Änderungen der CISSP-Prüfung 2024

Die CISSP-Prüfung wurde am 15. April 2024 aktualisiert, um sich weiterentwickelnde Sicherheitskonzepte und Technologien widerzuspiegeln. Obwohl die Gewichtung der Domänen größtenteils stabil bleibt, wurde der Inhalt in den meisten Domänen mit neuen Themen wie Quantenschlüsselverteilung, Secure Access Service Edge und aktualisierten Datenschutzgesetzen aufgefrischt.

Am 15. April 2024 implementierte ISC² einen aktualisierten Satz von Zielen für die CISSP-Prüfung. Das Ziel der Aktualisierung der Prüfungsziele ist es, die Prüfung im Hinblick auf die neuesten Entwicklungen im Bereich Sicherheit relevant zu halten. Da der Fortschritt voranschreitet und neue Technologien eingeführt werden, werden die Ziele aktualisiert, um diese sowie die neuesten Standards und Prozesse zu berücksichtigen. In diesem Blog werden wir uns die Änderungen ansehen und einige der Schlüsselaspekte erkunden, die Sie beachten sollten, wenn Sie sich auf die aktualisierte Prüfung im Jahr 2025 vorbereiten. Wenn Sie für die CISSP-Prüfung mit Materialien für das vorherige Update gelernt haben, müssen Sie nur die Änderungen/Zusätze überprüfen, da ein Großteil des Inhalts und der Themen gleich bleibt.

CISSP-Domänen und Änderungen

Zuerst wollen wir die 8 Domänen, die die CISSP-Prüfung ausmachen, überprüfen. In der folgenden Tabelle zeigen wir die 8 Domänen und die relative Gewichtung in den Jahren 2018 und 2021 im Vergleich zu den heutigen relativen Gewichten mit dem Update für 2024. Sie werden feststellen, dass die relativen Gewichte recht stabil geblieben sind, mit nur geringfügigen Änderungen bei den letzten Aktualisierungen.

Details zu den Domain-Aktualisierungen

Ähnlich wie bei der letzten Aktualisierung der Prüfung werden Sie einige der neueren Sicherheitskonzepte, Begriffe und Akronyme im Prüfungsleitfaden finden. Die untenstehende Liste der Änderungen ist nicht erschöpfend, aber ziemlich vollständig. Im aktualisierten Studienführer weise ich auch darauf hin, wenn etwas für 2024 neu ist oder wenn etwas entfernt wurde.

