CISSP (Certified Information Systems Security Professional) 是資訊安全市場中最受全球認可的認證。它驗證了資訊安全專業人員在有效設計 (design)、工程 (engineer) 和管理 (manage) 組織整體安全態勢方面的深度技術和管理知識與經驗。
CISSP 是資訊安全領域中第一個滿足 ANSI National Accreditation Board (ANAB) ISO/IEC 標準 17024 嚴格要求的憑證。
考試資訊 (CISSP Exam Information)
| 項目 | 詳細資訊 |
|---|---|
| 考試類型 | 採用電腦化適性測驗 (Computerized Adaptive Testing, CAT)。 |
| 考試時長 | 3 小時。 |
| 題目數量 | 100 - 150 題。 |
| 題目格式 | 多重選擇題 (Multiple choice) 和 進階題型 (advanced item types)。 |
| 通過分數 | 滿分 1000 分中,需達到 700 分。 |
| 中文考試時間 | 中文 CISSP 考試僅在特定預約窗口提供:每年 3 月 1-31 日、6 月 1-30 日、9 月 1-30 日、12 月 1-31 日。 |
經驗要求與認證途徑
- 考生必須在目前 CISSP 考試大綱的八個領域中,累積至少五年的全職、累積經驗,且需在兩個或更多領域中獲得。
- 擁有電腦科學、資訊科技 (IT) 或相關領域的學士或碩士學位,或持有 ISC2 批准清單上的額外憑證,可抵免最多一年所需經驗。
- 僅能抵免一年的經驗。
- 未達到經驗要求的考生,成功通過考試後可成為 ISC2 準會員 (Associate of ISC2),並有六年時間來累積所需的經驗。
考試領域與權重 (Domains and Weights)
考生應根據以下權重分配來調整準備策略:
| 領域 (Domain) | 平均權重 (Average Weight) |
|---|---|
| 1. 安全與風險管理 (Security and Risk Management) | 16% |
| 2. 資產安全 (Asset Security) | 10% |
| 3. 安全架構與工程 (Security Architecture and Engineering) | 13% |
| 4. 通訊與網路安全 (Communication and Network Security) | 13% |
| 5. 身份與存取管理 (Identity and Access Management, IAM) | 13% |
| 6. 安全評估與測試 (Security Assessment and Testing) | 12% |
| 7. 安全營運 (Security Operations) | 13% |
| 8. 軟體開發安全 (Software Development Security) | 10% |
| 總計 (Total) | 100% |
核心概念與主題 (Core Conceptual Topics)
Domain 1:安全與風險管理 (16%)
- 專業倫理: 必須理解、遵守並支持 ISC2 Code of Professional Ethics (專業倫理規範)。
- 安全概念: 理解 CIA 三要素 (機密性、完整性、可用性),以及擴展的 5 大支柱,包含真實性 (authenticity) 和不可否認性 (non-repudiation)。
- 治理與職責: 了解安全功能與業務戰略、目標和使命的對齊。區分 盡職注意 (Due care)(實踐活動)和 盡職審查 (due diligence)(規劃和政策)。
- 框架與標準: 熟悉 ISO、NIST、COBIT、PCI DSS、FedRAMP、SABSA 等安全控制框架。
- 法律與合規: 理解 網路犯罪 (Cybercrimes) 和 數據洩露 (data breaches)。掌握 GDPR、CCPA、PIPL、POPIA 等隱私法規和 Transborder data flow (跨國數據流)。
- 風險管理: 應用風險管理概念,包括威脅與漏洞識別、風險分析、風險應對(如網路安全保險)。
- SCRM: 應用供應鏈風險管理 (SCRM) 概念,包括風險緩解(如第三方評估、最低安全要求、silicon root of trust 和 software bill of materials)。
- BCDR: 識別、分析和實施業務連續性要求,包括業務影響分析 (BIA)。
Domain 2:資產安全 (10%)
- 資產分類: 識別和分類資訊與資產。數據擁有者 (Data owners) 負責定義分類和標籤。分類應基於價值、敏感度和關鍵性。
