第1章  安全和風險管理  1
1.1  安全基本原則  3
1.1.1  可用性  3
1.1.2  完整性  4
1.1.3  機密性  4
1.1.4  平衡安全性  5
1.2  安全定義  6
1.3  控制措施類型  8
1.4  安全框架  12
1.4.1  ISO/IEC 27000繫列  14
1.4.2  企業安全架構建設  16
1.4.3  部署安全控制措施  27
1.4.4  建立流程管理體繫  31
1.4.5  功能性與安全性  37
1.5  反計算機犯罪法律的難題  37
1.6  網絡犯罪的復雜性  39
1.6.1  電子資產  40
1.6.2  攻擊的演變  41
1.6.3  國際化問題  44
1.6.4  法律體繫的分級  47
1.7  知識產權  50
1.7.1  商業秘密  50
1.7.2  版權(著作權)  51
1.7.3  商標  52
1.7.4  專利  53
1.7.5  內部知識產權保護  54
1.7.6  軟件盜版  54
1.8  個人隱私保護  56
1.8.1  日益增加的隱私法需求  58
1.8.2  法律、法規與指引  59
1.8.3  員工隱私問題  65
1.9  數據洩露  67
1.9.1  有關數據洩露的美國法律  67
1.9.2  其他國家有關數據洩露的
法律  69
1.10  方針、策略、標準、基線、
指南與程序  69
1.10.1  安全方針及策略  70
1.10.2  標準  72
1.10.3  基線  73
1.10.4  指南  74
1.10.5  程序  74
1.10.6  實施  75
1.11  風險管理  75
1.11.1  全面風險管理  76
1.11.2  信息繫統風險管理策略  76
1.11.3  風險管理團隊  77
1.11.4  風險管理流程  78
1.12  威脅建模  78
1.12.1  威脅建模概念  78
1.12.2  威脅建模方法論  80
1.13  風險評估與分析  82
1.13.1  風險評估團隊  83
1.13.2  信息與資產的價值  84
1.13.3  資產價值的成本要素  84
1.13.4  識別脆弱性與威脅  85
1.13.5  風險評估方法論  86
1.13.6  風險分析方法  90
1.13.7  定性風險分析  93
1.13.8  保護機制  96
1.13.9  總體風險與殘餘風險的對比  99
1.13.10  處理風險  100
1.14  供應鏈風險管理  101
1.14.1 上下遊供應商  103
1.14.2  服務水平協議  104
1.15  風險管理框架  104
1.15.1  信息繫統分類  105
1.15.2  選擇安全控制措施  106
1.15.3  實施安全控制措施  106
1.15.4  評估安全控制措施  107
1.15.5  信息繫統授權  107
1.15.6  持續監測安全控制措施  107
1.16  業務連續性和災難恢復  108
1.16.1  標準與實踐  110
1.16.2  將業務連續性管理融入企業安全計劃  112
1.16.3  業務連續性計劃的組件  114
1.17  人員安全  127
1.17.1  聘用安全實踐  128
1.17.2  入職安全實踐  129
1.17.3  解聘  130
1.17.4  安全意識宣貫培訓  130
1.17.5  學位或認證  132
1.18  安全治理  133
1.19  道德  137
1.19.1  計算機道德協會  138
1.19.2  Internet架構委員會  139
1.19.3  企業道德計劃  140
1.20  總結  140
1.21  快速提示  142
1.22  問題  145
1.23  答案  152
第2章  資產安全  157
2.1  信息生命周期  158
2.1.1  獲取  158
2.1.2  使用  159
2.1.3  歸檔  159
2.1.4  廢棄  160
2.2  數據分級  160
2.2.1  數據分級水平  161
2.2.2  分級控制措施  164
2.3  管理責任層級  165
2.3.1  行政管理層  166
2.3.2  信息所有者  168
2.3.3  數據托管者  169
2.3.4  繫統所有者  169
2.3.5  安全管理員  169
2.3.6  主管  170
2.3.7  變更控制分析師  170
2.3.8  數據分析師  170
2.3.9  用戶  170
2.3.10  審計師  170
