CISSP考试计划

2024年国家注册审核员考试计划
2024年国家注册审核员考试计划如下：
1. 考试次数：全年计划开展3次注册审核员考试。

2. 考试时间：具体的考试时间安排如下：
第一次考试：2024年3月1日-3月3日
第二次考试：2024年6月1日-6月3日
第三次考试：2024年9月1日-9月3日
3. 考试形式：由于疫情影响，具体形式还需等待官方公告，以官网发布信息为准。

4. 考试地点：全国各省市均设有考点，考生可根据自身情况选择就近考点参加考试。

5. 报名时间：报名时间通常在考试前一个月开始，具体时间以官网公告为准。

6. 报名方式：考生可通过CCAA官网或指定合作机构进行报名。

7. 考试内容：注册审核员考试主要考察考生对认证认可法规、管理体系认证基础、审核知识与技能等方面的掌握程度。

8. 成绩查询：考试结束后，考生可在CCAA官网查询成绩。

9. 证书颁发：通过考试的考生将获得国家注册审核员证书，证书有效期为4年。

请注意，以上计划仅供参考，具体的考试时间和报名时间可能会根据实际情况进行调整。

建议考生关注CCAA官网，以获取最新信息。

CISSP第七版大纲1.安全何风险管理1.1.安全基本原则1.1.1.可用性1.1.2.完整性1.1.3.机密性1.1.4.平衡安全1.2.安全定义1.3.控制类型1.4.安全框架1.4.1.ISO/IEC27001系列1.4.2.企业安全架构开发1.4.3.安全控制开发1.4.4.流程管理开发1.4.5.功能与安全性1.5.计算机犯罪法的难题1.6.网络犯罪的复杂性1.6.1.电子资产1.6.2.攻击的演变1.6.3.国际问题1.6.4.法律的类型1.7.知识产权法1.7.1.商业秘密1.7.2.版权1.7.3.商标1.7.4.专利1.7.5.知识产权的内部保护1.7.6.软件盗版1.8.隐私1.8.1.对隐私法不断增长的需求1.8.2.法律、指令和法规1.8.3.员工隐私问题1.9.数据泄露1.9.1.美国的数据泄露相关法律1.9.2.其他国家有关数据泄露的法律1.10.策略、标准、基线、指南和过程1.10.1.安全策略1.10.2.标准1.10.3.基线1.10.4.指南1.10.5.措施1.10.6.实施1.11.风险管理1.11.1.全面的风险管理1.11.2.信息系统风险管理策略1.11.3.风险管理团队1.11.4.风险管理过程1.12.威胁建模1.12.1.脆弱性1.12.2.威胁1.12.3.攻击1.12.4.消减分析1.13.风险评估和分析1.13.1.风险分析团队1.13.2.信息和资产的价值1.13.3.构成价值的成本1.13.4.识别脆弱性和威胁1.13.5.风险评估方法1.13.6.风险分析方法1.13.7.定性风险分析1.13.8.保护机制1.13.9.综合考虑1.13.10.总风险与剩余风险1.13.11.处理风险1.13.12.外包1.14.风险管理框架1.14.1.信息分类1.14.2.安全控制的选择1.14.3.安全控制的实现1.14.4.安全控制的评估1.14.5.信息系统的授权1.14.6.安全控制的监管1.15.业务连续性与灾难恢复1.15.1.标准和最佳实践1.15.2.使BCM成为企业安全计划的一部分1.15.3.BCP项目的组成1.16.人员安全1.16.1.招聘实践1.16.2.解雇1.16.3.安全意识培训1.16.4.学位或证书1.17.安全治理1.18.道德1.18.1.计算机道德协会1.18.2.互联网架构研究委员会1.18.3.企业道德计划1.19.小结1.20.快速提升1.21.问题1.22.答案2.资产安全2.1.信息生命周期2.1.1.获取2.1.2.使用2.1.3.存档2.1.4.处置2.2.信息分类2.2.1.分类等级2.2.2.分类控制2.3.责任分层2.3.1.行政管理层2.3.2.数据所有者2.3.3.数据看管员2.3.4.系统所有者2.3.5.安全管理员2.3.6.主管2.3.7.变更控制分析员2.3.8.数据分析员2.3.9.用户2.3.10.