2018年4月CISSP认证新版考试大纲与旧版解析

ISC2对CISSP国际注册信息系统安全专家认证考试发布更新考试大纲通告，请注意从2018年4月开始，CISSP考试将以新的考试大纲为基础。

为了方便广大学友学习备考，我们把即将启用的新大纲与2015年4月15日发布的考试大纲做了比较分析。

八大知识域没有大的变化，权重略有调整，细节略有调整。

CISSP新版大纲考试内容及权重对比表

2018年CISSP考试大纲与2015考试大纲知识点对比

01 安全与风险管理（15%）

A．理解并应用保密性、完整性和可用性的概念

B．应用安全治理原则

C．合规

D．在全球化背景下理解与信息安全相关的法律和法规问题

其中删除D.6 数据泄露

E．理解、遵守并提升职业道德

F．制定、文档化并实施安全策略、标准、程序和方针

G．识别、分析并排列优先级业务连续性需求

H．促进和强化人员安全策略

I．理解与应用风险管理的概念

J．理解与运用威胁建模

2015版的J.1—J.4重新定义为：

J.1．威胁建模方法论

J.2．威胁建模概念

K．应用基于风险的管理概念至供应链

L．建立并管理安全意识、教育和培训项目群

增加L.3 项目群效果评价

02 资产安全（10%）

A．识别并分类信息和资产

增加

A.1 数据分类

A.2 资产分类

B．确定并维护所有权（例如：数据所有者、系统所有者、业务/使命所有者）

C．保护隐私

D．确保适当的数据保留（例如：介质、硬件、人员）

E．确定数据安全控制措施（例如：静态数据、传输中数据）

其中：E1，E4重新定义为：

E.1 理解数据状态

E.4 数据保护方法

F．建立信息和资产处理要求（例如：敏感信息的标示、标记、存储和销毁）

03 安全工程（13%）

A．利用安全设计原则实施和管理工程过程

B．理解安全模型的基础概念（例如：保密性、完整性、多层模型）

C．基于系统安全要求评估模型选择控制措施和对策

D．理解信息系统的安全能力（例如：内存存储保护、虚拟化、可信平台模块、加密/解密、接口、容错）

E．评估与缓解安全架构、设计和解决方案要素的脆弱性

其中删除E.4大型并行数据系统，分拆E.5分布式系统（例如：云计算、网格计算、对等计算）为E.6 基于云的系统和E.7分布式系统，增加E.8物联网

F．评估和减缓基于Web系统的脆弱性（例如：XML,OWASP）

G．评估和减缓移动系统的脆弱性

H．评估和减缓嵌入式设备和网络物理系统的脆弱性（例如：可启用网络设备、物联网（LoT））

I．应用密码学

J．应用安全原则于场地与设施设计

K．设计和实施场地与设施物理安全控制

其中删除K.6数据中心安全，K.8供水问题（例如：渗漏、洪灾）更改为K.7 环境问题。

04 通信与网络安全（14%）

A.应用安全设计原则于网络架构（例如：IP协议与非IP协议，网络分段）

删除A.7用于维护通信安全的密码学

B.保护网络组件安全

删除B.6物理设备

C.根据设计实施与建立安全通信信道

删除D预防和减缓网络攻击

05 身份与访问管理（13%）

A.控制资产的物理与逻辑访问

B.管理人员、设备与服务的身份和验证

C.整合身份即第三方服务（如云身份）

其中增加C.1内部部署，C.2 云，C.3 联邦

删除D.整合第三方身份服务（例如：内部部署）

D.实施和管理授权机制

其中增加D.5 基于属性的访问控制

删除F.预防与减缓访问控制攻击

E.管理身份与访问配置生命周期（如供给、审查）

其中增加E.1用户访问审查，E.2系统账户访问审查，E.3配置和解除配置

06 安全评估与测试（12%）

A．设计和验证评估、测试与审计策略

其中增加A.1内部，A.2外部，A.3第三方

B．执行安全控制测试

C．收集安全过程数据（例如：技术和管理）

D．分析与报告测试结果（例如：自动、手动）

E．开展或促进内部和第三方审计

增加E.1内部，E.2外部，E.3第三方

07 安全运营（13%）

A.理解与支持调查

B.理解调查类型的要求

其中删除B.5电子发现(eDiscovery)，增加B.5行业标准

C.实施日志和监测活动

D.安全地提供资源

其中增加D.2资产管理，删除D.3物理资产，D.4虚拟资产（例如：软件定义网络、虚拟SAN、来宾操作系统），D.5云资产（例如：服务、虚拟机、存储、网络），D.6应用（例如：工作负荷或私有云、Web服务、软件即服务）

E.理解与应用安全运营的基础概念

F.利用资源保护技术

G.开展事件管理

H.操作和维护检测与预防措施

I.实施和支持补丁与漏洞管理

J.参与和理解变更管理流程（例如：版本控制、基线化、安全性影响分析）

K.实施恢复策略

L.实施灾难恢复流程

M.测试灾难恢复计划

N.参与业务连续性计划和演练

O.实施和管理物理安全

P.参与解决人身安全和保安问题（例如胁迫、旅行、监控）

其中增加P.1旅行，P.2安全培训与意识，P.3应急管理，P.4胁迫

08 软件开发安全（10%）

A.理解安全并将其整合于软件开发生命周期

B.在开发环境中识别并应用安全控制

其中删除B.2在源代码层面的安全弱点与脆弱性（例如：缓存溢出、权限升级、输入输出验证），B.5应用程序编码接口的安全

C.评估软件安全的有效性

其中删除C.4验收测试

D.评估采购软件的安全影响

增加E.定义并应用安全编码指南与标准

其中增加E.1源代码级别的安全弱点和脆弱性，E.2应用编程接口的安全，E.3安全编码实践

欢迎致电迈瑞思（塔塔IT）相关培训负责人垂询培训课程相关事宜，了解培训课程更多信息。
迈瑞思（塔塔IT）专业提供企业级在职人员中高端IT技能&IT管理培训以及各类国际认证考试服务。
深圳迈瑞思信息技术有限公司（简称迈瑞思），专注于IT前沿技术的传播与应用，是国内企业IT人才培养领导品牌。
公司主营业务以IT教育培训为基础，同时为企业客户提供IT综合服务、高级人才咨询和就业推荐等相关服务。
迈瑞思总部位于深圳，并在广州、上海、南昌、东莞等地设有分部或办事处，业务范围覆盖全国及港澳台地区。
服务客户涉及金融、通信、交通、能源、制造、互联网、高校、政府机构等多个行业领域。

咨询热线：0755-29152000
咨询邮箱：market@myruisi.com

部分荣誉资质：

思科Cisco授权培训合作伙伴
红帽培训交付合作伙伴
红帽官方授权培训考试中心
RedHat(红帽学院)合作伙伴
Oracle WDP 授权合作伙伴
Oracle官方授权培训考试中心
IBM培训合作伙伴
H3C大学培训合作伙伴
阿里云培训合作伙伴
微软解决方案合作伙伴
ISACA国际信息审计协会授权合作伙伴
项目管理协会（PMI）注册教育培训服务商（R.E.P.ID: 4412）
PMI官方授权PMP培训合作伙伴
EXIN EPI数据中心认证体系授权培训合作伙伴
PeopleCert授权ITIL培训考试中心
PeopleCert授权Prince2考试中心