式安全模型产品评价模型业界和国际安全实施指南安全架构的漏洞系统技术与流程集成单点故障客户端的漏洞服务端的漏洞数据库安全大型可扩展并行数据系统分布式系统加密系统软件和系统的漏洞与威胁Web安全移动系统的漏洞远程计算的风险移动办公的风险嵌入式设备和网络物理系统的漏洞密码学应用密码学历史新出现的而技术核心信息安全原则密码系统的附加特性密码生命周期公钥基础设施(PKI)密钥管理流程密钥的创建与分发数字签名数字版权管理抗抵赖哈希单向哈希函数加密攻击的方法站点和设施的设计考虑安全调查站点规划路径设计通过环境设计来防止犯罪(CPTED)窗户设施安全的设计与实施设施安全的实施与运营通信与服务器机房区域划分与区域安全限制数据中心安全第四章通信与网络安全通信与网络安全概念安全网络架构与设计OSI与TCP/IPIP组网目录服务多层协议的含义各类协议实施VOIP网络无线网络无线安全问题加密来保证通信安全网络组件安全硬件传输介质网络访问控制设备终端安全内容分发网络(CDN)通信通道安全语音多媒体开放协议、应用与服务远程访问数据通信虚拟化网络网络攻击网络作为攻击通道网络作为防护堡垒网络安全目标与攻击模式扫描技术安全事件管理(SEM)IP碎片攻击与伪造包拒绝服务与分布式拒绝服务攻击欺骗会话劫持第五章身份与访问管理(原访问控制章节)身份与访问管理概念资产的物理与逻辑访问人员和设备的身份识别与认证身份识别、认证与授权身份管理实施密码管理账户管理用户配置管理目录管理目录技术单/多因素认证可审计性会话管理身份的注册与验证证书管理系统身份即服务(IDaaS)集成第三方身份服务授权机制的实施与管理基于角色的访问控制基于规则的访问控制强制访问控制自主访问控制防护或缓解对访问控制攻击WindowsPowerShell相关命令识别与访问规定的生命周期规定回顾撤销第六章安全评估与测试(新增章节)安全评估与测试概念评估与测试策略软件开发作为系统设计的一部分日志审核虚假交易代码审核与测试负向测试/滥用用力测试接口测试收集安全流程数据内部与第三方审计SOC汇报选项第七章安全运营(融合了原DRP、物理安全、调查取证等相关内容)安全运营概念调查(原法律法规符合性“调查取证章节)犯罪场景策略、角色与责任事件处理与响应恢复阶段证据收集与处理汇报与记录证据收集与处理持续监控数据防泄漏(DLP)为资源提供配置管理安全运营的基本概念关键主题控制特权账户使用组和角色管理账户职责分离监控特殊权限工作轮换管理信息生命周期服务级别管理资源保护(原物理安全章节)实物资产与非实物资产硬件介质管理事件响应事件管理安全度量与汇报管理安全技术检测响应汇报恢复修补与回顾(经验学习)针对攻击的防御性措施非授权泄密网络入侵检测系统架构白名单、黑名单、灰名单第三方安全服务、沙箱、恶意代码防范、蜜罐和蜜网补丁和漏洞管理安全与补丁信息资源变更与配置管理配置管理恢复站点策略多处理中心系统弹性与容错需求灾难恢复流程(原DRP章节)创建计划响应人员通信评估还原提供培训计划的演练、评估与维护演练计划回顾桌面演练仿真演练并行演练中断演练计划的更新与演练业务连续性与其他风险领域边界安全的实施与运维访问控制(原物理安全章节)智能卡类型闭路电视内部安全建筑物内部安全人员安全隐私出差胁迫第八章软件开发生命周期安全软件开发生命周期安全概念软件开发安全概要开发生命周期成熟度模型操作与维护变更管理DevOps(与产品运维集成)环境与安全控制软件开发方法数据库与数据仓库环境数据库漏洞与威胁数据库控制知识库管理Web应用环境软件环境安全应用开发与编码概念软件环境库与工具集源代码安全问题恶意代码恶意代码防范软件保护机制安全内核、RM引用监控与TCB可信计算基配置管理代码保存安全API安全评估软件安全的有效性认证与认可变更记录与审计风险分析与缓解评估软件采购安全