CISP注册信息安全专业人员知识体系大纲(CISE/CISO)
考试试题结构
考试题型均为单项选择题,共100题,每题1分,得到70分以上(含70分)为通过。 “注册信息安全工程师”(CISE)和“注册信息安全管理人员”(CISO)都需要学习和掌握本知识体系结构框架中的所有内容。由于两种注册证书持有人的工作岗位和工作领域的不同,考试的侧重点有所区别,因此,所对应的试题比例不同。 CISM考试四个知识域出题比例相同。
目 录
概述 7
适用范围 7
框架结构 7
考试试题结构 9
一、知识域:信息安全保障
1.1 知识子域:信息安全保障基础 10
1.1.1 信息安全概念 10
1.1.2 信息安全属性 10
1.1.3 信息安全视角 10
1.1.4 信息安全发展阶段 10
1.1.5 信息安全保障新领域 10
1.2 知识子域:安全保障框架模型 11
1.2.1 基于时间的PDR与PPDR模型 11
1.2.2 信息安全保障技术框架 11
1.2.3 信息系统安全保障评估框架 11
1.2.4 企业安全架构 11
二、知识域:网络安全监管
2.1 知识子域:网络安全法律体系建设 12
2.1.1 计算机犯罪 12
2.1.2 我国立法体系 12
2.1.3 网络安全法 12
2.1.4 网络安全相关法规建设 12
2.2 知识子域:网络安全国家政策 12
2.2.1 国家网络空间安全战略 12
2.2.2 国家网络安全等保政策 12
2.3 知识子域:网络安全道德准则 12
2.3.1 道德约束 12
2.3.2 职业道德准则 12
2.4 知识子域:信息安全标准 13
2.4.1 信息安全标准基础 13
2.4.2 我国信息安全标准 13
2.4.3 等级保护标准族 13
三、知识域:信息安全管理
3.1 知识子域:信息安全管理基础 14
3.1.1 基本概念 14
3.1.2 信息安全管理的作用 14
3.2 知识子域:信息安全风险管理 14
3.2.1 风险管理基本概念 14
3.2.2 常见风险管理模型 14
3.2.3 安全风险管理基本过程 14
3.3 知识子域:信息安全管理体系建设 14
3.3.1 信息安全管理体系成功因素 14
3.3.2 PDCA过程 14
3.3.3 信息安全管理体系建设过程 14
3.3.4 文档化 14
3.4 知识子域:信息安全管理体系最佳实践 14
3.4.1 信息安全管理体系控制类型 14
3.4.2 信息安全管理体系控制措施结构 14
3.4.3 信息安全管理体系控制措施 15
3.5 知识子域:信息安全管理体系度量 15
3.5.1 基本概念 15
3.5.2 测量要求与实现 15
四、知识域:业务连续性
4.1 知识子域:业务连续性管理 16
4.1.1 业务连续性管理基础 16
4.1.2 业务连续性计划 16
4.2 知识子域:信息安全应急响应 16
4.2.1 信息安全事件与应急响应 16
4.2.2 网络安全应急响应预案 16
4.2.3 计算机取证及保全 16
4.2.4 信息安全应急响应管理过程 16
4.3 知识子域:灾难备份与恢复 16
4.3.1 灾难备份与恢复基础 16
4.3.2 灾难恢复相关技术 17
4.3.3 灾难恢复策略 17
4.3.4 灾难恢复管理过程 17
五、知识域:安全工程与运营
5.1 知识子域:系统安全工程 18
5.1.1 系统安全工程基础 18
5.1.2 系统安全工程理论基础 18
5.1.3 系统安全工程能力成熟度模型 18
5.1.4 SSE-CMM安全工程过程 18
5.1.5 SSE-CMM安全工程能力 18
5.2 知识子域:安全运营 18
5.2.1 安全运营概念 18
5.2.2 安全运营管理 18
5.3 知识子域:内容安全 19
5.3.1 内容安全基础 19
5.3.2 数字版权 19
5.3.3 信息保护 19
5.3.4 网络舆情 19
5.4 知识子域:社会工程学与培训教育 19
5.4.1 社会工程学 19
5.4.2 培训教育 19
六、知识域:安全评估
