《CISSP官方学习手册》
CISSP官方教材选用官方推荐的《CISSP Official Study Guide》(简称OSG),中文名《CISSP官方学习指南》(或《CISSP官方学习手册》),它是CISSP认证考试的基础。
目前OSG的_新版是第9版:《CISSP Official Study Guide,Ninth Edition》(英文版,于2021年出版),《CISSP官方学习手册(第9版)》(中文版,于2022年12月出版)。《CISSP官方学习手册(第9版)》涵盖风险管理、云计算、移动安全、应用开发安全等关键安全议题,总结全球领~先~的网络安全实践。
备注:
1、除了《CISSP Official Study Guide》(OSG)外,其他推荐参考书目有:《CISSP All in One Exam Guide》、《The Official (ISC)2 CISSP CBK Reference》等。
2、OSG,适合基础好的考生;All in one,适合基础相对较一般的考生。学员可以选择更适合自己的参考书目。
 |
 |
《CISSP官方学习手册(第9版)》目录结构
CISSP知识体系介绍
CISSP的知识体系是CBK ( Common Body of Knowledge) 八大知识域。CBK 知识域涵盖了信息安全专业人士普遍关注的各种信息安全关键性议题,并定期更新,以反映全球_新的_佳实践。同时建立了一个信息安全概念和原理的通用框架,以供探讨、辩论、解决业内难题。
CISSP CBK包含以下八大知识域:(2021年5月1日起实施)
| CISSP-CBK( Common Body of Knowledge)八大安全专业知识体系 | ||
| 1 | 安全与风险管理 | 安全、风险、合规、法律、法规、业务连续性 |
| 2 | 资产安全 | 保护资产的安全性 |
| 3 | 安全工程 | 安全工程与管理 |
| 4 | 通信与网络安全 | 设计和保护网络安全 |
| 5 | 身份与访问管理 | 访问控制和身份管理 |
| 6 | 安全评估与测试 | 设计、执行和分析安全测试 |
| 7 | 安全运营 | 基本概念、调查、事件管理、灾难恢复 |
| 8 | 软件开发安全 | 理解、应用和实施软件安全 |
CISSP CBK八大知识域
1 安全与风险管理
- 1.1 理解、遵从与提升职业道德
- 1.2 理解和应用安全概念
- 1.3 评估和应用安全治理的原理
- 1.4 确定合规性和其他要求
- 1.5 理解在全球背景下与信息安全相关的法律和监管问题
- 1.6 理解调查类型的要求(即行政、刑事、民事、监管、行业标准)
- 1.7 制定、记录和实施安全政策、标准、程序和指南
- 1.8 对业务连续性 (BC) 要求进行识别、分析及优先级排序
- 1.9 协助制定和实施人员安全政策和程序
- 1.10 理解并应用风险管理概念
- 1.11 理解并应用威胁建模的概念和方法
- 1.12 应用供应链风险管理 (SCRM) 概念
- 1.13 制定并维护安全意识、教育和培训计划
2 资产安全
- 2.1 识别并分类信息和资产
- 2.2 制定信息和资产处理要求
- 2.3 安全配置资源
- 2.4 管理数据生命周期
- 2.5 确保适当的资产保留(例如,使用寿命结束 (EOL),支持结束 (EOS))
- 2.6 确定数据安全控制和合规要求
3 安全工程
- 3.1 使用安全设计原理来研究、实施与管理工程过程
- 3.2 理解安全模型的基本概念(例如 Biba、Star Model、Bell-LaPadula 等模型)
- 3.3 基于系统安全要求选择控制措施
- 3.4 理解信息系统 (IS) 的安全功能(例如:内存保护、可信赖平台模块 (TPM)、加密/解密)
- 3.5 评估并降低安全架构、设计和解决方案方面的漏洞
- 3.6 选择和确定加密解决方案
- 3.7 理解密码分析攻击方法
- 3.8 将安全原理运用到场所与设施的设计上
- 3.9 设计场所和设施安全控制措施
4 通信与网络安全
- 4.1 评估和实施网络架构中的安全设计原则
- 4.2 安全的网络组件
- 4.3 根据设计实施安全通信通道
- D. 防护或减缓网络攻击
5 身份与访问管理
- 5.1 控制对资产的物理和逻辑访问
- 5.2 管理对人员、设备和服务的身份认证与验证
- 5.3 通过第三方服务进行联合身份验证
- 5.4 实施和管理授权机制
- 5.5 管理身份和访问配置生命周期
- 5.6 部署身份验证系统
6 安全评估与测试
- 6.1 设计和验证评估、测试和审计策略
- 6.2 进行安全控制测试
- 6.3 收集安全过程数据(例如,技术和管理)
- 6.4 分析测试输出并生成报告
- 6.5 执行或协助安全审计
7 安全运营
- 7.1 理解并遵守调查
- 7.2 执行记录和监控活动
- 7.3 执行配置管理 (CM)(例如,预配、基线、自动化)
- 7.4 应用基本的安全操作概念
- 7.5 应用资源保护
- 7.6 执行事故管理
- 7.7 执行和维护检测和预防措施
- 7.8 实施和支持补丁和漏洞管理
- 7.9 理解并参与变更管理过程
- 7.10 执行恢复策略
- 7.11 执行灾难恢复 (DR) 过程
- 7.12 测试灾难恢复计划 (DRP)
- 7.13 参与业务连续性 (BC) 计划的制定和演练
- 7.14 执行并管理物理安全
- 7.15 解决人员安全问题
8 软件开发安全
- 8.1 理解安全并将其融入软件开发生命周期 (SDLC) 中
- 8.2 在软件开发环境中识别和应用安全控制
- 8.3 评估软件安全的有效性
- 8.4 评估获得软件对安全的影响
- 8.5 定义并应用安全编码准则和标准
CISSP知识体系图谱