2.3.11  為什麼有這麼多角色？  171
2.4  資產留存策略  171
2.5  隱私保護  174
2.5.1  數據所有者  175
2.5.2  數據處理者  175
2.5.3  數據殘留  175
2.5.4  信息收集限制  178
2.6  保護資產  179
2.6.1  數據安全控制措施  179
2.6.2  介質安全控制措施  183
2.6.3  移動設備安全保護  187
2.6.4  紙質記錄  188
2.6.5  保險櫃  188
2.6.6  選擇恰當的安全標準  189
2.7  數據洩露  189
2.8  總結  197
2.9  快速提示  198
2.10  問題  199
2.11  答案  202
第3章  安全架構與工程  205
3.1  繫統架構  206
3.2  計算機架構  209
3.2.1  中央處理器  210
3.2.2  多處理器  213
3.2.3  存儲器類型  214
3.3  操作繫統  225
3.3.1  進程管理  225
3.3.2  內存管理  233
3.3.3  輸入/輸出設備管理  237
3.3.4  中央處理器(CPU)集成架構  239
3.3.5  操作繫統架構  242
3.3.6  虛擬機  248
3.4  繫統安全架構  251
3.4.1  安全策略  252
3.4.2  安全架構需求  252
3.5  安全模型  256
3.5.1  Bell-LaPadula模型  257
3.5.2  Biba模型  257
3.5.3  Bell-LaPadula 模型與Biba模型  258
3.5.4  Clark-Wilson 模型  258
3.5.5  非干擾模型  259
3.5.6  Brewer-Nash模型  260
3.5.7  Graham-Denning模型  260
3.5.8  Harrison-Ruzzo-Ullman模型  261
3.6  繫統評價  262
3.6.1  通用準則  262
3.6.2  產品評價的必要性  265
3.7  認證和認可  265
3.7.1  認證  266
3.7.2  認可  266
3.8  開放式繫統與封閉式繫統  267
3.9  繫統安全  268
3.9.1  客戶端繫統  268
3.9.2  客戶/服務端繫統  268
3.9.3  分布式繫統安全  269
3.9.4  雲計算安全  269
3.9.5  並行計算  270
3.9.6  數據庫繫統安全  271
3.9.7  Web繫統安全  272
3.9.8  移動繫統安全  273
3.9.9  信息物理繫統  274
3.10  工控安全威脅回顧  277
3.10.1  維護鉤子  277
3.10.2  檢查時間/使用時間
攻擊  278
3.11  密碼編碼術的背景  279
3.12  密碼學的定義與概念  284
3.12.1  Kerckhoffs原則  286
3.12.2  密碼繫統的強度  286
3.12.3  一次性密碼本  287
3.12.4  滾動密碼與隱藏密碼  289
3.12.5  隱寫術  290
3.13  密碼運算的類型  292
3.13.1  替換密碼  292
3.13.2  置換密碼  292
3.14  加密方法  294
3.14.1  對稱算法與非對稱算法  294
3.14.2  對稱密碼算法  295
3.14.3  非對稱密碼算法  296
3.14.4  分組密碼與流密碼  299
3.14.5  混合加密方法  303
3.15  對稱密碼繫統的種類  308
3.15.1  數據加密標準  308
3.15.2  三重DES  315
3.15.3  高級加密標準  315
3.15.4  國際數據加密算法  316
3.15.5  Blowfish  316
3.15.6  RC4  316
3.15.7  RC5  317
3.15.8  RC6  317
3.16  非對稱密碼繫統的種類  317
3.16.1  Diffie-Hellman算法  318
3.16.2  RSA  320
3.16.3  El Gamal  322
3.16.4  橢圓曲線密碼繫統  322
3.16.5  背包問題算法  323
3.16.6  零知識證明  323
3.17  消息完整性  324
3.17.1  單向哈希  324
3.17.2  各種哈希算法  328
3.17.3  MD4算法  329
3.17.4  MD5算法  329
3.17.5  SHA 算法  329
3.17.6  對單向哈希函數的攻擊  330