审计员2.3.11.为何需要这么多角色2.4.保留策略2.5.保护隐私2.5.1.数据所有者2.5.2.数据处理者2.5.3.数据残留2.5.4.收集的限制2.6.保护资产2.6.1.数据安全控制2.6.2.介质控制2.7.数据泄露2.8.保护其他资产2.8.1.保护移动设备2.8.2.纸质记录2.8.3.保险箱2.9.小结2.10.快速提升2.11.问题2.12.答案3.安全工程3.1.系统架构3.2.计算机架构3.2.1.中央处理单元3.2.2.多重处理3.2.3.存储器类型3.3.操作系统3.3.1.进程管理3.3.2.存储器管理3.3.3.输入/输出设备管理3.3.4.CPU架构集成3.3.5.操作系统架构3.3.6.虚拟机3.4.系统安全架构3.4.1.安全策略3.4.2.安全架构要求3.5.安全模型3.5.1.Bell-LaPadula模型3.5.2.Biba模型3.5.3.Clark-Wilson模型3.5.4.无干扰模型3.5.5.Brewer and Nash模型3.5.6.Graham-Denning模型3.5.7.Harrison-Ruzzo-Ullman模型3.6.系统评估方法3.6.1.通用准则3.6.2.对产品进行评估的原因3.7.认证与认可3.7.1.认证3.7.2.认可3.8.开放系统与封闭系统3.8.1.开放系统3.8.2.封闭系统3.9.分布式系统安全3.9.1.云计算3.9.2.并行计算3.9.3.数据库3.9.4.Web应用3.9.5.移动设备3.9.6.网络物理系统3.10.一些对安全模型和架构的威胁3.10.1.维护陷阱3.10.2.校验时间/使用时间攻击3.11.密码学背景3.12.密码学定义与概念3.12.1.Kerkhoffs3.12.2.密码系统的强度3.12.3.密码系统的服务3.12.4.一次性密码本3.12.5.滚动密码与隐藏密码3.12.6.瘾写术3.13.密码的类型3.13.1.替代密码3.13.2.换位密码3.14.加密的方法3.14.1.对称算法与非对称算法3.14.2.分组密码与流密码3.14.3.混合加密方法3.15.对称系统的类型3.15.1.数据加密标准3.15.2.三重DES3.15.3.高级加密标准3.15.4.国际数据加密算法3.15.5.Blowfish3.15.6.RC43.15.7.RC53.15.8.RC63.16.非对称系统的类型3.16.1.Diffie-Hellman3.16.2.RSA3.16.3.El Gamal3.16.4.椭圆曲线密码系统3.16.5.背包算法3.16.6.零知识证明3.17.消息完整性3.17.1.单项散列3.17.2.各种散列算法3.17.3.MD43.17.4.MD53.17.5.SHA3.17.6.针对单项散列函数的攻击3.17.7.数字签名3.17.8.数字签名标准3.18.公钥基础设施3.18.1.认证授权机构3.18.2.证书3.18.3.注册授权机构3.18.4.PKI步骤3.19.密钥管理3.19.1.密钥管理原则3.19.2.密钥和密钥管理的规则3.20.可信平台模块3.21.针对密码学的攻击3.21.1.唯密文攻击3.21.2.已知明文攻击3.21.3.选定明文攻击3.21.4.选定密文攻击3.21.5.差分密码分析3.21.6.线性密码分析3.21.7.旁路攻击3.21.8.重放攻击3.21.9.代数攻击3.21.10.分布式攻击3.21.11.统计式攻击3.21.12.社会工程攻击3.21.13.中间相遇攻击3.22.站点和设施安全3.23.站点规划过程3.23.1.通过环境设计来防范犯罪3.23.2.制定物理安全计划3.24.保护资产3.24.1.保护移动设备3.24.2.使用保险柜3.25.内部支持系统3.25.1.电力3.25.2.环境问题3.25.3.火灾的预防、检测和扑灭3.26.小结3.27.快速提示3.28.问题3.29.答案4.通信与网络安全4.1.通信4.2.开放系统互连参考模型4.2.1.协议4.2.2.应用层4.2.3.表示层4.2.4.