• Domain 1 (Name bleibt gleich, Gewichtung um 1% erhöht). Aus Titelsicht bleibt Domain 1 gleich. Es gibt jedoch einige Änderungen, die zu beachten sind:
  • Die „5 Säulen der Informationssicherheit“ wurden hinzugefügt
  • Zum Thema Sicherheits-Governance-Prinzipien wurde das Aufrechterhalten derselben hinzugefügt
  • Für die Sicherheitskontrollrahmenwerke werden spezifische Rahmenwerke hervorgehoben, einschließlich ISO, NIST, COBIT, SABSA, PCI und FedRAMP – verstehen Sie, was jedes davon auf Managementebene bedeutet
  • Für das rechtliche und regulatorische Thema wurde Compliance hinzugefügt in
  • Das Thema Datenschutz wurde aktualisiert, um die spezifische General Data Protection Regulation, California Consumer Privacy Act, Personal Information Protection Law und Protection of Personal Information Act zu umfassen – wie bei anderen Themen, wenn das Blueprint spezifische Beispiele nennt, stellen Sie sicher, dass Sie diese und die Unterschiede zwischen ihnen verstehen)
  • Für das Thema Geschäftskontinuität wurden die Maßnahmen Bewertung und Implementierung hinzugefügt
  • Ein neues Thema wurde für externe Abhängigkeiten zur Geschäftskontinuität hinzugefügt
  • Das Thema zu Arbeitsverträgen wurde aktualisiert, um richtliniengetriebene Anforderungen zu erwähnen
  • Die Eingrenzung wurde dem Thema Risikobewertung/-analyse hinzugefügt
  • Für Überwachung und Messung wurde das Wort „kontinuierlich“ hinzugefügt
  • Das Thema Risikorahmenwerke wurde um spezifische Beispiele ergänzt
  • Das Thema rund um Risiken für Hardware, Software und Dienstleistungen wurde aktualisiert, um ein breiteres Risikospektrum im Umgang mit Lieferanten zu betonen (wie zum Beispiel Produkttampering)
  • Das Thema zur Bewertung und Überwachung durch Dritte wurde in Risikominderungen umbenannt und um Beispiele wie Bewertung und Überwachung durch Dritte, Service-Level-Anforderungen und Software-Lieferverzeichnis ergänzt)
  • Das Thema Bewusstsein wurde von „gegenwärtig“ zu „steigern“ geändert, eine geringfügige Änderung, die sich auf kontinuierliches Bewusstsein anstelle von anfänglichem Bewusstsein konzentriert
  • Das Thema über periodische Inhaltsprüfungen wurde erweitert, um aufkommende Technologien und Trends einzuschließen und gab spezifische Beispiele (wie KI und Kryptowährung)
• Domäne 2 (Name und Gewicht bleiben gleich). In dieser Domäne hat sich für das Examen 2024 nichts geändert!
• Domain 3 (Name und Gewicht bleiben gleich).
  • Das Thema „Keep it simple“ wurde zu „Keep it simple and small“ geändert, um zu zeigen, dass die Größe bei der Komplexität eine Rolle spielt
  • Das Thema zu zero trust wurde aktualisiert, um „trust but verify“ einzuschließen – dies ist kein neues Thema, sondern vereint lediglich zwei bestehende Themen
  • Ein neues Thema mit dem Titel „Secure access service edge“ wurde hinzugefügt
  • Das Thema zu Industriellen Kontrollsystemen (ICS) hat „Operational Technology“ zum Titel hinzugefügt
  • Das Thema zu Microservices hat einen Hinweis auf APIs hinzugefügt
  • Das PKI-Thema hat einen Verweis auf Quantenschlüsselverteilung hinzugefügt)
  • Das Thema Schlüsselmanagementpraktiken wurde um einen Verweis auf die Rotation ergänzt
  • Das Thema digitale Signaturen verband die Themen Nichtabstreitbarkeit und Integrität
  • Das Thema Verkabelungsschränke änderte „intermediate distribution facilities“ zu „intermediate distribution frame“
  • Das Thema zu Umweltproblemen wurde um Beispiele für Naturkatastrophen und vom Menschen verursachte Probleme ergänzt
  • Folgende Themen und Unterthemen wurden hinzugefügt:
    • Verwalten Sie den Lebenszyklus des Informationssystems
      • Bedürfnisse und Anforderungen der Stakeholder
      • Anforderungsanalyse
      • Architekturentwurf
      • Entwicklung / Implementierung
      • Integration
      • Überprüfung und Validierung
      • Übergang / Einsatz
      • Betrieb und Wartung / Instandhaltung
      • Ruhestand / Entsorgung
• Domain 4 (Name gleich, Gewicht gleich).
  • Abschnitt 4.1 ändert den Titel leicht von „bewerten und implementieren“ zu „Anwenden“
  • Abschnitt 4.1.2 fügt Beispiele für Unicast, Broadcast, Multicast und Anycast hinzu
  • Abschnitt 4.1.3 gibt Beispiele für sichere Protokolle, einschließlich IPSec, SSH, SSL und TLS
  • Es wurden 7 Themen hinzugefügt (4.1.6 bis 4.1.12), die Transportarchitektur, Leistungsmetriken, Datenflüsse, physische Segmentierung, logische Segmentierung, Micro-segmentation und Edge-Netzwerke abdecken. Micro-segmentation hat sich ziemlich verändert, um Verweise auf VLANs, VPNs, virtuelles Routing und Weiterleitung sowie virtuelle Domänen einzuschließen.
  • In Abschnitt 4.1.13 wurde Bluetooth hinzugefügt und Li-Fi entfernt
  • In Abschnitt 4.1.14 – „Cellular networks“ wurde zu „Cellular/mobile networks“ geändert
  • Software Defined Networks erhielten ihr eigenes Unterkapitel bei 4.1.16
  • Virtual Private Cloud (VPC) hat sein eigenes Unterkapitel bei 4.1.17
  • In 4.1.18 wurden Überwachung und Verwaltung (sowie spezifische Beispiele) hinzugefügt
  • Abschnitt 4.2.1 wurde von „Betrieb der Hardware“ zu „Betrieb der Infrastruktur“ geändert, was das Thema leicht erweiterte
  • In Abschnitt 4.2.2 wurden physische Sicherheit von Medien und Signalübertragungsqualität als Beispiele hinzugefügt
  • Abschnitt 4.2.3 wurde aktualisiert, um physische NAC und virtuelle Lösungen zu erwähnen
  • Abschnitt 4.2.4 zur Endpoint-Sicherheit wurde der Begriff „host-basiert“ hinzugefügt
  • Abschnitt 4.3.1 war 2021 „Voice“, umfasst jetzt aber auch Video und Zusammenarbeit sowie Konferenzen und Zoom als Beispiele
• Doman 5 (Name und Gewicht gleich)).
  • Für Domäne 5 behält „Identity and Access Management (IAM)“ seinen Titel.