3.18  公鑰基礎架構  331
3.18.1  證書認證機構  331
3.18.2  證書  333
3.18.3  證書注冊機構  333
3.18.4  PKI步驟  334
3.19  密碼技術的應用  336
3.19.1  密碼繫統的服務  336
3.19.2  數字簽名  337
3.19.3  數字簽名標準(DSS)  339
3.19.4  密鑰管理  339
3.19.5  可信平臺模塊  341
3.19.6  數字版權管理  343
3.20  對密碼技術的攻擊  343
3.20.1  唯密文攻擊  343
3.20.2  已知明文攻擊  344
3.20.3  選擇明文攻擊  344
3.20.4  選擇密文攻擊  344
3.20.5  差分密碼分析  345
3.20.6  線性密碼分析  345
3.20.7  側信道攻擊  345
3.20.8  重放攻擊  346
3.20.9  代數攻擊  346
3.20.10  分析攻擊  346
3.20.11  統計攻擊  347
3.20.12  社交工程攻擊  347
3.20.13  中間相遇攻擊  347
3.21  設計場所與基礎設施安全  347
3.22  場所安全設計過程  348
3.22.1  通過環境設計來阻止犯罪  352
3.22.2  設計一個物理安全計劃  356
3.23  內部支持繫統  367
3.23.1  電力  368
3.23.2  環境問題  372
3.23.3  防火、探測和滅火  374
3.24  總結  379
3.25  快速提示  380
3.26  問題  384
3.27  答案  391
第4章  通信與網絡安全  395
4.1  網絡架構原則  396
4.2  開放繫統互聯參考模型  397
4.2.1  協議  398
4.2.2  應用層  400
4.2.3  表示層  401
4.2.4  會話層  402
4.2.5  傳輸層  404
4.2.6  網絡層  405
4.2.7  數據鏈路層  405
4.2.8  物理層  407
4.2.9  OSI模型的功能與協議  408
4.2.10  OSI各層綜述  410
4.2.11  多層協議  411
4.3  TCP/IP模型  412
4.3.1  TCP  413
4.3.2  IP尋址  418
4.3.3  IPv6  420
4.3.4  第二層安全標準  423
4.3.5  聚合協議  424
4.4  傳輸介質  425
4.4.1  傳輸類型  425
4.4.2  布線  429
4.5  無線網絡  433
4.5.1  無線通信技術  434
4.5.2  無線網絡組件  437
4.5.3  無線網絡安全的演化  438
4.5.4  無線標準  443
4.5.5  無線網絡安全實踐  448
4.5.6  衛星  448
4.5.7  移動無線通信  450
4.6  網絡基礎  453
4.6.1  網絡拓撲  454
4.6.2  介質訪問技術  456
4.6.3  傳輸方法  466
4.7  網絡協議和服務  467
4.7.1  地址解析協議  467
4.7.2  動態主機配置協議  469
4.7.3  網絡控制報文協議  471
4.7.4  簡單網絡管理協議  473
4.7.5  域名服務  475
4.7.6  電子郵件服務  481
4.7.7  網絡地址轉換  486
4.7.8  路由協議  487
4.8  網絡組件  491
4.8.1  中繼器  491
4.8.2  網橋  492
4.8.3  路由器  494
4.8.4  交換機  495
4.8.5  網關  499
4.8.6  PBX  501
4.8.7  防火牆  504
4.8.8  代理服務器  523
4.8.9  統一威脅管理  525
4.8.10  內容分發網絡  526
4.8.11  軟件定義網絡  526
4.8.12  終端  528
4.8.13  蜜罐  529
4.8.14  網絡準入控制  530
4.8.15  虛擬網絡  530
4.9  內聯網與外聯網  531
4.10  城域網  533
4.11  廣域網(WAN)  535
4.11.1  通信的發展  536
4.11.2  專用鏈路  538
4.11.3  WAN技術  541
4.12  通信信道  551
4.12.1  多服務訪問技術  551
4.12.2  H.323 網關  553
4.12.3  SIP詳述  554
4.12.4  IP電話安全問題  557
4.13  遠程連接  558
