最近重聽完CISSP課程,預計規劃年底去考。
在學習CISSP的內容,大概跟CISA 3/5的內容有關,所以在準備CISSP的過程也會複習CISA的知識點,一舉兩得。
另外CISSP課程時數也可以申報PMP的PDU與CISA的CPE。
CISSP 八個領域:
領域 1:安全與風險管理 Security and Risk Management
1.1 理解和運用保密性、完整性和可用性的概念
1.2 評估和應用安全治理的原理
1.3 確定合規要求
1.4 理解與資訊安全的全球背景相關的法律和監管問題
1.5 理解、遵從與提升職業道德
1.6 開發、撰寫與實現安全政策、標準、流程和指南
1.7 對業務連續性(Business Continuity)進行識別、分析及優先順序排序
1.8 促進與實行人員安全的策略與流程
1.9 理解與運用風險管理的概念
1.10 理解與運用威脅建模的概念和方法論
1.11 將基於風險的管理概念運用到供應鏈
1.12 建立與維護安全意識、教育和培訓計畫
領域 2:資產安全 Asset Security
2.1 識別與分類資訊和資產
2.2 確定與維護資訊和資產所有權
2.3 保護隱私
2.4 確保適當的資產保留
2.5 確定資料安全控制
2.6 建立資訊和資產的處理要求
領域 3:安全架構與工程 Security Architecture and Engineering
3.1 使用安全設計原理來實施與管理工程的進程
3.2 理解安全模型的基本概念
3.3 基於系統安全需求選擇控制措施
3.4 理解資訊系統的安全功能(例如:記憶體保護、可信平臺模組(TPM)、加密/解密)
3.5 評估與緩解安全架構、設計和解決方案要素的漏洞
3.6 評估和緩解Web系統中的漏洞
3.7 評估與緩解移動系統的漏洞
3.8 評估與緩解嵌入式設備的漏洞
3.9 運用密碼學
3.10 將安全原理運用到場所與設施的設計上
3.11 實施場所與設施的安全控制
領域 4:通信與網路安全 Communication and Network Security
4.1 在網路架構中實施安全設計原則
4.2 網路元件安全
4.3 根據設計實施安全通信通道
領域 5:身份與訪問管理 (IAM) Identity and Access Management (IAM)
5.1 控制對資產的物理和邏輯訪問
5.2 管理對人員、設備和服務的身份識別與驗證
5.3 集成身份為協力廠商服務
5.4 實施和管理授權機制
5.5 管理身份和訪問配置生命週期
領域 6:安全評估與測試 Security Assessment and Testing
6.1 設計和驗證評估、測試和審計策略
6.2 對安全控制進行測試
6.3 收集安全流程資料 (如:技術和管理)
6.4 分析測試輸出並生成報告
6.5 執行或協助安全審計
領域 7:安全運營 Security Operations
7.1 理解和支持調查
7.2 瞭解調查類型的要求
7.3 進行日誌記錄和持續監測活動
7.4 安全配置資源
7.5 理解和應用基本的安全運營概念
7.6 應用資源保護技術
7.7 執行事件管理
7.8 檢測和預防措施的運營及維護
7.9 實施和支援補丁和漏洞管理
7.10 理解並參與變更管理流程
7.11 實施災難恢復 (DR) 過程
7.12 實施災難恢復 (DR) 流程
7.13 測試災難恢復計畫 (DRP)
7.14 參與業務連續性 (BC) 計畫制定和演練
7.15 實施和管理物理安全
7.16 解決人員安全問題
領域 8:軟體發展安全 Software Development Security
8.1 理解安全並將其融入軟體發展生命週期(SDLC)中
8.2 開發環境中識別和應用安全控制
8.3 評估軟體安全的有效性
8.4 評估獲得軟體對安全的影響
8.5 定義並應用安全編碼準則和標準
CISA 五個知識領域:
範圍 1:電腦稽核程序—按照電腦稽核標準,提供稽核服務,以協助組織保護和控制資訊系統。
範圍 1:任務描述
T1.1 開發和建置符合以風險為基礎之電腦稽核策略以遵循電腦稽核標準,確保涵蓋關鍵領域。
T1.2 進行具體稽核計劃以確定資訊系統受到保護、控制與提供組織價值。
T1.3 按照資訊技術稽核標準進行稽核工作,以達成稽核計劃的目標。
T1.4 向利益關係人報告稽核發現項目並提供建議,並在必要時針對結果及影響進行溝通。
T1.5 處理後續追蹤或準備狀態報告,以確保管理階層即時採取適當行動。
範圍 1:知識面描述
KS1.1 關於 ISACA 電腦稽核與保證標準、指引、工具和技術、職業道德標準及其他適用標準的知識
KS1.2 關於對稽核環境之風險評估概念、工具與技術的知識
KS1.3 與控制目標與資訊系統相關控制的知識
KS1.4 關於稽核計劃與稽核專案管理技術 (包括後續追蹤) 的知識
KS1.5 關於包括相關資訊技術在內之基本業務流程 (例如:採購、薪資、應付帳款、應收帳款) 的知識
KS1.6 關於受影響範圍、證據收集與保全以及稽核頻率之適用政策法規的知識
KS1.7 用以搜集、保護與保全稽核證據之證據收集技術 (例如:觀察、調查、檢查、訪談、數據分析) 的知識
KS1.8 關於不同抽樣方法的知識
KS1.9 關於報告和溝通技巧 (例如:促進、談判、解決衝突、稽核報告結構) 的知識
KS1.10 關於稽核品質保證系統與架構的知識
範圍 2:資訊治理與管理—提供必要的領導力、組織結構和流程使能達到組織目標與支持其策略。
範圍 1:任務描述
T2.1 評估資訊治理結構的有效性,以判斷資訊技術決策、方向和績效是否支持組織的策略與目標。
T2.2 評估資訊組織結構與人力資源 (人員) 管理,以判斷其是否支持組織的策略與目標。
T2.3 評估資訊策略,包括資訊方向以及策略之發展、核准、建置和維護,以配合組織的策略與目標。
T2.4 針對發展、核准、建置、維護和監控等方面來評估機構的資訊政策、標準、程序和流程,以判斷其是否支持資訊策略並符合法規與法律要求。
T2.5 評估品質管理系統是否合乎需要,以判斷其是否以具成本效益的方式支持機構的策略與目標。
T2.6 評估資訊管理與監控的控制項 (例如:持續監控、品質保證 [QA]),以符合組織的政策、標準與程序。
T2.7 評估資訊資源投入、使用和配置實務 (包括優先順序的標準),以配合組織的策略與目標。
T2.8 評估資訊外包策略和政策以及合約管理措施,以判斷其是否支持組織的策略與目標。
T2.9 評估風險管理措施,以判斷機構的資訊相關風險是否獲得適當的管理。
T2.10 評估監控和認證實務,以判斷委員會和執行管理階層是否收到充分並即時的資訊技術效能的相關資訊。
T2.11 評估機構的營運持續計劃,以判斷組織在資訊服務中斷期間持續重要業務作業的能力。
範圍 2:知識面描述
KS2.1 關於資訊治理、管理、安全與控制框架以及相關標準、指引及實務的知識
KS2.2 關於組織的資訊技術策略目的、政策、標準和程序以及各項基本元素的知識
KS2.3 關於資訊相關的組織結構、角色與職責的知識
KS2.4 關於資訊策略、政策、標準與程序之發展、建置與維護的知識
KS2.5 關於組織的技術方向與資訊架構,及其設定長期戰略方向之內涵的知識
KS2.6 關於影響組織之相關法律、法規與業界標準的知識
KS2.7 關於品質管理系統的知識
KS2.8 關於成熟度模型運用的知識
KS2.9 關於程序最佳化技術的知識
KS2.10 關於資訊資源投資與包括優先順序標準在內之配置作法 (例如:組合管理、價值管理、專案管理) 的知識
KS2.11 關於選擇資訊技術供應商、合約管理、關係管理與績效監控流程 (包括第三方外包關係) 的知識
KS2.12 關於企業風險管理的知識
KS2.13 關於監控和報告資訊績效之作法 (例如:平衡計分卡和關鍵績效指標 [KPI]) 的知識