  • In Abschnitt 5.1, der sich mit der Zugriffskontrolle auf Vermögenswerte befasst, wurde ein neuer Punkt für Dienste hinzugefügt. Zuvor waren Dienste nicht im Geltungsbereich. Stellen Sie sicher, dass Sie die Zugriffskontrolle auf Dienste für die aktualisierte Prüfung verstehen.
  • Das Thema mit dem Titel „Identity Management (IdM) implementation“ wurde entfernt.
  • Gruppen und Rollen wurden als Abschnitt 5.2.1 hinzugefügt, der das Management von Benutzern und Zugriff abdeckt
  • In Abschnitt 5.2.2 wurde der Titel von „Single/Multi-Factor Authentication (MFA)“ zu „Authentication, Authorization, and Accounting (AAA) (z. B. Multi-Factor Authentication (MFA), passwortlose Authentifizierung)“ aktualisiert. Dies erweitert das Thema um die Autorisierung und fügt gleichzeitig passwortlose Technologien hinzu. Beachten Sie, dass das Thema Verantwortlichkeit in der Prüfung von 2021 in dieses Thema integriert wurde.
  • Das Thema rund um Credential-Management-Systeme wurde aktualisiert, um „Password Vault“ als Beispiel aufzunehmen. Dies bezieht sich auf Apps/Dienste, die Unternehmenspasswörter und Geheimnisse zentralisieren.
  • Ein neues Thema, 5.4.7, wurde mit dem Titel „Durchsetzung von Zugriffsrichtlinien (z. B. Policy Decision Point, Policy Enforcement Point)“ hinzugefügt. Dies erweitert das Thema um Autorisierungsmechanismen.
  • Abschnitt 5.5.3, betitelt „Rollendefinition (z.B. Personen, die neuen Rollen zugewiesen werden)“, wurde aktualisiert, um den Übergang einzuschließen, der sich auf Personen bezieht, die innerhalb des Unternehmens eine neue Rolle übernehmen.
  • Abschnitt 5.5.4 über Privilege Escalation entfernte verwaltete Dienstkonten und minimierte die Verwendung von sudo, um sich auf „Verwendung von sudo“ und „Auditierung der Verwendung“ zu konzentrieren.
  • Die Unterthemen rund um Authentifizierungssysteme – OIDC, SAML, Kerberos, RADIUS und TACACS+ wurden entfernt.
• Domain 6 (Name und Gewicht gleich).
  • Für diese Domäne bleibt der Titel gleich – „Security and Assessment Testing“.
  • In Abschnitt 6.1.1 fügt das interne Thema „innerhalb der Organisationskontrolle“ hinzu.
  • In Abschnitt 6.1.2 fügt das externe Thema „außerhalb der Organisationskontrolle“ hinzu.
  • In Abschnitt 6.1.3 fügt das Thema Drittanbieter „außerhalb der Unternehmenskontrolle“ hinzu.
  • Ein neues Thema, 6.1.4, mit dem Titel „Standort (z.B. vor Ort, Cloud, Hybrid)“ wurde hinzugefügt, um auf das Thema Auditstrategien zu verweisen.
  • Das Thema Penetrationstests, 6.2.2, ergänzte Beispiele für Übungen von Red-, Blue- und/oder Purple-Teams. Kennen Sie die Unterschiede zwischen jedem.
  • Das Thema rund um synthetische Transaktionen (6.2.4) hat einen Verweis auf Benchmarks hinzugefügt.
  • Das Thema 6.2.7 wurde von „Testabdeckungsanalyse“ zu „Abdeckungsanalyse“ umbenannt.
  • Das Thema 6.2.8 rund um das Interface-Testing, ergänzte Beispiele für Benutzeroberfläche, Netzwerkschnittstelle und Application Programming Interface (API).
  • Für 6.5.1, 6.5.2 und 6.5.3 wurden die Themen aktualisiert, um anzuzeigen, ob eine Organisationskontrolle vorlag oder nicht.
  • Für 6.5.4 wurde ein neues Thema mit dem Titel „Standort (z.B. vor Ort, Cloud, Hybrid)“ hinzugefügt, um auf die Durchführung oder Erleichterung von Sicherheitsaudits zu verweisen
• Domain 7 (Name und Gewicht gleich).
  • Der Titel „Security Operations“ bleibt gleich.
  • Zum Thema 7.1.5 rund um Artefakte wurden Daten in die Mischung aufgenommen.
  • Thema 7.2.1 wurde leicht von „Intrusion detection and prevention“ zu „Intrusion detection and prevention system (IDPS)“ umbenannt.
  • Das Thema „Continuous monitoring“ wurde zu „Continuous monitoring und Tuning“ aktualisiert.
  • Das Thema 7.4.2 wurde von „Separation of Duties (SoD)…“ zu „Segregation of Duties (SoD)…“ geändert.
  • Ein neues Thema wurde unter 7.5.3 mit dem Titel „Data at rest/data in transit“ hinzugefügt, das sich auf das Thema der Anwendung von Ressourcenschutztechniken bezieht.
  • Für Thema 7.7 wurde der Titel von „Operate and maintain detective and preventative measure“ zu „Operate and maintain detection and preventative measures“ umbenannt.
  • Für Thema 7.10.1 rund um Backup-Speicherstrategien wurden Beispiele für Cloud-Speicher, Onsite-Speicher und Offsite-Speicher hinzugefügt.
  • Für Thema 7.10.2, bezüglich Strategien für Wiederherstellungsstandorte, wurden Beispiele für Kalt- vs. Host- und Ressourcenkapazitätsvereinbarungen hinzugefügt.
  • Für Thema 7.11.3 mit dem Titel „Kommunikation“ wurde der Begriff „Methoden“ hinzugefügt, um anzuzeigen, dass es sich bei dem Thema um Kommunikationsmethoden handelt.
  • Ein neues Thema wurde als 7.12.6 mit dem Titel „Kommunikation (z. B. Stakeholder, Teststatus, Regulierungsbehörden)“ im Bezug auf das Testen von Katastrophenwiederherstellungsplänen hinzugefügt.
  • Zum Thema 7.15.2 (Sicherheitsschulung und -bewusstsein) wurden Beispiele für insider threat, Auswirkungen sozialer Medien, Ermüdung durch Zwei-Faktor-Authentifizierung hinzugefügt.
• Domäne 8 (Name gleich, Gewicht um 1% verringert).
  • Der Titel dieses Bereichs, Software Development Security, bleibt gleich.
  • Für das Thema 8.1.1 rund um Entwicklungs-Methodologien wurde ein Verweis auf das Scaled Agile Framework hinzugefügt.
  • Im Abschnitt 8.2.9 zum Thema Anwendungssicherheitstests wurden Beispiele für Softwarekompositionsanalyse und Interactive Application Security Test (IAST) hinzugefügt.
  • Für das Thema 8.4.4 wurden Managed Services, SaaS und IaaS sowie PaaS entfernt und durch „Enterprise Applications“ ersetzt.
  • Ein neues Thema wurde unter 8.4.5 hinzugefügt, das Cloud-Dienste behandelt und auf SaaS, IaaS und PaaS verweist.

