CISSP Certification ( cisspme | 35 hours )

域 01 - 安全與風險 Management

• 介紹
• 安全與風險概論 Management 理解、遵守和促進職業道德
• 知識檢查
• 了解和應用安全概念
• 評估和應用安全 Go法規原則 Goals、使命和目標
• 控制框架、盡職調查
• 知識檢查
• 確定合規性和其他要求
• 瞭解整體環境中與資訊安全相關的法律和法規問題
• 智慧財產權 （IP） 法的類型
• 經合組織原則 GDPR 和 Data Protection 原則 Data Protection 原則
• 瞭解調查類型的要求
• 知識檢查
• 制定、記錄和實施安全策略、標準、程式和準則
• 知識檢查
• 需要 Business 連續性規劃 （BCP） Business 連續性規劃階段 Business 影響分析
• 確定預防性控制
• 知識檢查
• 參與並執行人員安全策略和程式
• 風險簡介 Management 概念
• 風險分析
• 風險分析和評估對策選擇
• 風險處理和安全控制評估 安全控制評估 （SCA）
• 風險監控和持續改進
• 知識檢查
• 瞭解並應用威脅建模概念和方法 威脅建模步驟
• DREAD 評級知識查詢
• 應用供應鏈風險 Management （SCRM） 概念第三方 Management 和風險
• 第三方風險 Management 生命週期
• 知識檢查
• 建立和維護安全意識、教育和培訓計劃
• 計劃有效性：評估
• 知識檢查
• 快速回顧
• 知識檢查

域 02 - 資產安全

• 介紹
• 資產安全簡介
• 識別和分類資訊和資產資訊分類目標
• 知識檢查
• 建立資訊和資產處理要求安全地配置資源
• 管理數據生命週期
• 數據生命週期：創建、存儲和使用
• 數據生命週期：共用、存檔和銷毀數據殘留和數據銷毀
• 知識檢查
• 確保適當的資產保留數據和數據安全控制 如何選擇控制
• 數字版權 Management （DRM） 數據丟失防護 （DLP）
• 快速回顧
• 知識檢查

領域 03 - 安全架構和工程

• 介紹
• 安全工程概論
• 使用 Trust But Verify 和 Zero Trust 研究、實施和管理工程流程
• 隱私設計
• 知識檢查
• 瞭解安全模型的基本概念
• 狀態機模型、多級晶格模型、無干擾模型和資訊流模型
• 安全模型的類型
• 組合理論、隱蔽通道以及開放和封閉系統
• 知識檢查
• 根據系統安全要求選擇控制件資訊系統的安全功能
• 知識檢查
• 評估和緩解安全架構的漏洞 SCADA
• ICS 的安全問題 Cloud Computing 雲的分類
• 物聯網
• 霧和 Edge Computing
• 知識檢查
• 選擇並確定加密解決方案 密碼系統 Elements
• 加密方法
• 數據加密標準
• 輸出反饋、計數器和三重 DES 高級加密標準非對稱加密
• 公鑰基礎設施
• PKI 證書和流程 PKI 流程：步驟
• 哈希、MAC 和數位簽名密鑰 Management 原則
• 知識檢查
• 密碼分析攻擊的方法
• 知識檢查
• 將安全原則應用於場地和設施設計 場地和設施安全控制
• 人員 Access 控制 環境安全 控制 火災等級
• 其他安全控制
• HVAC、電源和培訓
• 知識檢查
• 快速回顧
• 知識檢查

域 04 - Communications 和 Network Security

• 介紹
• 介紹 Communication 和 Network Security 評估和實施安全設計原則物理層和數據鏈路層
• 網路層傳輸層
• 會話層和表示層 應用層和協定
• 知識檢查
• IP 尋址
• IPv6 及其地址結構
• 知識檢查
• Internet 安全協定 （IPsec） IPsec 安全協定
• 安全 Access 協定
• 實施多層協定、光纖通道和微分段 SDN 和無線技術
• 蜂窩網路和CDN
• 知識檢查
• 了解網路 Access 控制 （NAC） 和端點安全
• 知識檢查
• 實施安全 Communication 通道
• 應用級閘道、電路級閘道和 Network Security 術語遠端 Access 技術
• VPN 協定
• VPN 協議：比較
• 多媒體 Collaboration、網路功能虛擬化和網路攻擊
• 快速回顧
• 知識檢查