会话层4.2.5.传输层4.2.6.网络层4.2.7.数据链路层4.2.8.物理层4.2.9.OSI模型中的功能和协议4.2.10.综合这些层4.2.11.多层协议4.3.TCP/IP模型4.3.1.TCP4.3.2.IP寻址4.3.3.IPV64.3.4.第2层安全标准4.3.5.汇聚协议4.4.传输类型4.4.1.模拟和数字4.4.2.异步和同步4.4.3.宽带和基带4.5.线缆4.5.1.同轴电缆4.5.2.双绞线4.5.3.光缆4.5.4.布线问题4.6.网络互联基础4.6.1.网络拓扑4.6.2.介质访问技术4.6.3.传输方法4.6.4.网络协议和服务4.6.5.域名服务4.6.6.电子邮件服务4.6.7.网络地址转换4.6.8.路由协议4.7.网络互联设备4.7.1.中继器4.7.2.网桥4.7.3.路由器4.7.4.交换机4.7.5.网关4.7.6.PBX4.7.7.防火墙4.7.8.代理服务器4.7.9.蜜罐4.7.10.统一威胁管理4.7.11.内容分发网络4.7.12.软件定义网络4.8.内联网与外联网4.9.城域网4.10.广域网4.10.1.通信的发展4.10.2.专用链路4.10.3.WAN技术4.11.远程连接4.11.1.拨号连接4.11.2.ISDN4.11.3.DSL4.11.4.线缆调制解调器4.11.5.VPN4.11.6.身份验证协议4.12.无线网络4.12.1.无线通信技术4.12.2.WLAN组件4.12.3.WLAN安全的演化4.12.4.无线标准4.12.5.保护WLAN的最佳实践4.12.6.卫星4.12.7.移动无线通信4.13.网络加密4.13.1.链路加密与端对端加密4.13.2.电子邮件加密标准4.13.3.互联网安全4.14.网络攻击4.14.1.拒绝服务4.14.2.嗅探4.14.3.DNS劫持4.14.4.偷渡下载4.15.小结4.16.快速提示4.17.问题4.18.答案5.身份与访问管理5.1.访问控制概述5.2.安全原则5.2.1.可用性5.2.2.完整性5.2.3.机密性5.3.身份标识、身份验证、授权与可问责性5.3.1.身份标识与身份验证5.3.2.身份验证5.3.3.授权5.3.4.联合5.3.5.身份即服务5.3.6.集成身份识别服务5.4.访问控制模块5.4.1.自主访问控制5.4.2.强制访问控制5.4.3.角色访问控制5.4.4.规则型访问控制5.5.访问控制方法和技术5.5.1.限制性用户接口5.5.2.访问控制矩阵5.5.3.内容相关访问控制5.5.4.上下文相关访问控制5.6.访问控制管理5.6.1.集中式访问控制管理5.6.2.分散式访问控制管理5.7.访问控制方法5.7.1.访问控制层5.7.2.行政管理性控制5.7.3.物理性控制5.7.4.技术性控制5.8.可问责性5.8.1.审计信息的检查5.8.2.保护审计数据和日志信息5.8.3.击键监控5.9.访问控制实践5.10.访问控制监控5.10.1.入侵检测5.10.2.入侵防御系统5.11.对访问控制的几种威胁5.11.1.字典攻击5.11.2.蛮力攻击5.11.3.登录欺骗5.11.4.网络钓鱼5.12.小结5.13.快速提示5.14.问题5.15.答案6.安全评估与测试6.1.审计策略6.1.1.内部审计6.1.2.第三方审计6.2.审计技术控制6.2.1.脆弱性测试6.2.2.渗透测试6.2.3.战争拨号攻击6.2.4.其他脆弱性类型6.2.5.事后检查6.2.6.日志审查6.2.7.综合事务6.2.8.吴用案例测试6.2.9.代码审查6.2.10.接口测试6.3.审计管理控制6.3.1.账户管理6.3.2.备份验证6.3.3.灾难恢复和业务连续性6.3.4.安全培训和安全意识培训6.3.5.关键绩效和风险指标6.4.报告6.4.1.技术报告6.4.2.执行摘要6.5.管理评审6.5.1.管理评审前6.5.2.审查输入6.5.3.管理层行动6.6.小结6.7.快速提示6.8.问题6.9.答案7.安全运营7.1.运营部门的角色7.2.行政管理7.2.1.