Domain 1: 安全與風險管理

1.1 了解、遵守並促進專業道德

1.2 理解並應用安全概念

1.3 評估並應用安全治理原則

1.4 確定遵循性和其他要求

1.5 瞭解與資訊安全相關之法律和監管問題，並將其納入整體背景

1.6 理解不同類型的調查需求（例如，行政、刑事、民事、監管、業界標準）

1.7 制定、記錄並實施安全政策、標準、程序和指南

1.8 辨識、分析並優先處理業務連續性需求

1.9 參與並執行人員安全政策和程序

1.10 理解並應用風險管理概念

1.11 理解並應用威脅建模概念和方法

1.12 應用供應鏈風險管理概念

1.13 建立和維護安全意識、教育和訓練計劃

Domain 2: 資產安全

2.1 辨識並分類資訊和資產

2.2 建立資訊和資產處理需求

2.3 安全地提供資源

2.4 管理資料生命週期

2.5 確保適當的資產保留(例如，終止生命週期、終止支援)

2.6 確定資料安全控制和合規性要求

Domain 3: 安全架構與工程

3.1 使用安全設計原則研究、實施和管理工程過程

3.2 瞭解基本的安全模型

3.3 根據系統安全需求選擇控制措施

3.4 瞭解資訊系統的安全能力(例如，內存保護、可信平台模塊(TPM)、加密/解密)

3.5 評估並減緩安全架構、設計和解決方案元素的漏洞

Domain 4: 通訊與網路安全

4.1 在網路架構中評估並實施安全設計原則

4.2 保護網路元件的安全

4.3 根據設計實施安全通訊通道

Domain 5: 身份與存取管理

5.1 控制對資產的實體和邏輯存取

5.2 管理人員、設備和服務的識別和身份驗證

5.3 與第三方服務建立聯合身份

5.4 實施和管理授權機制

5.5 管理身份和存取配置的生命週期

5.6 實施身份驗證系統

Domain 6: 安全評估與測試

6.1 設計並驗證評估、測試和稽核策略

6.2 進行安全控制措斷測試

6.3 收集安全流程資料

6.4 分析測試輸出並產生報告

6.5 進行或協助安全稽核

Domain 7: 安全作業

7.1 了解並遵守調查程序

7.2 進行日誌記錄和監控活動

7.3 執行配置管理

7.4 應用基礎安全作業概念

7.5 應用資源保護

7.6 執行事件管理

7.7 運營和維護檢測和預防措施

7.8 實施和支援修補和弱點管理

7.9 瞭解並參與變更管理過程

7.10 進行日誌記錄和監控活動

7.11 實施災害復原程序

7.12 測試災害復原計劃

7.13 參與業務持續性規劃和演練

7.14 實施和管理實體安全

7.15 處理人員安全和安全問題

Domain 8: 軟體開發安全

8.1 了解並在軟體開發生命週期中整合安全性

8.2 辨識並應用軟體開發生態系統中的安全控制

8.3 評估軟體安全性的有效性

8.4 評估已取得軟體的安全影響

8.5 制定並應用安全程式碼開發指南和標準