4.13.1  撥號連接  559
4.13.2  ISDN  560
4.13.3  DSL  561
4.13.4  線纜調制解調器  562
4.13.5  VPN  563
4.13.6  身份驗證協議  569
4.14  網絡加密  571
4.14.1  鏈路加密與端對端加密  572
4.14.2  電子郵件加密標準  573
4.14.3  Internet安全  576
4.15  網絡攻擊  581
4.15.1  拒絕服務  581
4.15.2  嗅探  583
4.15.3  DNS劫持  583
4.15.4  偷渡下載  584
4.16  總結  585
4.17  快速提示  585
4.18  問題  589
4.19  答案  596
第5章  身份與訪問管理  601
5.1  訪問控制概述  601
5.2  安全原理  602
5.2.1  可用性  603
5.2.2  完整性  603
5.2.3  機密性  603
5.3  身份標識、身份驗證、授權與可問責性  604
5.3.1  身份標識和身份驗證  606
5.3.2  身份驗證方法  615
5.3.3  授權  634
5.3.4  可問責性  646
5.3.5  會話管理  650
5.3.6  聯合身份驗證  651
5.4  集成身份即服務  661
5.4.1  本地部署  661
5.4.2  雲計算  661
5.4.3  集成問題  662
5.5  訪問控制機制  663
5.5.1  自主訪問控制  663
5.5.2  強制訪問控制  664
5.5.3  基於角色的訪問控制  667
5.5.4  基於規則的訪問控制  669
5.5.5  基於屬性的訪問控制  670
5.6  訪問控制方法和技術  670
5.6.1  用戶界面限制  671
5.6.2  遠程訪問控制技術  671
5.6.3  訪問控制矩陣  677
5.6.4  內容相關訪問控制  678
5.6.5  上下文相關訪問控制  678
5.7  身份與訪問權限配置生命周期管理  679
5.7.1  配置  679
5.7.2  用戶訪問審查  680
5.7.3  繫統賬戶訪問審查  680
5.7.4  撤銷  680
5.8  控制物理與邏輯訪問  681
5.8.1  訪問控制層級  681
5.8.2  行政性控制措施  682
5.8.3  物理性控制措施  683
5.8.4  技術性控制措施  684
5.9  訪問控制實踐  686
5.10  訪問控制持續監測  689
5.10.1  入侵檢測繫統  689
5.10.2  入侵防御繫統  698
5.11  訪問控制面臨的威脅  700
5.11.1  字典攻擊  700
5.11.2  暴力破解攻擊  701
5.11.3  登錄欺騙  702
5.11.4  網絡釣魚和域欺騙  702
5.12  總結  705
5.13  快速提示  705
5.14  問題  708
5.15  答案  715
第6章  安全評估與測試  719
6.1  評估、測試和審計策略  720
6.1.1  內部審計  722
6.1.2  外部審計  723
6.1.3  第三方審計  724
6.1.4  測試覆蓋率  725
6.2  審計技術控制措施  725
6.2.1  漏洞測試  726
6.2.2  滲透測試  729
6.2.3  戰爭撥號  732
6.2.4  其他漏洞類型  733
6.2.5  事後檢查  734
6.2.6  日志審查  735
6.2.7  綜合交易  738
6.2.8  誤用用例測試  738
6.2.9  代碼審查  740
6.2.10  代碼測試  741
6.2.11  接口測試  742
6.3  審計管理控制措施  742
6.3.1  賬戶管理  742
6.3.2  備份驗證  744
6.3.3  災難恢復和業務連續性  747
6.3.4  安全培訓和安全意識宣貫  752
6.3.5  關鍵績效和風險指標  756
6.4  報告  758
6.4.1  分析結果  758
6.4.2  撰寫技術報告  759
6.4.3  摘要  760
6.5  管理評審和批準  761
6.5.1  管理評審之前  762
6.5.2  評審的輸入  762
6.5.3  管理批準  763
6.6  總結  763
6.7  快速提示  764
6.8  問題  765
6.9  答案  769
第7章  運營安全  771
7.1  運營部門的角色  772
7.2  行政管理  773