安全和网络人员7.2.2.可问责性7.2.3.阈值级别7.3.保证级别7.4.运营责任7.4.1.不寻常或无法解释的事件7.4.2.偏离标准7.4.3.不定期的初始程序加载（也称为重启）7.5.配置管理7.5.1.可信恢复7.5.2.输入与输出控制7.5.3.系统强化7.5.4.远程访问安全7.6.物理安全7.6.1.设施访问控制7.6.2.人员访问控制7.6.3.外部边界保护机制7.6.4.入侵检测系统7.6.5.巡逻警卫和保安7.6.6.安全狗7.6.7.对物理访问进行审计7.7.安全资源配置7.7.1.资产清单7.7.2.配置管理7.7.3.配置云资产7.8.网络和资源可用性7.8.1.平均故障间隔时间（MTBF）7.8.2.平均修复时间（MTTR）7.8.3.单点失败7.8.4.备份7.8.5.应急计划7.9.预防措施7.9.1.防火墙7.9.2.入侵检测与预防系统7.9.3.反恶意软件7.9.4.补丁管理7.9.5.蜜罐技术7.10.事故管理流程7.10.1.检测7.10.2.响应7.10.3.缓解7.10.4.报告7.10.5.恢复7.10.6.修复7.11.灾难恢复7.11.1.业务流程恢复7.11.2.设施恢复7.11.3.供给和技术恢复7.11.4.选择软件备份设施7.11.5.终端用户环境7.11.6.数据备份选择方案7.11.7.电子备份解决方案7.11.8.高可用性7.12.保险7.13.恢复与还原7.13.1.为计划制定目标7.13.2.实现战略7.14.调查7.14.1.计算机取证和适当的证据收集7.14.2.动机、机会和方式7.14.3.计算机犯罪行为7.14.4.事故调查员7.14.5.取证调查过程7.14.6.法庭上可接受的证据7.14.7.监视、搜索和查封7.14.8.访谈和审讯7.15.义务及其后果7.15.1.职责场景7.15.2.第三方风险7.15.3.合同协议7.15.4.采购和供应商流程7.16.合规性7.17.个人安全问题7.18.小结7.19.快速提示7.20.问题7.21.答案8.软件开发安全8.1.创建好的代码8.2.何处需要安全8.2.1.不同的环境需要不同的安全8.2.2.环境与应用程序8.2.3.功能与安全8.2.4.实现和默认配置问题8.3.软件开发生命周期8.3.1.项目管理8.3.2.需求收集阶段8.3.3.设计阶段8.3.4.开发阶段8.3.5.测试/验证阶段8.3.6.发布/维护阶段8.4.安全软件开发最佳实践8.5.软件开发模型8.5.1.边做边改模型8.5.2.瀑布模型8.5.3.V形模型（V模型）8.5.4.原型模型8.5.5.增量模型8.5.6.螺旋模型8.5.7.快速应用开发8.5.8.敏捷模型8.5.9.其他模型8.6.集成产品开发团队8.7.能力成熟度模型8.8.变更控制8.8.1.软件配置管理8.8.2.代码库的安全性8.9.编程语言和概念8.9.1.汇编程序、编译器和解释器8.9.2.面向对象概念8.10.分布式计算8.10.1.分布式计算环境8.10.2.CORBA与ORB与DCOM8.10.4.Java平台，企业版本8.10.5.面向服务的架构8.11.移动代码8.11.1.Java applet8.11.2.ActiveX控件8.12.Web安全8.12.1.针对web环境的特定威胁8.12.2.Web应用安全原则8.13.数据库管理8.13.1.数据库管理软件8.13.2.数据库模型8.13.3.数据库编程接口8.13.4.关系数据库组件8.13.5.完整性8.13.6.数据库安全问题8.13.7.数据仓库与数据挖掘8.14.恶意软件（恶意代码）8.14.1.病毒8.14.2.蠕虫8.14.3.Rootkit8.14.4.间谍软件和广告软件8.14.5.僵尸网络8.14.6.逻辑炸弹8.14.7.特洛伊木马8.14.8.防病毒软件8.14.9.垃圾邮件检测8.14.10.防恶意软件程序8.15.评估外部获取软件的安全性8.16.小结快速提示8.17.问题8.18.答案附录A 完整的复习题术语表。

