1 安全和风险管理
1.1 保密性,完整性和可用性
1.2 安全治理
1.3 完整而有效的安全计划
1.4 合规性
1.5 全球法律和监管问题
1.6 了解职业道德
1.7 开发和实施安全策略
1.8 业务连续性(BC)与灾难恢复(DR)要求
1.9 管理人员安全
1.10 风险管理概念
1.11 威胁建模
1.12 采购战略和实践
1.13 安全教育,培训和意识
2 资产安全
2.1 数据管理
2.2 数据标准
2.3 寿命和使用
2.4 信息分类和支持资产
2.5 资产管理
2.6 保护隐私
2.7 确保适当的保存
2.8 确定数据安全控制
2.9 标准选择
3 安全架构与工程
3.1 工程全生命周期使用安全设计原则
3.2 安全模型基本概念
3.3 信息系统安全评估模型
3.4 信息系统安全保障能力
3.5 安全架构脆弱性
3.6 数据库安全
3.7 软件和系统脆弱性与威胁
3.8 移动系统脆弱性
3.9 嵌入式设备和网络物理系统脆弱性
3.10 应用和使用密码学
3.11 网站及设施设计考虑因素
3.12 设计与实现设施安全
3.13 设施安全实施和操作
4 通信与网络安全
4.1 安全网络架构和设计
4.2 多层协议意义
4.3 融合协议
4.4 保护网络组件
4.5 保护通信信道
4.6 网络攻击
4.7 身份和访问管理
5 身份与访问管理
5.1 资产的物理和逻辑访问控制
5.2 人员和设备的身份标识、认证和管理
5.3 身份作为服务(IDaaS)
5.4 集成的第三方身份认证服务
5.5 实施和管理授权机制
5.6 预防或减少访问控制攻击
5.7 管理身份和配置访问生命周期
6 安全评估和测试
6.1 评估和测试策略
6.2 收集安全进程数据
6.3 内部和第三方审核
7 安全运营
7.1 调查
7.2 通过配置管理配置资源
7.3 基础安全操作概念
7.4 资源保护
7.5 事件响应
7.6 抗攻击防范措施
7.7 补丁和漏洞管理
7.8 变更和配置管理
7.9 灾难恢复流程
7.10 测试计划评审
7.11 业务连续性和其他风险区
7.12 访问控制
7.13 内部安全
7.14 个人安全
8 软件安全开发生命周期
8.1 软件安全开发概要
8.2 环境与安全控制
8.3 软件环境安全性
8.4 软件保护机制
8.5 评估软件安全性
8.6 评估软件采购安全