Voici le contenu de Gestion de la Sécurité et des Risques du CISSP®
Ce domaine 1 vaut 16 % du la note à atteindre
Domaine 1 du CISSP®
Contenu réactualisé en fonction du nouveau programme officiel de 2024
| N° | Description |
|---|---|
| 1.1 | Comprendre, respecter et promouvoir l'éthique professionnelle |
| 1.1.1 | (ISC) Code de déontologie professionnelle |
| 1.1.2 | Code de déontologie organisationnelle |
| 1.2 | Comprendre et appliquer les concepts de sécurité |
| 1.2.1 | Confidentialité |
| 1.2.2 | Intégrité |
| 1.2.3 | Disponibilité |
| 1.2.4 | Authenticité |
| 1.2.5 | Non-répudiation |
| 1.3 | Évaluer et appliquer les principes de gouvernance de la sécurité |
| 1.3.1 | Alignement de la fonction de sécurité sur la stratégie opérationnelle, les buts, la mission et les objectifs |
| 1.3.2 | Processus organisationnels |
| 1.3.3 | Rôles et responsabilités organisationnels |
| 1.3.4 | Cadre de contrôle de sécurité |
| 1.3.5 | Prudence raisonnable/diligence raisonnable |
| 1.4 | Déterminer la conformité et les autres exigences |
| 1.4.1 | Déterminer la conformité et les autres exigences contractuelles |
| 1.4.2 | Juridique |
| 1.4.3 | Normes industrielles |
| 1.4.4 | Exigences réglementaires |
| 1.4.5 | Exigences de confidentialité |
| 1.5 | Comprendre les questions juridiques et réglementaires liées à la sécurité de l'information dans un contexte holistique |
| 1.5.1 | Cybercrimininalité et Violation de données |
| 1.5.2 | Licences et Propriété Intellectuelle |
| 1.5.3 | Contrôles d'import/export |
| 1.5.4 | Flux transfrontaliers |
| 1.5.5 | Vie privée |
| 1.6 | Comprendre les exigences relatives aux types d'enquête |
| 1.7 | Élaborer, documenter et mettre en œuvre des politiques, des normes, des procédures et des lignes directrices |
| 1.8 | Identifier, analyser et hiérarchiser les exigences en matière de continuité des opérations (BC) |
| 1.8.1 | Analyse de l'impact sur les entreprises (BIA) |
| 1.8.2 | Élaborer et documenter la portée et le plan |
| 1.9 | Contribuer aux politiques et procédures de sécurité du personnel et les appliquer |
| 1.9.1 | Sélection et recrutement des candidats |
| 1.9.2 | Accords et politiques en matière d'emploi |
| 1.9.3 | Processus d'intégration, de transfert et de résiliation |
| 1.9.4 | Contrats et contrôles avec les fournisseurs, les consultants et les entreprises |
| 1.9.5 | Exigences de la politique de conformité |
| 1.9.6 | Exigences de respect de la Vie Privée |
| 1.10 | Comprendre et appliquer les concepts de gestion des risques |
| 1.10.1 | Identifier les menaces et les vulnérabilités |
| 1.10.2 | Évaluation/analyse des risques |
| 1.10.3 | Réponse aux risques |
| 1.10.4 | Choix et mise en œuvre des contre-mesures |
| 1.10.5 | Types de contrôles applicables (p. ex. , préventifs, détectifs, correctifs) |
| 1.10.6 | Évaluations de contrôle (sécurité et protection de la Vie Privée) |
| 1.10.7 | Surveillance et mesure |
| 1.10.8 | Rapports |
| 1.10.9 | Amélioration continue (p. ex. , modélisation de la maturité du risque) |
| 1.10.10 | Cadres de risque |
| 1.11 | Comprendre et appliquer les concepts et les méthodologies de modélisation des menaces |
| 1.12 | Appliquer les concepts de gestion des risques de la chaîne d'approvisionnement (SCRM) |
| 1.12.1 | Risques associés au matériel, aux logiciels et aux services |
| 1.12.2 | Évaluation et suivi des tiers |
| 1.12.3 | Exigences minimales de sécurité |
| 1.12.4 | Niveau de service requis |
| 1.13 | Établir et maintenir un programme de sensibilisation, d'éducation et de formation en matière de sécurité |
| 1.13.1 | Méthodes et techniques de sensibilisation et de formation (p. ex. , ingénierie sociale, hameçonnage, champions de la sécurité, gamification) |
| 1.13.2 | Examens périodiques du contenu |
| 1.13.3 | Évaluation de l'efficacité du programme |