7.2.1  安全與網絡人員  775
7.2.2  可問責性  776
7.2.3  閾值水平  776
7.3  物理安全  777
7.3.1  工作場所訪問控制  777
7.3.2  人員訪問控制  784
7.3.3  外部邊界保護機制  785
7.3.4  入侵檢測繫統  792
7.3.5  巡邏與警衛  795
7.3.6  警犬  795
7.3.7  物理訪問的審計  796
7.3.8  內部安全控制措施  796
7.4  安全資源配置  796
7.4.1  資產清單  797
7.4.2  資產管理  798
7.4.3  配置管理  800
7.4.4  可信恢復  803
7.4.5  輸入/輸出控制措施  805
7.4.6  繫統加固  806
7.4.7  遠程訪問的安全性  808
7.4.8  配置雲資產  808
7.5  網絡與資源的可用性  809
7.5.1  平均故障間隔時間  810
7.5.2  平均修復時間  810
7.5.3  單點故障  811
7.5.4  備份  818
7.5.5  應急計劃  821
7.6  預防與檢測  821
7.6.1  不間斷持續監測  822
7.6.2  防火牆  823
7.6.3  入侵檢測和防御繫統  823
7.6.4  白名單與黑名單  824
7.6.5  反惡意軟件  825
7.6.6  脆弱性管理  825
7.6.7  補丁管理  828
7.6.8  沙箱  830
7.6.9  蜜罐和蜜網  830
7.6.10  出口流量持續監測  831
7.6.11  安全信息和事件管理  832
7.6.12  外包服務  832
7.7  事故管理流程  833
7.7.1  檢測  837
7.7.2  響應  837
7.7.3  緩解  838
7.7.4  報告  839
7.7.5  恢復  839
7.7.6  修復  840
7.8  調查  840
7.8.1  計算機取證與適當的證據收集  841
7.8.2  動機、機會與手段  842
7.8.3  計算機犯罪行為  843
7.8.4  事故調查  843
7.8.5  調查類型  844
7.8.6  司法調查流程  845
7.8.7  什麼是法庭上可受理的？  850
7.8.8  監視、搜查和扣押  852
7.9  災難恢復  853
7.9.1  業務流程恢復  856
7.9.2  恢復站點策略  857
7.9.3  供應和技術恢復  863
7.9.4  備份存儲策略  866
7.9.5  終端用戶環境  874
7.9.6  可用性  875
7.10  責任及其影響  877
7.10.1  責任示例場景  879
7.10.2  第三方風險  881
7.10.3  合同協議  881
7.10.4  采購和供應商流程  881
7.11  保險  882
7.12  實施災難恢復  883
7.12.1  人員  884
7.12.2  評估  884
7.12.3  還原  885
7.12.4  通信  887
7.12.5  培訓  887
7.13  人員安全問題  888
7.13.1  應急管理  888
7.13.2  脅迫  889
7.13.3  旅行  889
7.13.4  培訓  890
7.14  總結  890
7.15  快速提示  890
7.16  問題  892
7.17  答案  897
第8章  軟件開發安全  901
8.1  構建良好代碼  902
8.1.1  如何處置軟件安全問題？  902
8.1.2  不同環境需要不同的安全  904
8.1.3  環境與應用程序  905
8.1.4  功能性與安全性  905
8.1.5  實施與默認配置問題  906
8.2  軟件開發生命周期  907
8.2.1  項目管理  907
8.2.2  需求收集階段  908
8.2.3  設計階段  909
8.2.4  開發階段  912
8.2.5  測試階段  914
8.2.6  運營維護階段  916
8.3  軟件開發方法論  918
8.3.1  瀑布模式  918
8.3.2  V形模式  919
8.3.3  原型模式  919
8.3.4  增量模式  920
8.3.5  螺旋模式  921
8.3.6  快速應用程序開發  922
8.3.7  敏捷模式  923
8.3.8  集成產品團隊  926
8.3.9  DevOps  927
8.4  能力成熟度集成模型(CMMI)  928
8.5  變更管理  930
8.6  開發環境的安全性  931