CISSP10个CBK（知识域）变为8个ISC)²CISSP知识域更新常见问题Q: 为什么要更新CISSP认证考试？A：随着科学技术日新月异的发展以及信息安全行业威胁态势的不断演化，(ISC)²® 有义务保持其会员所持认证的相关性。

这些强化性更新续承了(ISC)²常规性更新其认证考试所执行的严密、有条不紊的流程。

更新流程将确保认证考试、后续的持续专业教育所包含的议题，与每一位信息安全从业人员的角色与职责息息相关。

Q: CISSP考试将有什么变化？A：面对信息安全行业日新月异的发展，CISSP考试也将与时俱进、推陈出新。

技术方面的更新内容已添加到(ISC)²CISSP CBK®官方指南中，以反映时下信息安全行业最新的热点议题。

其中，扩展了一些议题(如：资产安全、安全评估与测试)，另外一些议题经重新组合后，调整到各个不同知识域下。

更新后的CISSP考试将更准确地反映一名资深信息安全专业人士应具备的技术能力与管理能力，以装备他们在不断变化的安全态势下有效地定义、设计、实施和管理组织的信息安全项目。

由于内容更新，我们同步更新了一些知识域名称以准确描述各个议题。

CISSP新八大知识域，2015年4月15日起生效。

•安全与风险管理(安全、风险、合规、法律、法规、业务连续性)•资产安全(保护资产的安全性)•安全工程(安全工程与管理)•通信与网络安全(设计和保护网络安全)•身份与访问管理(访问控制和身份管理)•安全评估与测试(设计、执行和分析安全测试)•安全运营(基本概念、调查、事件管理、灾难恢复)•软件开发安全(理解、应用、和实施软件安全)Q: 知识域变更后的SSCP认证与CISSP认证有什么关系？A：这两个认证从不同方面反映了信息安全最佳实践知识。

比较典型的SSCP持证人员，主要是参与实践性技术与日常运营相关的安全任务，有能力依照信息安全政策、流程和要求来实施、监控与管理IT基础设施，以确保数据的保密性、完整性与可用性。

出来拿到监考MM打印出来的PASS的通知单时，悬着的心终于落下了。

最早知道CISSP是在2011年，那个时候还只有英文考试。

本文的英文水平比较烂，从小到大英语一直不好，可能有恐惧症吧。

一直没有参加英文考试的勇气。

2012年知道了CISA，那个时候貌似以已经有CISA的中文考试了，也想学习些信息系统审计的东西。

就计划考一下，不过那一年一直比较忙，也没有时间准备。

到了2013年终于有了些时间，报了个培训班，参加了6月份的考试。

侥幸过了。

同年CISSP也推出了中文机考，给我这种英文比较烂的人带来的福音。

本来考完CISA后，准备在10.1之前把CISSP也考了，但是下半年出差太频繁，就在网上下载了AIO第五版的中文教材，在宾馆没事的时候就看几页，前后加起来看了有三遍吧。