KS2.14 關於用於施行營運持續計劃之資訊技術人力資源 (人員) 管理措施的知識
KS2.15 關於營運衝擊分析 (BIA) 與營運持續計劃 (BCP) 相關性的知識
KS2.16 關於營運持續計劃 (BCP) 與測試方法發展與維護之標準與程序的知識
範圍 3:資訊系統取得、發展與建置—提供認證服務,確保資訊系統的取得、發展、測試與建置實務符合組織的策略與目標。
範圍 3:任務描述
T3.1 評估對資訊系統取得、發展、維護與後續汰換之投資提議的業務需求,以判斷其是否符合企業目標。
T3.2 評估專案管理做法與控制是否符合企業成本效益需求的考量並管理組織的風險。
T3.3 進行技術審查,以判斷專案的處理是否符合專案計劃、是否有充分的文件支援,以及狀態報告是否正確無誤。
T3.4 評估資訊系統在需求、取得、發展與測試階段期間的控管,以符合組織的政策、標準、程序與適用的外部要求。
T3.5 評估資訊系統對實施及移轉到正式環境的準備程度,以判斷是否符合專案可交付成果、控制及組織的需求。
T3.6 對系統進行建置後的審查,以判斷是否符合專案可交付成果、控管及組織的需求。
範圍 3:知識面描述
KS3.1 關於效益實現實務(例如:可行性研究、企業案例、總擁有成本[TCO]、投資回報率(ROI)) 的知識
KS3.2 關於專案治理機制 (例如:指導委員會、專案督導委員會、專案管理辦公室) 的知識
KS3.3 關於專案管理架構、實踐與工具的知識
KS3.4 關於專案所應用之風險管理措施的知識
KS3.5 關於資料、應用程式和技術相關之資訊技術結構 (例如:分散式應用系統、以網頁為基礎的應用程式、網路服務和多層式架構應用
系統) 的知識
KS3.6 關於採購實務 (例如:廠商評估、廠商管理、託管) 的知識
KS3.7 關於需求分析和管理措施 (例如:需求確認、追溯、差異分析、弱點管理、安全需求) 的知識
KS3.8 關於專案成功標準與風險的知識
KS3.9 關於確保交易及資料完整性、正確性、有效性與授權之控制目標與技術的知識
KS3.10 關於系統開發方法和工具及其優缺點 (例如:敏捷開發法、雛型法、快速應用開發 [RAD]、物件導向設計技術) 的知識
KS3.11 關於資訊系統開發相關測試方法與實踐的知識
KS3.12 關於資訊系統開發相關組態設定與發佈管理的知識
KS3.13 關於系統移轉與基礎設施佈署的做法及資料轉換工具、技術與程序的知識
KS3.14 關於建置後的目標審查與做法 (例如:專案結案、控制實施、效益實現和績效評估) 的知識
範圍 4:資訊系統的營運、維護及支持—確保資訊系統營運、維護與支援流程符合組織的策略與目標。
範圍 4:任務描述
T4.1 定期審查資訊系統,以判斷其是否持續符合組織目標。
T4.2 評估服務水準管理措施,以判斷內部與外部服務提供者的服務水準是否有完整規範和管理。
T4.3 評估第三方管理措施,以判斷提供者是否符合組織預期的控制水準。
T4.4 評估系統與使用者程序,以判斷排程與非排程的流程是否持續受到管理直到完成。
T4.5 評估資訊系統維護流程,以判斷其是否受到有效控管且持續支持組織目標。
T4.6 評估資料管理措施,以判斷資料庫的完整性與最佳化。
T4.7 評估容量與效能監控工具及技術的使用,以判斷資訊技術服務是否符合組織的目標。
T4.8 評估問題和事件管理措施,以判斷事件、問題或錯誤是否即時得到記錄、分析與解決。
T4.9 評估變更、組態設定與發佈管理措施,以判斷對組織正式環境進行的排程與非排程變更是否有妥善的控制與記錄。
T4.10 評估備份和復原規定是否合乎需要,以判斷恢復流程所需之資訊的可獲得性。
T4.11 評估組織的災難復原計劃,以判斷在發生災難事件時是否有恢復處理資訊技術的能力。
範圍 4:知識面描述
KS4.1 關於服務水準管理措施與服務水準協議中的要素的知識
KS4.2 關於監控第三方是否符合組織內部控管之技術的知識
