当前位置:文档之家 › 2018CISSP考纲变革及备考重点解析知识点解读

2018CISSP考纲变革及备考重点解析知识点解读

  • 格式:docx
  • 大小:144.44 KB
  • 文档页数:13

下载文档原格式

  / 32
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

第1 章.安全与风险管理–知识点

1. 理解和应用机密性、完整性、可用性概念

《概念的理解》

2. 评估和应用安全治理原则

1. 安全功能与业务战略、目的、使命、目标一致(例如:商业案例、预算和资源) 《战略一致性》

2. 组织流程(例如:收购、剥离、治理委员会)

3. 组织角色和责任

4. 安全控制框架

5. 尽职关注/尽职勤勉(尽职调查)

3. 确定合规要求

1. 合同、法律、行业标准和监管要求

2. 隐私要求

4. 理解在全球范围内涉及信息安全的法律和监管问题

1. 计算机犯罪和数据泄露

2. 许可与知识产权的要求(例如:版权、商标、数字版权管理)

3. 进口/出口控制

4. 跨境数据流

5. 隐私

5. 理解、遵循和促进职业道德

1. (ISC)²职业道德规范

2. 组织道德规范

6. 制定、记录和实施安全政策、标准、程序和指南

7. 对业务连续性(BC)需求进行识别、分析和排优先级

1. 制定和记录范围和计划

2. 开展业务影响分析(BIA)

《风险评估-业务影响分析-制定策略-开发计划-培训测试-维护》

8. 促进和执行人员安全政策和程序

1. 候选人甄选和聘用(例如:证明人核实、教育背景查证)

2. 雇佣协议和政策

3. 入职和聘用终止过程

4. 供应商、顾问和承包商的协议和控制

5. 政策合规要求

6. 隐私政策要求

9. 理解和应用风险管理概念

1. 识别威胁和漏洞

2. 风险评估/分析(定性分析、定量分析、混合分析)

3. 风险响应风险分配/接受(例如:系统授权)

4. 对策的选择和实施

控制适用类型(例如:预防性、检测性、纠正性)

《物理、技术、管理》

5. 安全控制评估(SCA)

6. 监测和衡量

7. 资产估值

8. 报告

9. 持续改进

10. 风险框架

10. 理解和应用威胁建模的概念和方法

1. 威胁建模概念

2. 威胁建模方法

11. 将基于风险的管理理念应用到供应链中

1. 与硬件、软件和服务相关的风险

2. 第三方评估和监测

3. 最低安全要求

4. 服务级别要求

12. 建立并维持安全意识宣贯、教育和培训计划

1. 意识宣贯与培训的方法和技术

2. 定期内容评审

3. 方案效果评价

==============================================

1. 识别与分类信息和资产(例如: 敏感性、关键性)

1. 数据分类

2. 资产分类

《资产分类排序:记录、分配、标记、评审、解除》

2. 确定与维护信息与资产所有权

3. 保护隐私

《隐私保护的第一步是数据最小化》

1. 数据所有者

2. 数据处理者

3. 数据残留《清除、根除、净化Sanitizing》

《排序:物理销毁>消磁>覆写>格式化》

4. 数据收集限制

4. 确保适当的资产保留

5. 确定数据安全控制

1. 理解数据状态《静态数据、动态数据》

2. 确定范围和剪裁

3. 标准的选择

4. 数据保护方法

6. 建立信息和资产处理要求(例如:敏感信息的标记、存储和销毁) ===============================================

1. 使用安全设计原则实施和管理工程流程

2. 理解安全模型的基本概念《BLP、Biba》

3. 基于系统安全要求选择控制

4. 理解信息系统的安全能力(例如:内存保护、可信平台模块(TPM)、加密/解密)

5. 评估和减轻安全架构、设计和解决方案的脆弱性

1. 客户端系统

2. 服务器端系统

3. 数据库系统(例如:数据推理、聚合、挖掘、分析、数据仓库)

4. 密码系统

5. 工业控制系统(ICS)

《人机界面控制服务器历史数据应用服务器工作站》

6. 基于云的系统

7. 分布式系统

8. 物联网(IoT)

6. 评估和缓解Web 系统中的漏洞(例如, XML,OWASP)

《XSS,SQL 注入攻击》

《SAML:安全断言标记语言》

《XACML:用于决定请求/响应的通用访问控制策略语言和执行授权策略的框架》《OAuth 2.0: 使用的是令牌》

《CVE (Common Vulnerabilities & Exposures) 公共漏洞和暴露》

7. 评估和缓解移动系统中的漏洞

8. 评估和缓解嵌入式设备中的漏洞

9. 应用密码学

1. 密码生命周期(例如:密钥管理、算法选择)

2. 加密方法(例如:对称,非对称,椭圆曲线)

《ECC 的优点效率高》

3. 公钥基础设施(PKI)

《数字证书》

《CA 交叉认证》

4. 密钥管理实践

5. 数字签名

6. 不可否认性

7. 完整性(例如:散列)

8. 理解密码攻击方法(例如暴力破解、唯密文攻击、已知明文攻击)

数字版权管理(DRM)

《密码学的实际应用》

10. 将安全原则应用于场地与设施设计

11. 实施场地和设施安全控制

1. 配线间/中间配线设施

2. 服务器机房/数据中心

3. 介质存储设施

4. 证据存储

5. 限制区和工作区安全

6. 公用设施与供热通风空调系统(HVAC)

《机房正气压》

7. 环境问题(例如:渗漏、洪灾)

8. 火灾预防、检测和灭火《5 类火》

《CPTED :Crime Prevention Through Environmental Design》================================================

相关主题