不知不觉就快到年底了，后来觉得这个事情不能再拖了。

11月底抽了几天时间回上海参加5天的培训。

然后就报名2014年一月低，在阴历年到来之前赶紧把这个事情落实了。

那个时候离开时大概还有两个月的时间，又把AIO中文第五版的电子版看了两遍，纸质书看了一遍。

我基本上就是看书来着，一遍又一遍的看，不过每次看都比上次看有更深的理解了。

题目基本上没怎么做，汇哲给的shonharris编写的习题集，做了两章就做不下去了，一个是都是英文必须用金山词霸查，做完一个得一两个小时，太熬人。

二个是这位猛女编写的习题个人觉得实在不怎么样。

很多都是AIO教材上的一些图，扣几个空下来让填空。

而且很多题目都涉及美国的法律法规什么的，实际的考试中也基本不会考到。

火来索性不做了。

国盟上的每日一题，大概做了不到100道吧，反正碰到原题的几率不大，主要是要掌握住知识点。

至于要不要参加培训，只能仁者见仁智者见智了。

我CISA和CISSP都参加培训了。

毕竟花钱不少美刀参加考试，肯定想一次性过么，个人觉得培训还是能帮着把一些知识点帮你理顺，复习的时候更有针对性吧。

说一下去考试的情况吧，我选择的考点是天钥桥路路腾飞广场。

CISSP机考中文考试、考场情况及官方机考守则(整理)①CISSP官方机考守则一、进入考场守则1、提前约30分钟到场2、提供2个有效身份证明文件正本，证件上显示的英文名必须相同3、个人物品不能携带入场二、改期或取消守则1、考前至少24小时与VUE联系2、改期或取消手续费20美元三、保密协议开考前必须同意考生保密协议。

如未能在限定5分钟内完成阅读及接受保密协议，考试立即结束、考试费用不予退还。

四、重考守则1、考生每年最多可参加3次考试2、第一次考试如不过需等待30天以后选择第二次考试第二次考试如不过需等待90天以后选择第三次考试第三次考试如不过需等待180天以后选择第四考试如烤成未能通过第四次考试，重考时间将会重设，以30/90/180周期重新计算②学员考试情况（根据学员考试经历整理）考试时间：2013.3考试地点：广州考试时间：9：30一、进入考场部分1、提前半小时进考场，进入考试区域。

验身份证和带签名的信用卡——手写签名——录入掌纹——清空个人物品（含首饰）2、考场提供稿纸和笔（纸可擦写）3、考场为单间（或2-3人的大单间）4、考试过程全程监控二、进入考试部分1、题目形式：中英文对照（左边中文、右边英文）2、中文翻译感觉：较生硬，未经过润色3、答案选择：最佳答案4、考题形式：情景题（较多）三、退场部分1、验掌纹2、前台领取成绩单（通过与否）建议：参照第一部分官方守则。

提前到场。

可带点巧克力和水。

相关词汇表要熟悉。

中英文要对照，中文不清楚看英文。

注意选择最佳答案。

教材重点要理解。

CISSP知识点汇总CISSP（Certified Information Systems Security Professional）是国际上最为著名的信息安全认证之一，广泛应用于网络安全和信息系统安全领域。

CISSP考试要求全面了解和掌握信息安全的各个方面，包括安全管理、网络安全、应用安全、密码学、风险管理等。

以下是CISSP考试的一些重要知识点的汇总：1.安全管理：包括安全策略、安全计划、风险管理、安全意识培训、安全政策和程序等。

2.风险管理：包括风险评估、风险处理、风险监控和风险报告等。

3.安全体系结构：包括安全模型、安全架构、安全组织和安全配置等。

4.安全技术：包括网络安全、主机安全、应用程序安全、数据库安全和身份认证等。

5.密码学：包括对称加密算法、非对称加密算法、数字签名、哈希算法和公钥基础设施等。

6.网络安全：包括防火墙、入侵检测与防御系统、虚拟专用网络和网络协议安全等。

7.主机安全：包括操作系统安全、物理安全和主机配置安全等。

8.应用程序安全：包括应用程序开发安全、输入验证和访问控制等。

9.数据库安全：包括数据库管理安全、数据库备份和恢复以及数据加密等。

10.身份认证：包括单一登录、双因素认证和多因素认证等。

11.可信计算：包括安全操作系统、虚拟化技术和可信计算基础设施等。

12.安全策略与计划：包括安全策略的制定、实施和审查等。

13.安全评估与测试：包括渗透测试、漏洞评估和安全审计等。

14.安全意识与培训：包括安全意识培训和安全文化建设等。

15.反应与恢复：包括安全事件响应、灾难恢复计划和安全监测等。

这些知识点仅仅是CISSP考试的一部分，考试还包括更多关于信息安全管理和实践的内容。

CISSP的知识点非常广泛，考生需要全面掌握各个方面的内容，并且能够将其运用到实际工作中。

为了成功通过CISSP考试，考生需要进行广泛的学习和准备，并且掌握正确的学习方法和技巧。