KS4.3 關於管理排程與非排程之系統與使用者程序的知識
KS4.4 關於硬體與網路元件、系統軟體及資料庫管理系統相關技術概念的知識
KS4.5 關於確保系統介面完整性之控制技術的知識
KS4.6 關於軟體授權和盤存措施的知識
KS4.7 關於系統恢復工具和技術 (例如:硬體容錯、單點故障消除、叢集) 的知識
KS4.8 關於資料庫管理措施的知識
KS4.9 關於容量規劃與相關監控工具及技術的知識
KS4.10 關於系統效能監控流程、工具與技術 (例如:網路分析工具、系統使用率報告、負載平衡) 的知識
KS4.11 關於問題與事件管理措施 (例如:服務台、問題升級處理程序、追蹤) 的知識
KS4.12 關於對正式系統和(或)基礎設施之排程與未排程之管理程序,包含變更、組態、發佈和修補補丁的管理做法的知識
KS4.13 關於資料備份、儲存、維護、保留和還原措施的知識
KS4.14 關於災難復原相關法規、法律、合約與保險議題的知識
KS4.15 關於營運衝擊分析 [BIA] 與災難復原計劃間之關係的知識
KS4.16 關於災難復原計劃之開發與維護的知識
KS4.17 關於用以監控約定協議之備援場所與方法 (例如:熱備援場地、暖備援場地、冷備援場地) 的知識
KS4.18 關於用以調用災難復原計劃之流程的知識
KS4.19 關於災難復原測試方法的知識
範圍 5:資訊資產的保護—確保組織的安全政策、標準、程序和控制足以保證資訊資產的機密性、完整性和可用性。
範圍 5:任務描述
T5.1 評估資訊安全政策、標準與程序的完整性並符合普遍接受的做法。
T5.2 評估系統與邏輯安全控管的設計、建置與監控,以驗證資訊的機密性、完整性和可用性。
T5.3 評估資料分類流程與程序的設計、建置與監控,以符合組織的政策、標準、程序及適用的外部要求。
T5.4 評估實體存取與環境控制的設計、建置和監控,以判斷資訊資產是否獲得妥善的保護。
T5.5 評估用以儲存、擷取、傳送及處置資訊資產的流程與程序 (例如:備份媒體、異地儲存、書面/列印資料及電子媒體),以判斷資訊資產是否獲得妥善的保護。
範圍 5:知識面描述
KS5.1 關於安全控管 (包括安全宣導方案) 之設計、建置與監控技術的知識
KS5.2 關於安全性事件監控和回應相關流程 (例如:問題升級處理程序、緊急事件回應小組) 的知識
KS5.3 關於用以識別、授權與限制使用者取得需獲授權功能與資料之邏輯存取控制的知識
KS5.4 關於硬體、系統軟體 (如:應用程式、作業系統) 與資料庫管理系統相關之安全控管的知識
KS5.5 關於系統虛擬化相關風險與控制的知識
KS5.6 關於網路安全控管之組態設定、建置、營運及維護的知識
KS5.7 關於電腦網路與網際網路安全裝置、通訊協定和技術的知識
KS5.8 關於資訊系統攻擊方法與技術的知識
KS5.9 關於偵測工具和控制技術 (例如:惡意軟體、病毒偵測、間諜軟體) 的知識
KS5.10 關於安全測試技術 (例如:入侵測試、弱點掃描) 的知識
KS5.11 關於資料外洩相關風險與控制的知識
KS5.12 關於加密相關技術的知識
KS5.13 關於公開金鑰基礎設施 (PKI) 元件與數位簽章技術的知識
KS5.14 關於點對點計算、即時通訊與網路技術 (例如:社交網路、留言板、部落格) 相關風險與控制的知識
KS5.15 關於使用行動與無線裝置相關控管與風險的知識
KS5.16 關於語音通訊安全性 (例如:PBX、VoIP) 的知識
KS5.17 關於在調查取證中遵循之證據保全技術與流程 (例如:資訊技術、流程、證據保管之連續性) 的知識
KS5.18 關於資料分類標準與配套程序的知識
KS5.19 關於用以識別、授權與限制使用者取得需獲授權設施之實體存取控制的知識
KS5.20 關於環境保護裝置與配套措施的知識
KS5.21 關於用以儲存、擷取、傳送和處置機密資訊資產之流程和程序的知識
沒有留言:
張貼留言