- 數據生命週期: 理解數據生命週期 (life cycle),包括 創建、使用、儲存、共享、歸檔、銷毀。並了解數據角色 (e.g., owners, controllers, custodians, processors, users/subjects)。
- 數據狀態: 確定數據的三種狀態:靜態 (at rest)、傳輸中 (in transit)、使用中 (in use),並應用適當的控制。
- 銷毀與保留: 確保適當的資產保留 (e.g., EOL/EOS)。了解 data remanence(數據殘留)和銷毀方法。
- 數據保護: 應用數據保護方法,如 DRM (Digital Rights Management)、DLP (Data Loss Prevention) 和 CASB (Cloud Access Security Broker)。
- 標準與基線: 應用 scoping (範圍劃定) 和 tailoring (裁剪) 技術以適應基線和標準。
Domain 3:安全架構與工程 (13%)
- 設計原則: 應用安全設計原則,例如最小特權 (Least privilege)、縱深防禦 (Defense in depth)、安全預設 (Secure defaults)、安全故障 (Fail securely)、零信任 (Zero trust) 和 Privacy by design (PbD)。
- 安全模型: 理解基本安全模型,如 Bell-LaPadula (保護機密性,No Read Up) 和 Biba (保護完整性,No Write Up)。
- 系統能力: 理解資訊系統的安全能力,包括記憶體保護 (memory protection)、虛擬化 (virtualization)、TPM (Trusted Platform Module)(提供安全金鑰生成和儲存)。
- 漏洞緩解: 評估和緩解安全架構的漏洞,涵蓋 ICS (工業控制系統)、雲端系統 (SaaS/IaaS/PaaS)、IoT、微服務、容器化和虛擬化系統。
- 密碼學: 選擇和確定密碼學解決方案。了解密碼學生命週期 (e.g., 金鑰、演算法) 和 PKI (Public key infrastructure)。AES 使用 128、192 和 256 位元的金鑰長度。
- 密碼分析攻擊: 理解各種攻擊,例如 Brute force、Man-in-the-Middle (MITM) 和 Ransomware (勒索軟體)。
- 實體安全: 應用安全原則於場所設計,包括 CPTED (Crime Prevention through Environmental Design),以及防火、偵測與抑制系統。
4. 通訊與網路安全 (13%)
- 網路模型: 熟悉 OSI (7 層) 和 TCP/IP 模型。
- 協議安全: 了解 IPSec、SSH、SSL/TLS 等安全協議。舊的 legacy protocols (如 FTP、Telnet) 缺乏加密保護或易受攻擊。
- 分割: 實施實體分割 (e.g., air-gapped) 和邏輯分割 (e.g., VLANs、VPNs),以及微分割 (Micro-segmentation)(用於 Zero trust 架構)。
- 網路組件: 保護網路組件,如防火牆 (e.g., NGFW、WAF) 和 NAC (Network Access Control) 系統。
- 遠端存取: 實施安全的通信通道,例如遠端存取 (e.g., VPNs) 和第三方連線(必須應用良好的管理實務,包括監控和離職 (offboarding))。
5. 身份與存取管理 (IAM) (13%)
- 存取控制: 控制對資產(資訊、系統、設備、設施、應用程式、服務)的實體和邏輯存取。
- AAA 模型: 了解 Identification (識別)、Authentication (認證)、Authorization (授權) 和 Accounting (會計/審計) 服務。
- 認證: 認證因素包括 something you know, something you have, and something you are。多因素認證 (MFA) 更強大。CER (Crossover Error Rate) 用於生物識別準確性。
- 授權機制: 實施和管理授權機制,如 RBAC、MAC、DAC、ABAC 和規則式 (Rule based)/ 風險式 (Risk based) 存取控制。
- 聯合與單點登入: 實施 FIM (Federated Identity Management) 和 SSO (Single sign-on)。SAML 定義了用於 SSO 的 XML 框架。
- IAM 生命週期: 管理配置生命週期,包括配置 (provisioning) 和解除配置 (deprovisioning) (e.g., on /off boarding and transfers),以及帳戶存取審查。
