Certified Information Systems Security Professional (CISSP)

Une connaissance de base du système d'information est recommandée.
Une bonne connaissance de l'anglais est nécessaire car la documentation est en anglais.

Le large éventail de sujets inclus dans le corps commun de connaissances (CBK) du CISSP garantit sa pertinence dans toutes les disciplines du domaine de la sécurité de l'information. Les candidats retenus sont compétents dans les 8 domaines suivants:

1. Sécurité et gestion des risques
2. Sécurité des biens
3. Architecture et ingénierie de la sécurité
4. Sécurité des communications et des réseaux
5. Gestion des identités et des accès (IAM)
6. Évaluation et tests de sécurité
7. Opérations de sécurité
8. Sécurité du développement logiciel

DOMAINE 1: SÉCURITÉ ET GESTION DES RISQUES

• Comprendre et appliquer les concepts de confidentialité, d'intégrité et de disponibilité.
• Évaluer et appliquer les principes de gouvernance de la sécurité.
• Déterminer les exigences de conformité.
• Comprendre les questions juridiques et réglementaires relatives à la sécurité de l'information dans un contexte mondial.
• Comprendre, adhérer et promouvoir l'éthique professionnelle.
• Élaborer, documenter et mettre en œuvre une politique, des normes, des procédures et des directives en matière de sécurité.
• Identifier, analyser et classer par ordre de priorité les exigences en matière de continuité des activités (CB).
• Contribuer aux politiques et procédures de sécurité du personnel et les faire appliquer.
• Comprendre et appliquer les concepts de gestion des risques.
• Comprendre et appliquer les concepts et méthodologies de modélisation des menaces.
• Appliquer les concepts de gestion des risques à la chaîne d'approvisionnement établir et maintenir un programme de sensibilisation, d'éducation et de formation à la sécurité.

DOMAINE 2: SÉCURITÉ DES BIENS

• Identifier et classer les informations et les biens.
• Déterminer et maintenir la propriété des informations et des biens.
• Protéger la vie privée.
• Assurer une conservation appropriée des actifs.
• Déterminer les contrôles de sécurité des données.
• Définir les exigences en matière de traitement des informations et des actifs.

DOMAINE 3: INGÉNIERIE DE LA SÉCURITÉ

• Mettre en œuvre et gérer les processus d'ingénierie en utilisant les principes de conception sécurisée.
• Comprendre les concepts fondamentaux des modèles de sécurité.
• Sélectionner les contrôles en fonction des exigences de sécurité des systèmes.
• Comprendre les capacités de sécurité des systèmes d'information (par exemple, protection de la mémoire, Trusted Platform Module, cryptage/décryptage).
• Évaluer et atténuer les vulnérabilités des architectures, des conceptions et des éléments de solution de sécurité.
• Évaluer et atténuer les vulnérabilités des systèmes basés sur le Web.
• Évaluer et atténuer les vulnérabilités des systèmes mobiles.
• Évaluer et atténuer les vulnérabilités des dispositifs embarqués.
• Appliquer la cryptographie.
• Appliquer les principes de sécurité à la conception des sites et des installations.
• Mettre en œuvre les contrôles de sécurité des sites et des installations.

DOMAINE 4: SÉCURITÉ DES COMMUNICATIONS ET DES RÉSEAUX

• Mettre en œuvre les principes de conception sécurisée dans les architectures de réseau.
• Sécuriser les composants du réseau.
• Mettre en œuvre des canaux de communication sécurisés conformément à la conception.

DOMAINE 5: GESTION DES IDENTITÉS ET DES ACCÈS

• Contrôler l'accès physique et logique aux actifs.
• Gérer l'identification et l'authentification des personnes, des dispositifs et des services.
• Intégrer l'identité comme un service tiers.
• Mettre en œuvre et gérer les mécanismes d'autorisation.
• Gérer le cycle de vie du provisionnement des identités et des accès.

DOMAINE 6: ÉVALUATION ET TESTS DE SÉCURITÉ

• Concevoir et valider des stratégies d'évaluation, de test et d'audit.
• Effectuer des tests de contrôle de la sécurité.
• Collecte de données sur les processus de sécurité (p. ex., techniques et administratifs).
• Analyser les résultats des tests et générer un rapport.
• Mener ou faciliter les audits de sécurité.

DOMAINE 7: OPÉRATIONS DE SÉCURITÉ

• Comprendre et soutenir les enquêtes.
• Comprendre les exigences relatives aux types d'enquêtes.
• Mener des activités de journalisation et de surveillance.
• Approvisionner les ressources en toute sécurité.
• Comprendre et appliquer les concepts fondamentaux des opérations de sécurité.
• Appliquer les techniques de protection des ressources.
• Gérer les incidents.
• Exploiter et maintenir des mesures de détection et de prévention.
• Mettre en œuvre et soutenir la gestion des correctifs et des vulnérabilités.
• Comprendre et participer aux processus de gestion du changement.
• Mettre en œuvre des stratégies de récupération.
• Mettre en œuvre des processus de reprise après sinistre (DR).
• Tester les plans de reprise après sinistre (DRP).
• Participer à la planification et aux exercices de continuité des activités (BC).
• Mettre en œuvre et gérer la sécurité physique.
• Répondre aux préoccupations en matière de sûreté et de sécurité du personnel.

DOMAINE 8: SÉCURITÉ DU DÉVELOPPEMENT LOGICIEL

• Comprendre et intégrer la sécurité dans le cycle de vie du développement logiciel (SDLC).
• Identifier et appliquer les contrôles de sécurité dans les environnements de développement.
• Évaluer l'efficacité de la sécurité des logiciels.
• Évaluer l'impact sur la sécurité des logiciels acquis.
• Définir et appliquer des directives et des normes de codage sécurisé.