域 05 - 標識和 Access Management （IAM）

• 介紹
• 身份和 Access Management （IAM） 控制資產的物理和邏輯 Access 簡介
• 管理人員、設備和服務的標識和身份驗證
• Biometrics 和 Accuracy 測量密碼及其類型
• 令牌、令牌設備和授權
• 聯合身份 Management （FIM） 和憑證 Management 系統
• 單點登入 （SSO） 和即時 （JIT）
• 知識檢查
• 使用第三方服務的聯合身份實施和管理授權機制
• 基於屬性的 Access 控制 （ABAC） 和基於風險的 Access 控制
• 知識檢查
• 管理身份和 Access 配置生命周期許可權提升
• 實施身份驗證系統
• Kerberos 及其步驟、RADIUS、TACACS 和 TACACS Plus
• 快速回顧
• 知識檢查

領域 06 - 安全評估和測試

• 介紹
• 安全評估和測試簡介
• 設計和驗證評估、測試和審計策略 SOC 報告和安全評估
• 內部審計與評估 外部審計與評估 第三方審計與評估 脆弱性評估
• 網路發現掃描
• 網路漏洞掃描和 Web 漏洞掃描滲透測試
• 滲透測試過程和測試類型日誌 Management 和審查
• SDLC 程式碼審查和測試測試方法中的安全測試
• 介面測試
• 知識檢查
• 收集安全流程數據 KPI 流程
• 知識檢查
• 分析測試輸出並生成報告
• 快速回顧
• 知識檢查

域 07 - 安全運營

• 介紹
• 安全運營簡介瞭解並遵守調查數位取證
• 瞭解數字證據
• 知識檢查
• 進行日誌記錄和監控 Activities
• 知識檢查
• 持續監控
• 數位取證工具、策略、程式、工件和 UEBA
• 知識檢查
• 執行 Configuration Management
• 應用基礎安全操作概念
• 具有各種類型帳戶的 Identity 和 Access Management 應用資源保護
• 保護資產的控制措施 行為事件 Management
• 瞭解事件回應生命週期
• 知識檢查
• 操作和維護檢測與預防措施
• 瞭解反惡意軟體系統、人工智慧 Machine Learning 和 Deep Learning實施和支援補丁和漏洞 Management
• 了解並參與 Change Management 流程實施恢復戰略
• 恢復類型 操作恢復恢復模式策略
• 冗餘和容錯知識檢查
• 實施災難恢復 （DR） 流程知識檢查
• 測試災難恢復計劃 （DRP）
• 知識檢查
• 參與 Business 連續性 （BC） 規劃和練習實施和管理物理安全
• 照明在安全中的重要性 Management Access 控制
• 知識檢查
• 解決人員安全和安保問題
• 快速回顧
• 知識檢查

Domain 08 - 軟體開發安全

• 介紹
• 軟體開發安全簡介
• 將安全性集成到軟體開發生命週期中
• 軟體開發模型
• Extreme Programming 型號
• DevOps 和 DevSecOps
• CMM 和 SAMM
• Change Management 和整合產品團隊 （IPT）
• 知識檢查
• 軟體開發生態系統中的安全控制
• 軟體開發生態系統中的其他安全控制
• 軟體 Configuration Management （SCM）
• Database 和數據倉庫環境
• 知識檢查
• 評估軟體安全的有效性
• 軟體安全和保證：控制粒度和環境分離
• 軟體安全和保證：TOC 或 TOU、防止社會工程、備份、軟體取證、密碼學
• 軟體安全和保證：密碼保護、移動模式控制和沙盒軟體安全和保證強語言支援、XML 和 SAML
• 評估軟體安全性 Free and Open Source Software 的有效性
• 知識檢查
• 定義和應用 Secure Coding 準則和標準
• Web 應用程式環境
• 知識檢查
• 快速回顧
• 知識檢查