2018年CISSP新版本分析

18年4月开始, ISC2将对现有的CISSP考试纲要进行调整,本文将对产生的改变及其影响做以下分析:

CISSP考试权重变化:

image.png

1. 安全风险管理 15%

A.理解并应用保密性,完整性和可用性的概念

B.应用安全治理原则:其中B.5 尽职关注和 B.6 尽职调查合并,尽职关注/尽职调查
      C.合规

D.在全球化背景下理解与信息安全相关的法律和法规问题

     删除D.6 数据泄露

E.理解,遵守并提升职业道德

F.制定 文档 并实施 全策略 标准程序和方针

G.识别分析并排列优先级业务连续性需求

H.促进和强化人员安全策略

I.理解应用风险管理的概念

J.理解 运用威胁建模

2015 版的 J.1—J.4 重新定义为

J.1.威胁建模方法论

J.2.威胁建模概念

K.应用基于风险的管理概念至供应链

L.建立并管理安全意识,教育和项目群增加 L.3 项目群效果评价

2.资产安全 10%

 

A.识别并分类信息和资产增加

A.1 数据分类

A.2 资产分类

B.确定并维护所有权 例如:数据所有者,系统所有者,业务/使命所有者

C.保护隐私

D.确保适当的数据保留. 例如:介质,硬件,人员

E.确定数据安全控制措施 例如:静态数据传输中数据

中   E1,E4 重新定义为

E.1 理解数据状态

E.4 数据保护方法

F.建立信息和资产处理要求 例如:敏感信息的标示,标记,存储和销毁

3.安全工程 13%

A.利用安全设计原则实施和管理工程过程

B.理解安全模型的基础概念

C.基于系统安全要求评估模型选择控制措施和对策

D.理解信息系统的安全能力

 其中删除

E.4 大型并行数据系统,分拆E.5 分布式系统.例如:云计算,网格计算,对等计算为E.6 基于云的系统和E.7 分布式系统,增E.8 物联网

F.评估和减缓基于Web系统的脆弱性例如:XML,OWASP

G.评估和减缓移动系统的脆弱性

H.评估和减缓嵌入式设备和网络物理系统的脆弱性例如:可启用网络设备,物联网IoT

L.应用密码学

J.应用安全原则于场地与设施设计

K.设计和实施场地与设施物理安全控制中

 删除K.6 数据中心安全,K.8 供水问题例如:渗漏,洪灾更改为K.7 环境问题

4.通信网络安全 14%

A.应用安全设计原则与网络架构

删除A.7用于维持通讯安全的密码学

B.保护网络安全

删除B.6设备安全

C. 根据设计实施与建立安全通信信道

删除D预防和缓和网络攻击

5.身份与访问管理   13%

A.控制资产的物理与逻辑访问

B.管理人员,设备与服务的身份和验证

C.整合身份即第三方服,如云身份

中增C.1 内部部署,C.2 云,C.3 联邦

  删除D.整合第三方身份服务例如:内部部署

D.实施和管理授权机制中增 D.5 基于属性的访问控制

   删除F.预防与减缓访问控制攻击

E.管理身份与访问配置生命周期如供给,审查

中增 E.1 用户访问审查,E.2 系统账户访问审查,E.3 配置和解除配置

6.安全评估与测试  12%

A.设计和验证评估,测试与审计策略

  其中增加A.1内部,A.2外部,A3第三方

B.执行安全控制测试

C.收集安全过程数据(例如:技术和管理)

D.分析与报告测试结果(例如:自动,手动)

E: 开展或促进内部和第三方审计

增加E.1内部,E2,外部, E.3第三方

7.安全运行(13%)

A. 理解与支持调查

B.理解调查类型的要求

其中删除B.5电子发现(eDiscovery),增加B.5行业标准

C.实施日志和检测活动

D .安全的提供资源

  增加D2.资产管理,删除D.3物理资产,D4虚拟资产,例如:软件定义网络,虚拟SAN,访客操作系统,D.5云资产

E.理解并应用安全运营的基础概念

F.利用资源保护技术

G.开展事件管理

H.操作和维护检测与预防措施

I.实施和支持补丁与漏洞管理

J.参与和理解变更管理流程

K.实施恢复策略

L.实施灾难恢复流程

M.测试灾难恢复计划

N.参与业务连续性计划和演练

O.实施和管理物理安全

P.参与解决人身安全和保安问题

增加: P.1旅行,P2.安全培训与意识,P3.应急管理, P4.胁迫

8.软件开发安全(10%)

A. 理解安全帮你改将其整合与软件开发生命周期

B.在开发环境中识别并应用安全控制

  删除B.2在源代码层面的安全弱点与脆弱性

       B5.应用程序编码接口的安全

C. 评估软件安全的有效性,其中删除C.4验收测试

D. 评估采购软件的安全影响

增加 E.定义并应用安全编码指南与标准

增加:E.1源代码级别的安全弱点和脆弱性

           E.2 应用编程接口的安全

           E.3 安全编码实践

整体来说,变化是细节较多,整体的框架还是和之前保持一致,对于准备18年四月份之前开始的同学基本没有影响,如果已经复习好的同学进来争取在四月份之前完成考试。我们将继续密切关注ISC2的最新消息,四月份之后应该会有更多的官方信息出来,对于准备四月份之后考试的同学来说,也不用过于担心,争取现在就开始使用现在的教材开始复习,等官方教材更新之后,再采取针对性的问题进行联系。

http://www.51hacking.com/news/shownews.php?lang=cn&id=71

发表评论

电子邮件地址不会被公开。 必填项已用*标注