-
安全与风险管理 Security and Risk Management
安全与风险管理的概念
机密性、完整性与可用性
安全治理
→策略、目的、任务和目的等方面的安全准则
→组织流程
→安全角色及其任务
→控制框架
→行为准则
→应注意事项
完整与有效的安全体系
合规性(原法律法规章节)
全球性法律与法规问题(原法律法规章节)
→计算机犯罪
→版权和知识产权
→进出口控制
→跨境数据流
→隐私
→数据破坏
理解专业道德(原法律法规章节)
开发与实施安全策略
→开发和制定项目的范围和计划
→实施业务影响分析(BIA)
业务连续性与灾难恢复需求(原 BCP与 DRP章节)
管理人员安全
风险管理的概念
威胁建模
采购策略与实践
安全教育、培训与意识 -
资产安全Asset Security
资产安全概念
数据管理:决定与维护所有权
数据标准
数据寿命与使用
信息分级与支持资产
资产管理保护隐私
确保合适的保存
数据安全控制
→基准
→范围和属性
→密码学
标准选择 -
安全工程(融合了安全架构、物理安全、密码学等)
在工程生命周期中应用安全设计原则
安全模型的基本概念
信息系统安全评价模型
安全架构的漏洞
数据库安全
软件和系统的漏洞与威胁
嵌入式设备和网络物理系统的漏洞密码学应用
→密码学的生命周期
→密码学的类型
→公钥基础设施等
站点和设施的设计考虑
站点规划
设施安全的设计与实施
设施安全的实施与运营 -
通信与网络安全Communication and Network Security
通信与网络安全概念
安全网络架构与设计
多层协议的含义
各类协议
网络组件安全
→硬件操作
→传输媒体
→终端安全等
通信通道安全
→声音和多媒体合作
→远程遥控
→数据流通
→虚拟网络
网络攻击
-
身份与访问管理Identity and Access Management
身份与访问管理概念
资产的物理与逻辑访问
→信息、系统、设备、设施
人员和设备的身份识别与认证
→识别使用的管理系统
→单/多因素认证
→账户和集中管理、联合账户管理等
身份管理实施
身份即服务(IDaaS)
集成第三方身份服务
授权机制的实施与管理
防护或缓解对访问控制攻击
识别与访问规定的生命周期
-
安全评估与测试Security Assessment and Testing
安全评估与测试概念
评估与测试策略
收集安全流程数据
账户管理(如:升级,撤销)
管理审查
重要性能和风险预测
备份验证数据
培训和意识
灾难恢复和业务连续性
内部与第三方审计
安全控制测试
→漏洞评估
→渗透测试
→综合交易
→代码审查和测试
→滥用情况测试
接口测试(如:API,UI,物理)等
-
安全运营Security Operations
安全运营概念
调查
→证据收集和处理(如:保管链,面试)
→报告和记录
→调查技术(如:根源分析,事故处理)
→数字取证(如:媒体,网络,软件和嵌入装置)
为资源提供配置管理
安全运营的基本概念
资源保护
事件响应
针对攻击的防御性措施
补丁和漏洞管理
变更与配置管理
灾难恢复流程
演练计划回顾
业务连续性与其他风险领域
访问控制
人员安全
-
软件开发生命周期安全Software Development Security
软件开发生命周期安全概念
→开发新的方法(如,敏捷)
→操作和维护
→改变管理方法
软件开发安全概要
环境与安全控制
软件环境安全
软件保护机制
评估软件安全的有效性
→审计并记录变更
→分析、降低风险
评估软件采购安全