- 特權升級 (Privilege escalation) 攻擊是攻擊者的「聖杯」。
6. 安全評估與測試 (12%)
- 評估與稽核: 區分評估 (Assessment)(滿足管理期望)和稽核 (Audit)(針對定義的標準進行系統分析)。評估類型包括內部、外部和第三方。
- 標準與報告: 熟悉 NIST RMF、NIST CSF、ISO 27000 和 SOC 報告 (Type 1/Type 2, SOC 1/2/3/Cybersecurity)。
- 測試方法:
- 漏洞評估 (Vulnerability assessment):使用自動化工具搜尋已知漏洞。
- 滲透測試 (Penetration testing):在受控環境中模擬威脅行為者,必須有明確的 Rules of Engagement (RoE)。包括紅隊、藍隊和/或紫隊演練。
- 軟體測試:靜態測試 (Static)(不運行程式碼)與動態測試 (Dynamic)(運行時環境);Misuse case testing(誤用案例測試)。
- Fuzzing:使用修改後的輸入來測試軟體在意外情況下的性能。
- 數據收集: 收集安全流程數據,例如 KPI (關鍵績效指標) 和 KRI (關鍵風險指標)。
- 報告與修復: 必須建立修復 (remediation) 流程來處理測試結果。理解例外處理 (Exception handling) 流程。
- 披露: 了解道德披露 (Ethical disclosure) 的法律和道德要求。
7. 安全營運 (Security Operations) (13%)
- 調查與鑑識: 遵守調查程序,包括證據收集和處理。呈現證據時應遵守可受理性 (Admissibility)、準確性 (Accuracy)、可理解性 (Comprehensibility) 和客觀性 (Objectivity) 四大原則。
- 日誌與監控: 進行日誌記錄和監控活動。了解 IDPS (入侵偵測與預防系統)、SIEM、ISCM (持續監控) 和 UEBA (User and Entity Behavior Analytics)。
- CM: 執行配置管理 (CM),包括配置 (provisioning)、基準線 (baselining) 和自動化。
- 基礎概念: 應用最小特權 (least privilege)、需要知道 (need-to-know) 和職責分離 (SoD)。
- 事件管理: 執行事件管理,步驟為偵測、響應、緩解、報告、恢復、修復、經驗教訓 (lessons learned)。
- 漏洞管理: 實施和支持補丁和漏洞管理 (patch and vulnerability management)。
- 復原策略: 實施備份儲存策略(如 3-2-1 備份策略)。選擇復原站點策略(如 cold vs. hot)。
- DRP 測試: 測試災難復原計畫,包括讀通/桌面演練 (read-through/tabletop)、演練 (Walkthrough)、模擬 (Simulation)、平行測試 (Parallel) 和完全中斷測試 (Full interruption)。
8. 軟體開發安全 (Software Development Security) (10%)
- SDLC: 理解並整合 SDLC 中的安全性,安全必須是每個步驟的基本要素。了解開發方法論 (e.g., Agile, Waterfall, DevOps, DevSecOps) 和成熟度模型 (e.g., CMM, SAMM)。
- 安全編碼: 定義和應用安全編碼準則和標準。實施輸入驗證 (input validation) 和錯誤處理 (error handling)。
- 漏洞: 了解源代碼級別的安全弱點,如 Buffer overflows、Malformed input、Covert channels 和 TOCTOU (Time of Check Versus Time of Use)。
- 測試: 進行應用程式安全測試 (e.g., SAST, DAST, SCA, IAST)。持續的評估測試會探測系統是否仍然安全,即使它已通過驗收測試。
- CM: 軟體配置管理 (CM) 旨在保證程式碼的完整性 (integrity)、可用性及正確版本的使用。
- 採購軟體: 評估採購軟體(COTS、開源、雲端服務)的安全影響。
- Web 安全: OWASP (Open Web Application Security Project) Framework 是重要的資源。
- SDS: 軟體定義安全 (SDS) 涉及零信任架構 (ZTA) 和強大的身份管理。
以上內容自 2024.04.15 生效,資料來源:CISSP Certification Exam Outline Summary