8.6.1  開發平臺的安全性  932
8.6.2  代碼庫的安全性  932
8.6.3  軟件配置管理  933
8.7  安全編碼  934
8.7.1  源代碼漏洞  934
8.7.2  安全編碼實踐  934
8.8  編程語言與概念  935
8.8.1  彙編器、編譯器和解釋器  937
8.8.2  面向對像的概念  939
8.8.3  其他軟件開發的概念  945
8.8.4  應用程序接口  947
8.9  分布式計算  947
8.9.1  分布式計算環境  948
8.9.2  CORBA和 ORB  949
8.9.3  COM和DCOM  951
8.9.4  Java平臺企業版  953
8.9.5  面向服務的架構  953
8.10  移動代碼  956
8.10.1  Java applet  956
8.10.2  ActiveX控件  958
8.11  Web安全  959
8.11.1  Web環境的具體威脅  960
8.11.2  Web應用安全準則  965
8.12  數據庫管理  966
8.12.1  數據庫管理軟件  967
8.12.2  數據庫模型  968
8.12.3  數據庫編程接口  972
8.12.4  關繫型數據庫組件  974
8.12.5  完整性  976
8.12.6  數據庫安全問題  978
8.12.7  數據倉庫與數據挖掘  982
8.13  惡意軟件  985
8.13.1  病毒  987
8.13.2  蠕蟲  989
8.13.3  rootkit  989
8.13.4  間諜軟件和廣告軟件  990
8.13.5  僵尸網絡  991
8.13.6  邏輯炸彈  992
8.13.7  特洛伊木馬  992
8.13.8  反惡意軟件  993
8.13.9  垃圾郵件檢測  996
8.13.10  反惡意軟件程序  997
8.14  評估獲取軟件的安全性  998
8.15  總結  999
8.16  快速提示  999
8.17  問題  1002
8.18  答案  1008
附錄  關於在線內容  1013

為什麼成為CISSP持證專家？

隨著世界的變化，社會對安全和技術改進的需求不斷增長。公司和其他組織迫切需要找到並招募纔華橫溢、經驗豐富的安全專家，因為隻有這些專業人員纔能保護公司和組織賴以生存和保持競爭力的寶貴資源。作為一名認證信息繫統安全專家(CISSP)，你將被視為一名能力過硬的安全專家，並已成功滿足了預計的知識和經驗標準，在整個行業中廣為人知且獲得尊重。通過保持此認證的有效性，將證明你致力於跟上安全發展的步伐。
下面列出獲取CISSP認證資格的一些理由：
擴展你當前對安全概念和實踐的了解
展示你作為經驗豐富的安全專家的專業知識
在競爭激烈的勞動力市場中占據優勢
增加薪水並有資格獲得更多就業機會
為你當前的職業帶來更高的安全專業知識
表現出對安全紀律的獻身精神
CISSP認證可幫助公司確定某人具有實施可靠安全措施所需的能力、知識和經驗；進行風險分析；確定必要的對策；並幫助整個組織保護設施、網絡、繫統和信息。CISSP認證還向潛在雇主表明你已達到安全行業所需的技能和知識水平。安全對於成功企業的重要性在未來隻可能不斷增加，從而導致對高技能安全專家的更高要求。CISSP認證表明，受人尊敬的第三方組織已經認可了個人的技術和理論知識以及專業知識，並將該個人與缺乏這種知識水平的人區分開。
對於優秀的網絡管理員、編程人員或工程師來說，理解和實現安全應用是一項至關重要的內容。在大量並非針對安全專家的職位描述中，往往仍要求應聘人員正確理解安全概念及其實現方式。由於人員規模和預算限制，許多組織負擔不起聘用單獨的網絡和安全人員的開銷。但他們仍然認為安全性對組織至關重要；因此，經常嘗試將技術和安全知識合並到一個角色中。通過CISSP認證，你就會比其他應聘人員更有優勢。
CISSP考試
因為CISSP考試涵蓋構成CISSP CBK的8個領域，所以它通常被描述為“一英寸深，一英裡寬”，這是指許多考題不很詳細，也不要求考生是每個學科的專家；但這些考題確實要求考生熟悉許多不同的安全主題。
截至2017年12月18日，CISSP考試有兩個版本，即英文版和非英文版。英文版現在是一種計算機自適應測試(CAT)，在這個測試中，考題數量從100道到150道，具體取決於考生的知識水平；其中，25道題不計入分數，是為了將來的考試而評估的(有時被稱為預測試)。基本上，測試軟件越容易確定考生的熟練程度，考題就越少。不管問了多少問題，考生完成測試的時間都不會超過3小時。當繫統成功評估了考生的知識水平後，不管考生用了多長時間，測試都將結束。
考試提示：
