Domain 1: Security and Risk Management 安全與風險管理

1.1 理解、遵守並促進專業倫理

1.2 理解並應用安全概念

1.3 評估、應用並維持安全治理 原則

1.4 全面理解與資訊安全相關的法律、法規和合規問題

1.5 理解調查類型的要求

1.6 制定、文件化並實施安全政策、標準、程序和指南

1.7 識別、分析、評估、優先排序並實施營運連續性 (BC) 要求

1.8 貢獻並執行人員安全政策和程序

1.9 理解並應用風險管理概念

1.10 理解並應用威脅建模概念和方法

1.11 應用供應鏈風險管理 (SCRM) 概念

1.12 建立和維護安全意識、教育和培訓計畫

Domain 2: Asset Security 資產安全

2.1 確定並分類資訊和資產

2.2 建立資訊和資產處理需求

2.3 安全提供資源

2.4 管理資料生命週期

2.5 確保適當的資產保留

2.6 確定資料安全控制和合規需求

Domain 3: Security Architecture and Engineering 安全架構與工程

3.1 研究、實施和管理使用安全設計原則的工程流程

3.2 理解安全模型的基本概念

3.3 根據系統安全要求選擇控制

3.4 了解資訊系統的安全功能

3.5 評估和減輕安全架構、設計和解決方案元素的漏洞

3.6 選擇和確定加密解決方案

3.7 了解加密攻擊的方法

3.8 將安全原則應用於場地和設施設計

3.9 設計場地和設施安全控制

3.10 管理資訊系統的生命週期

Domain 4: Communication and Network Security 通訊與網路安全

4.1 在網路架構中應用安全設計原則

4.2 保護網路元件安全

4.3 根據設計實施安全通訊 通道

Domain 5: Identity and Access Management (IAM) 識別與存取管理

5.1 控制對資產的實體和邏輯存取

5.2 設計身份識別和驗證策略

5.3 使用第三方服務實現聯邦式身份

5.4 實施和管理授權機制

5.5 管理身份和存取提供生命週期

5.6 實施身份驗證系統

Domain 6: Security Assessmentand Testing 安全評估測試

6.1 設計並驗證評估、測試和稽核策略

6.2 進行安全控制測試

6.3 收集安全流程資料

6.4 分析測試輸出並產生報告

6.5 進行或促進安全稽核

Domain 7: Security Operations 安全作業

7.1 理解並遵守調查程序

7.2 執行日誌記錄和監控活動

7.3 進行組態管理

7.4 應用基礎安全作業概念

7.5 應用資源保護

7.6 進行事故管理

7.7 操作和維護偵測和預防措施

7.8 實施和支援修補和漏洞管理

7.9 了解並參與變更管理流程

7.10 實施復原策略

7.11 實施災害復原流程

7.12 測試災害復原計畫

7.13 參與營運持續性規劃和演練

7.14 實施和管理實體安全

7.15 解決人員安全和安全擔憂

Domain 8: Software Development Security 軟體開發安全

8.1 了解並在軟體開發生命週期中整合安全性

8.2 識別並應用軟體開發生態系統中的安全控制

8.3 評估軟體安全性的有效性

8.4 評估所獲得軟體的安全影響

8.5 定義並應用安全程式撰寫準則和標準