6.1 知识子域: 安全评估基础 20
6.1.1 安全评估概念 20
6.1.2 安全评估标准 20
6.2 知识子域:安全评估实施 20
6.2.1 风险评估相关要素 20
6.2.2 风险评估途径与方法 20
6.2.3 风险评估的基本过程 20
6.3.4 风险评估文档 20
6.3 知识子域:信息系统审计 21
6.3.1 审计原则与方法 21
6.3.2 审计技术控制 21
6.3.3 审计管理控制 21
6.2.4 审计报告 21
七、知识域:信息安全支撑技术
7.1 知识子域:密码学 22
7.1.1 基本概念 22
7.1.2 对称密码算法 22
7.1.3 公钥密码算法 22
7.1.4 其他密码服务 22
7.1.5 公钥基础设施 22
7.2知识子域:身份鉴别 22
7.2.1 身份鉴别的概念 22
7.2.2 基于实体所知的鉴别 22
7.2.3 基于实体所有的鉴别 22
7.2.4 基于实体特征的鉴别 22
7.2.5 kerberos体系 23
7.2.6 认证、授权和计费 23
7.3 知识子域:访问控制 23
7.3.1 访问控制模型的基本概念 23
7.3.2 自主访问控制模型 23
7.3.3 强制访问控制模型 23
7.3.4 基于角色的访问控制模型 23
7.3.5 特权管理基础设施 23
八、知识域:物理与网络通信安全
8.1 知识子域:物理与环境安全 24
8.1.1 环境安全 24
8.1.2 设施安全 24
8.1.3 传输安全 24
8.2 知识子域:OSI通信模型 24
8.2.1 OSI模型 24
8.2.2 OSI模型通信过程 24
8.2.3 OSI模型安全体系构成 24
8.3 知识子域:TCP/IP协议安全 24
8.3.1 协议结构及安全问题 24
8.3.2 安全解决方案 24
8.4 知识子域:无线通信安全 25
8.4.1 无线局域网安全 25
8.4.2 蓝牙通信安全 25
8.4.3 RFID通信安全 25
8.5 知识子域:典型网络攻击及防范 25
8.5.1 欺骗攻击 25
8.5.2 拒绝服务攻击 25
8.6 知识子域:网络安全防护技术 25
8.6.1 边界安全防护 25
8.6.2 检测与审计 25
8.6.3 接入管理 25
九、知识域:计算环境安全
9.1 知识子域:操作系统安全 26
9.1.1 操作系统安全机制 26
9.1.2 操作系统安全配置 26
9.2 知识子域:信息收集与系统攻击 26
9.2.1 信息收集 26
9.2.2 缓冲区溢出攻击 26
9.3 知识子域:恶意代码防护 26
9.3.1 恶意代码的预防 26
9.3.2 恶意代码的检测分析 26
9.3.3 恶意代码的清除 26
9.3.4 基于互联网的恶意代码防护 26
9.4 知识子域:应用安全 26
9.4.1 Web应用安全 26
9.4.2 电子邮件安全 27
9.4.3 其他互联网应用 27
9.5 知识子域:数据安全 27
9.5.1 数据库安全 27
9.5.2 数据泄露防护 27
十、知识域:软件安全开发
10.1 知识子域:软件安全开发生命周期 28
10.1.1 软件生命周期模型 28
10.1.2 软件危机与安全问题 28
10.1.3 软件安全生命周期模型 28
10.2 知识子域:软件安全需求及设计 28
10.2.1 威胁建模 28
10.2.2 软件安全需求分析 28
10.2.3 软件安全设计 28
10.3知识子域:软件安全实现 28
10.3.1 安全编码原则 28
10.3.2 代码安全编译 29
10.3.3 代码安全审核 29
10.4 知识子域:软件安全测试 29
10.4.1 软件测试 29
10.4.2 软件安全测试 29
10.5 知识子域:软件安全交付 29
10.5.1 软件供应链安全 29
10.5.2 软件安全验收 29
10.5.3 软件安全部署 29
- 本文固定链接: https://www.moondream.cn/?p=2359
- 转载请注明: moondream 于 月梦工作室 发表