英文版CAT考試繫統將對CISSP考生的知識掌握程度進行估計，並相應調整CAT考題，使考生感到問題“較難”。不要灰心；隻是要注意不能停滯在某一道題上，因為必須在3小時內至少回答100道題。
非英文版的CISSP考試也基於計算機，但不是自適應的，包括250道題，回答時間不超過6小時。與CAT版本一樣，有25道題是預測試(不得分)，將根據考生的其他考題來計分，共225道題。有25個研究考題被整合到考試中，所以考生不知道哪一個會影響終成績。要通過考試，考生需要在1000分中得到700分。
不論考生參加哪個考試版本，都會遇到多項選擇和創新性考題。創新性考題包含拖放(將術語或條目拖到框中的正確位置)或熱點(單擊正確回答考題的條目或術語)界面，但要加權，與其他任何考題一樣計分。從更大的題庫中提取考題，以確保每個考生的考試盡可能。此外，題庫不斷變化，以更準確地反映真實的安全領域。考題會不斷輪換，並根據需要進行替換。根據考題的難度進行加權；並非所有考題的得分都相同。考試不是針對產品或供應商的，這意味著沒有考題針對某些產品或供應商(如Windows、UNIX或Cisco)。相反，將通過這類繫統所用的安全模型和方法進行測試。
考試提示：
猜錯不會倒扣分數。如果考生無法在合理時間內回答出正確答案，那麼建議猜測答案並繼續下一道題。
(ISC)2(International Information Systems Security Certification Consortium，國際信息繫統安全認證聯盟)在CISSP考試中也包括基於場景的考題。場景題向考生呈現一個簡短場景，而非要求考生識別術語和/或概念。場景題的目標是確保考生不僅理解CBK中的概念，而且可將這些知識應用到實際中。這更實用，因為在現實中，考生不會因為有人詢問“共謀的定義是什麼？”而受到挑戰；除了解術語的定義外，考生還需要知道如何檢測和防止共謀的發生。
通過考試後，將要求考生提供由背書人支持的文檔，以此來證明考生確實具有獲得此認證所需的經驗。背書人必須簽署一份憑證，為考生提交的安全工作經驗提供擔保。因此，在注冊考試和付款之前，請聯繫好一位背書人。考生肯定不願意看到這樣的局面：在支付費用並通過考試後，卻發現無法找到背書人幫助考生完成獲得認證所需的後步驟。
提出背書要求的原因是為了確保獲得認證的人員具有為組織提供服務的真實經驗。書面知識對於理解理論、概念、標準和法規極為重要，但永遠不能替代動手實踐。證明考生的實踐經驗可以證明認證的相關性。
通過考試後，將隨機抽取一小部分考生作為樣本進行審核。審核人員主要來自(ISC)2的兩個人，他們將通過拜訪考生的背書人和聯絡人來核實考生的相關經歷。
使CISSP考試具有挑戰性的因素之一是，盡管大多數考生都在安全領域工作，但他們不一定熟悉所有8個CBK安全領域。例如，如果某個安全專家是漏洞測試或應用程序安全方面的專家，那麼他可能並不熟悉物理安全性、加密或取證。因此，學習此考試將拓寬考生對安全領域的了解。 
考題涉及8個CBK安全領域，如下表所示。

安全領域 描述
安全和風險管理 該領域涵蓋了信息繫統安全的許多基本概念。該領域的部分主題包括：
可用性、完整性和機密性的原則
安全治理和法規遵從性
法律和法規問題
職業道德
人員安全策略
風險管理
威脅建模
資產安全 該領域解釋了在整個信息資產生命周期中如何對信息資產進行保護。該領域的部分主題包括：
資產識別和分類
維護信息和資產所有權
隱私
資產留存
數據安全控制
信息和資產處理要求
安全架構與工程 該領域解釋了在面對無數威脅的情況下如何保護信息繫統發展的安全。該領域的部分主題包括：
安全設計原則
選擇有效的控制措施
緩解脆弱性
密碼學
站點和基礎設施的安全設計
物理安全
(續表)  
安全領域 描述
通信與網絡安全 該領域解釋如何保護網絡架構、通信技術和網絡協議的安全。該領域的部分主題包括：
安全網絡架構
安全網絡組件
安全通信信道
身份與訪問管理 身份與訪問管理是信息安全中重要的主題之一。該領域涵蓋了用戶和繫統之間、繫統和其他繫統之間的相互關繫。該領域的部分主題包括：
控制對資產的物理和邏輯訪問
身份標識與驗證
身份即服務
第三方身份服務
授權方式
安全評估與測試 該領域解釋了驗證信息繫統安全性的方法。該領域的部分主題包括：
評估和測試策略
測試安全控制
收集安全過程數據
分析和報告結果
開展和促進審計
運營安全 該領域涵蓋了在我們日常業務中許多維護網絡安全的活動。該領域的部分主題包括：
支持調查
調查類型及其要求
日志和監控
安全配置資源
軟件開發安全 該領域解釋了應用安全原則去獲取和開發軟件繫統。該領域的部分主題包括：
軟件開發生命周期中的安全
開發環境中的安全控制
評估軟件安全性
評估所購軟件的安全性
安全編碼準則和標準
 
