CISSP: Certified Information Systems Security Professional

Alan 1: Güvenlik ve Risk Yönetimi

1.1 Mesleki etik ilkelerini anlamak, bunlara uymak ve teşvik etmek

1.2 Güvenlik kavramlarını anlamak ve uygulamak

1.3 Güvenlik yönetişimi (governance) ilkelerini değerlendirmek ve uygulamak

1.4 Bilgi güvenliğiyle ilişkili hukuki, düzenleyici ve uyumluluk konularını bütüncül bir bağlamda anlamak

1.5 Soruşturma türlerine ilişkin gereksinimleri anlamak (örn. idari, cezai, hukuki, düzenleyici, sektör standartları)

1.6 Güvenlik politikalarını, standartlarını, prosedürlerini ve yönergelerini geliştirmek, dokümante etmek ve uygulamak

1.7 İş Sürekliliği (Business Continuity – BC) gereksinimlerini belirlemek, analiz etmek, değerlendirmek, önceliklendirmek ve uygulamak

1.8 Personel güvenliği politikalarına ve prosedürlerine katkıda bulunmak ve bunların uygulanmasını sağlamak

1.9 Risk yönetimi kavramlarını anlamak ve uygulamak

1.10 Tehdit modelleme kavramlarını ve metodolojilerini anlamak ve uygulamak

1.11 Tedarik zinciri risk yönetimi (Supply Chain Risk Management – SCRM) kavramlarını uygulamak

1.12 Bir güvenlik farkındalığı, eğitim ve öğretim programı oluşturmak ve sürdürmek

 

Alan 2: Varlık Güvenliği

2.1 Bilgi ve varlıkları tanımlamak ve sınıflandırmak

2.2 Bilgi ve varlıkların işlenmesine yönelik gereksinimleri belirlemek

2.3 Bilgi ve varlıkları güvenli şekilde sağlamak (provisioning)

2.4 Veri yaşam döngüsünü yönetmek

2.5 Uygun varlık saklama ve kullanım süresi gereksinimlerini sağlamak (örn. End of Life – EOL, End of Support)

2.6 Veri güvenliği kontrollerini ve uyumluluk gereksinimlerini belirlemek

 

Alan 3: Güvenlik Mimarisi ve Mühendisliği

3.1 Güvenli tasarım prensiplerini kullanarak mühendislik süreçlerini araştırmak, uygulamak ve yönetmek

3.2 Güvenlik modellerinin temel kavramlarını anlamak (örn. Biba, Star Model, Bell-LaPadula)

3.3 Sistem güvenliği gereksinimlerine göre kontrolleri seçmek

3.4 Bilgi Sistemlerinin (Information Systems – IS) güvenlik yeteneklerini anlamak

3.5 Güvenlik mimarileri, tasarımları ve çözüm bileşenlerindeki zafiyetleri değerlendirmek ve azaltmak

3.6 Kriptografik çözümleri seçmek ve belirlemek

3.7 Kriptanalitik saldırı yöntemlerini anlamak

3.8 Güvenlik prensiplerini tesis ve saha tasarımına uygulamak

3.9 Saha ve tesis güvenlik kontrollerini tasarlamak

3.10 Bilgi sistemi yaşam döngüsünü yönetmek

 

Alan 4: İletişim ve Ağ Güvenliği

4.1 Ağ mimarilerinde güvenli tasarım prensiplerini uygulamak

4.2 Ağ bileşenlerini güvenli hale getirmek

4.3 Tasarıma uygun şekilde güvenli iletişim kanallarını uygulamak

 

Alan 5: Kimlik ve Erişim Yönetimi (Identity and Access Management – IAM)

5.1 Varlıklara fiziksel ve mantıksal erişimi kontrol etmek

5.2 Kimliklendirme ve kimlik doğrulama stratejisi tasarlamak (örn. kişiler, cihazlar ve servisler)

5.3 Üçüncü taraf bir servis ile federated identity kullanmak

5.4 Yetkilendirme mekanizmalarını uygulamak ve yönetmek

5.5 Kimlik ve erişim sağlama (provisioning) yaşam döngüsünü yönetmek

5.6 Kimlik doğrulama sistemlerini uygulamak

 

Alan 6: Güvenlik Değerlendirmesi ve Test

6.1 Değerlendirme, test ve denetim stratejileri tasarlamak ve doğrulamak

6.2 Güvenlik kontrolleri testlerini gerçekleştirmek

6.3 Güvenlik süreç verilerini toplamak (örn. teknik ve idari)

6.4 Test çıktılarını analiz etmek ve rapor oluşturmak

6.5 Güvenlik denetimlerini gerçekleştirmek veya kolaylaştırmak

 

Alan 7: Güvenlik Operasyonları

7.1 Soruşturmaları anlamak ve bunlara uymak

7.2 Loglama ve izleme faaliyetlerini yürütmek

7.3 Yapılandırma yönetimini (Configuration Management – CM) gerçekleştirmek (örn. provisioning, baseline oluşturma, otomasyon)

7.4 Temel güvenlik operasyonları kavramlarını uygulamak

7.5 Kaynak korumasını uygulamak

7.6 Olay (incident) yönetimini gerçekleştirmek

7.7 Tespit ve önleyici tedbirleri işletmek ve sürdürmek

7.8 Yama ve zafiyet yönetimini uygulamak ve desteklemek

7.9 Değişiklik yönetimi süreçlerine katılmak ve bunları anlamak

7.10 Kurtarma stratejilerini uygulamak

7.11 Felaket kurtarma (Disaster Recovery – DR) süreçlerini uygulamak

7.12 Felaket kurtarma planlarını (Disaster Recovery Plan – DRP) test etmek

7.13 İş Sürekliliği (BC) planlamasına ve tatbikatlarına katılmak

7.14 Fiziksel güvenliği uygulamak ve yönetmek

7.15 Personel güvenliği ve emniyetiyle ilgili konuları ele almak

 

Alan 8: Yazılım Geliştirme Güvenliği

8.1 Yazılım Geliştirme Yaşam Döngüsü (Software Development Life Cycle – SDLC) içinde güvenliği anlamak ve entegre etmek

8.2 Yazılım geliştirme ekosistemlerinde güvenlik kontrollerini tanımlamak ve uygulamak

8.3 Yazılım güvenliğinin etkinliğini değerlendirmek

8.4 Satın alınan yazılımların güvenlik etkisini değerlendirmek

8.5 Güvenli kodlama yönergelerini ve standartlarını tanımlamak ve uygulamak