2018年CISSP新版本分析
18年4月开始, ISC2将对现有的CISSP考试纲要进行调整,本文将对产生的改变及其影响做以下分析:
CISSP考试权重变化:
1. 安全风险管理 15%
A.理解并应用保密性,完整性和可用性的概念
B.应用安全治理原则:其中B.5 尽职关注和 B.6 尽职调查合并,尽职关注/尽职调查
C.合规
D.在全球化背景下理解与信息安全相关的法律和法规问题
删除D.6 数据泄露
E.理解,遵守并提升职业道德
F.制定 文档 并实施 全策略 标准程序和方针
G.识别分析并排列优先级业务连续性需求
H.促进和强化人员安全策略
I.理解应用风险管理的概念
J.理解运用威胁建模
2015 版的 J.1—J.4 重新定义为 J.1.威胁建模方法论 J.2.威胁建模概念
K.应用基于风险的管理概念至供应链
L.建立并管理安全意识,教育和项目群增加 L.3 项目群效果评价
2.资产安全 10%
A.识别并分类信息和资产增加
A.1 数据分类
A.2 资产分类
B.确定并维护所有权 例如:数据所有者,系统所有者,业务/使命所有者
C.保护隐私
D.确保适当的数据保留. 例如:介质,硬件,人员
E.确定数据安全控制措施 例如:静态数据传输中数据中 E1,E4 重新定义为
E.1 理解数据状态 E.4 数据保护方法
F.建立信息和资产处理要求 例如:敏感信息的标示,标记,存储和销毁
3.安全工程 13%
A.利用安全设计原则实施和管理工程过程
B.理解安全模型的基础概念
C.基于系统安全要求评估模型选择控制措施和对策
D.理解信息系统的安全能力
其中删除
E.4 大型并行数据系统,分拆E.5 分布式系统.例如:云计算,网格计算,对等计算为E.6 基于云的系统和E.7 分布式系统,增E.8 物联网
F.评估和减缓基于Web系统的脆弱性例如:XML,OWASP
G.评估和减缓移动系统的脆弱性
H.评估和减缓嵌入式设备和网络物理系统的脆弱性例如:可启用网络设备,物联网IoT
L.应用密码学
J.应用安全原则于场地与设施设计
K.设计和实施场地与设施物理安全控制中
删除K.6 数据中心安全,K.8 供水问题例如:渗漏,洪灾更改为K.7 环境问题
4.通信与网络安全 14%
A.应用安全设计原则与网络架构
删除A.7用于维持通讯安全的密码学
B.保护网络安全
删除B.6设备安全
C. 根据设计实施与建立安全通信信道
删除D预防和缓和网络攻击
5.身份与访问管理 13%
A.控制资产的物理与逻辑访问
B.管理人员,设备与服务的身份和验证
C.整合身份即第三方服,如云身份中增C.1 内部部署,C.2 云,C.3 联邦
删除D.整合第三方身份服务例如:内部部署
D.实施和管理授权机制中增 D.5 基于属性的访问控制
删除F.预防与减缓访问控制攻击
E.管理身份与访问配置生命周期如供给,审查中增 E.1 用户访问审查,E.2 系统账户访问审查,E.3 配置和解除配置
6.安全评估与测试 12%
A.设计和验证评估,测试与审计策略 其中增加A.1内部,A.2外部,A3第三方
B.执行安全控制测试
C.收集安全过程数据(例如:技术和管理)
D.分析与报告测试结果(例如:自动,手动)
E: 开展或促进内部和第三方审计 增加E.1内部,E2,外部, E.3第三方
7.安全运行(13%)
A. 理解与支持调查
B.理解调查类型的要求
其中删除B.5电子发现(eDiscovery),增加B.5行业标准
C.实施日志和检测活动
D .安全的提供资源
增加D2.资产管理,删除D.3物理资产,D4虚拟资产,例如:软件定义网络,虚拟SAN,访客操作系统,D.5云资产
E.理解并应用安全运营的基础概念
F.利用资源保护技术
G.开展事件管理
H.操作和维护检测与预防措施
I.实施和支持补丁与漏洞管理
J.参与和理解变更管理流程
K.实施恢复策略
L.实施灾难恢复流程
M.测试灾难恢复计划
N.参与业务连续性计划和演练
O.实施和管理物理安全
P.参与解决人身安全和保安问题
增加: P.1旅行,P2.安全培训与意识,P3.应急管理, P4.胁迫
8.软件开发安全(10%)
A. 理解安全帮你改将其整合与软件开发生命周期
B.在开发环境中识别并应用安全控制
删除B.2在源代码层面的安全弱点与脆弱性
B5.应用程序编码接口的安全
C. 评估软件安全的有效性,其中删除C.4验收测试
D. 评估采购软件的安全影响
增加 E.定义并应用安全编码指南与标准
增加:E.1源代码级别的安全弱点和脆弱性
E.2 应用编程接口的安全
E.3 安全编码实践
整体来说,变化是细节较多,整体的框架还是和之前保持一致,对于准备18年四月份之前开始的同学基本没有影响,如果已经复习好的同学进来争取在四月份之前完成考试。我们将继续密切关注ISC2的最新消息,四月份之后应该会有更多的官方信息出来,对于准备四月份之后考试的同学来说,也不用过于担心,争取现在就开始使用现在的教材开始复习,等官方教材更新之后,再采取针对性的问题进行联系。