(ISC)2試圖通過每年向測試題庫添加許多新考題，來反映安全領域技術和方法的變化。這些考題基於當前的技術、實踐、方法和標準。例如，1998年進行的CISSP考試沒有關於無線安全性、跨站點腳本攻擊或IPv6的考題。
書中包含哪些內容？
《CISSP權威指南（第8版）》涵蓋了成為(ISC)2認證CISSP所需的全部知識。講述企業如何制定和實施策略、程序、指南和標準，並解釋原因。涵蓋網絡、應用程序和繫統漏洞，漏洞被利用情況，以及如何應對這些威脅。《CISSP權威指南（第8版）》解釋物理安全、操作安全以及繫統如何實現其安全機制。還回顧美國和國際安全標準以及在保證評級繫統上執行的評估，分析這些標準的含義以及使用它們的原因。《CISSP權威指南（第8版）》還解釋了圍繞計算機繫統及其所擁有數據的法律和責任問題，包括計算機犯罪、法證學等主題，以及如何為出庭準備計算機證據。
雖然《CISSP權威指南（第8版）》主要是用作CISSP考試的學習指南，但在考生通過認證後，《CISSP權威指南（第8版）》仍不失為一本不可替代的重要參考用書。
參加CISSP考試的提示
很多考生覺得考題很棘手。一定要仔細閱讀考題和所有備選答案，而不是看了幾個單詞就斷定自己已知道考題的答案。有些答案選項可能隻有細微差別，所以要有耐心，多花時間通讀考題。
有些考生抱怨CISSP考試略帶主觀色彩。例如，有這樣兩個考題。個是技術考題，考查的是防止中間人攻擊的TLS(Transport Layer Security，傳輸層安全)所用的具體機制；第二個考題則詢問周長為8英尺的柵欄提供的是低級、中級還是高級安全防護。考生會發現，前一個考題比後一個考題更容易回答。許多考題要求考生選擇“”方法，有些考生認為這是令人困惑和主觀的。這裡提到這些抱怨不是為了批評(ISC)2和出題人員，而是為了幫助考生更好地備考。《CISSP權威指南（第8版）》涵蓋了考試必需的所有材料，並包含了許多問題和自測試卷。大部分問題的格式與實際試題相同，使考生能更好地準備應對真實考試。所以，一定要閱讀書中的所有材料，並密切注意問題及其格式。有時，即使考生對某個主題十分了解，也可能答錯題。因此，考生需要學會如何應試。
在回答某些問題時，重要的是要記住，一些事物比其他東西更有價值。例如，保護人身安全和福祉總比其他所有應對措施更重要。同樣，如果其他所有因素都相等，考生可選擇昂貴和復雜的解決方案，又可選擇更簡單和便宜的解決方案，那麼第二個方法在大多數情況下都會勝出。專家建議(如律師的建議)比憑據較少的人士提供的建議更有價值。如果某道題的可能答案之一是尋求專家的建議或向其尋求建議，請密切注意該類考題。正確的應對措施很可能就是尋找該專家。
CISSP考生需要熟悉行業標準，並了解自己工作之外的技術知識和方法。必須再次強調的是，考生可能僅在特定領域是佼佼者，並不意味著考生對考試涉及的每個領域都做好了充分準備。
當CISSP考生在Pearson VUE測試中心參加CISSP考試時，其他認證考試可能在同一房間同時進行。如果看到其他考生很早離開房間，不要著急；其他人可能正在參加一項時間較短的考試。
如何使用這本書
《CISSP權威指南（第8版）》的作者盡了很大努力纔將所有重要信息彙編成書；現在，輪到你盡力從《CISSP權威指南（第8版）》中汲取知識了。要從《CISSP權威指南（第8版）》受益，可采用以下學習方法：
認真學習每一章，確保理解了每一個概念。對許多概念必須完全理解，如果對一些概念似懂非懂，那麼對你來說將是非常不利的。CISSP CBK包含數百個不同主題，因此需要花時間掌握這些內容。
確保學習並回答所有問題。如果有任何疑問使你感到困惑，那麼需要再次閱讀相關的章節。請記住，實際考試中的某些問題含糊其辭，看上去較難回答，不要誤以為這些問題表述不清而將其忽視。相反，它們的存在具有明確的目的性，對此要特別注意。
如果你不熟悉特定主題，如防火牆、法律、物理安全或協議功能，請使用其他信息源(書籍、文章等)來更深入地了解這些主題。不要僅依靠你自認為需要知道的東西來準備CISSP考試。
閱讀《CISSP權威指南（第8版）》後，你需要學習所有問題和答案，並進行自測。然後復習(ISC)2考試大綱，確保對所呈現的每個條目都很熟悉。如果對某些條目不夠熟悉，請重新閱讀相關章節。
如果你參加了其他認證考試(如Cisco、Novell或Microsoft)，則可能習慣於記住一些細節和配置參數。但請記住，CISSP測試是“一英寸深，一英裡寬”，因此在嘗試記住具體細節之前，請確保了解每個主題的概念。
記住，考試是在尋找“”答案。在一些問題上，你可能不同意其中一個或多個答案。你需要從提供的4個答案中選出其中合理的那一個。
在線內容
考生可參考《CISSP權威指南（第8版）》附錄，訪問在線內容。