Domain 1 安全与风险管理 | 1、理解并应用机密性、完整性,和可用性的概念 2、应用安全治理原则 3、符合性 4、理解全球范围内属于信息安全的法律法规问题 5、理解职业道德 6、制定并实施文档化的安全策略,标准,过程,和指南 7、理解业务连续性需求 8、促成人员安全策略 9、理解并应用风险管理概念 10、理解并应用威胁建模 11、将安全风险考虑整合到采购策略并实践之 12、建立并管理安全教育,培训,和意识 |
Domain 2 资产安全 | 1、信息资产分级 2、信息资产所有权 3、隐私保护 4、确定合适的保存 5、确定数据安全控制 6、确定数据处理的需求 |
Domain 3 安全工程 | 1、依照安全设计原则执行和管理工程生命周期。 2、了解安全模型的基本概念。 3、依照信息系统安全标准挑选控制和对策。 4、了解信息系统的安全能力。 5、评价和抑制安全架构、设计和解决方案元素的脆弱性。 6、评价和抑制Web系统的脆弱性。 7、评价和抑制移动系统的脆弱性。 8、评价和抑制嵌入式设备和网络化物理系统的脆弱性。 9、应用密码技术。 10、把安全原则应用到场地和设施设计。 11、设计和执行设施安全。 |
Domain 4 通信和网络安全 | 1、将安全设计原理应用到网络架构 2、网络组件安全 3、设计和建立安全通信通道 4、预防或减轻网络攻击 |
Domain 5 身份与访问管理 | 1、资产的物理和逻辑访问控制 2、人员和设备的身份标识、认证和管理 3、身份作为服务(IDaaS) 4、集成的第三方身份认证服务 5、实施和管理授权机制 6、预防或减少访问控制攻击 7、管理身份和配置访问生命周期 |
Domain 6 安全评估和测试 | 1、设计和验证评估和测试战略 2、执行安全控制测试 3、收集安全过程数据 4、执行或支持内部和第三方审计 |
Domain 7 安全运营 | 1、理解和支持研究 2、理解研究类型的需求 3、行为记录和监控活动 4、通过配置管理安全的提供资源 5、理解和应用基本的安全操作概念 6、使用资源保护技术 7、实施事件响应 8、操作和维护防范措施 9、实施和支持补丁和漏洞管理 10、参与并了解变更管理流程 11、实施恢复策略 12、实施灾难恢复流程 13、测试灾难恢复计划 14、参与业务连续性规划工作 15、实施和管理物理安全 16、参与人员安全 |
Domain 8 软件开发 | 1、理解安全并将其应用于软件开发生命周期 2、在开发环境中实施安全控制 3、评估软件安全的有效性 4、评估软件采购安全 |