1 安全和风险管理

1.1 保密性，完整性和可用性

1.2 安全治理

1.3 完整而有效的安全计划

1.4 合规性

1.5 全球法律和监管问题

1.6 了解职业道德

1.7 开发和实施安全策略

1.8 业务连续性（BC）与灾难恢复（DR）要求

1.9 管理人员安全

1.10 风险管理概念

1.11 威胁建模

1.12 采购战略和实践

1.13 安全教育，培训和意识

2 资产安全

2.1 数据管理

2.2 数据标准

2.3 寿命和使用

2.4 信息分类和支持资产

2.5 资产管理

2.6 保护隐私

2.7 确保适当的保存

2.8 确定数据安全控制

2.9 标准选择

3 安全架构与工程

3.1 工程全生命周期使用安全设计原则

3.2 安全模型基本概念

3.3 信息系统安全评估模型

3.4 信息系统安全保障能力

3.5 安全架构脆弱性

3.6 数据库安全

3.7 软件和系统脆弱性与威胁

3.8 移动系统脆弱性

3.9 嵌入式设备和网络物理系统脆弱性

3.10 应用和使用密码学

3.11 网站及设施设计考虑因素

3.12 设计与实现设施安全

3.13 设施安全实施和操作

4 通信与网络安全

4.1 安全网络架构和设计

4.2 多层协议意义

4.3 融合协议

4.4 保护网络组件

4.5 保护通信信道

4.6 网络攻击

4.7 身份和访问管理

5 身份与访问管理

5.1 资产的物理和逻辑访问控制

5.2 人员和设备的身份标识、认证和管理

5.3 身份作为服务(IDaaS) 

5.4 集成的第三方身份认证服务

5.5 实施和管理授权机制

5.6 预防或减少访问控制攻击

5.7 管理身份和配置访问生命周期

6 安全评估和测试

6.1 评估和测试策略

6.2 收集安全进程数据

6.3 内部和第三方审核

7 安全运营

7.1 调查

7.2 通过配置管理配置资源

7.3 基础安全操作概念

7.4 资源保护

7.5 事件响应

7.6 抗攻击防范措施

7.7 补丁和漏洞管理

7.8 变更和配置管理

7.9 灾难恢复流程

7.10 测试计划评审

7.11 业务连续性和其他风险区

7.12 访问控制

7.13 内部安全

7.14 个人安全

8 软件安全开发生命周期

8.1 软件安全开发概要

8.2 环境与安全控制

8.3 软件环境安全性

8.4 软件保护机制

8.5 评估软件安全性

8.6 评估软件采购安全