CISSP-Prüfungsaktualisierungen FAQ

Um Ihnen zu helfen, die Änderungen an der CISSP-Prüfung zu verstehen, präsentieren wir unten einige häufig gestellte Fragen und Antworten zu den jüngsten Aktualisierungen.

1. Wie oft ändert sich der Lehrplan der CISSP-Prüfung? Normalerweise alle 3 Jahre. Die letzte Änderung erfolgte am 15. April 2024. Davor gab es eine Änderung im Mai 2021. Zuvor gab es eine Änderung im Jahr 2018, 2015 und 2012.
2. Kann ich die neue Prüfung mit altem Lernmaterial bestehen? Ja. Viele Menschen haben das bereits geschafft. Entscheidend ist, die relevante Berufserfahrung und Kenntnisse in den Themen zu haben. Wenn Sie versuchen, die Prüfung nur durch Lernen zu bestehen, wird es mit dem älteren Material schwieriger sein (und natürlich setzt die Prüfung zu Beginn entsprechende Berufserfahrung voraus).
3. Hat sich das Prüfungsformat mit diesem Blueprint-Update geändert? Nein, außer dem Übergang bei einigen Sprachen von einer linearen Prüfung (feste Anzahl von Fragen) zu einer nicht-linearen Prüfung. Die Prüfung ist jetzt nur noch im Computerized Adaptive Testing (CAT) Format für alle Sprachen verfügbar. Die CAT-Version hat mindestens 100 Fragen und maximal 150 Fragen.
4. Was ist der Sinn darin, die Prüfung alle 3 Jahre zu aktualisieren? Das Hauptziel ist, die Prüfung aktuell und relevant zu halten. Würde der CISSP-Prüfungsleitfaden niemals aktualisiert, würde der Wert und die Relevanz der Zertifizierung sinken. Indem sie aktuell und relevant bleibt, behauptet sie sich als eine führende Sicherheitszertifizierung. Es gibt auch andere Gründe. Zum Beispiel ist Prüfungspiraterie (Personen, die Prüfungsinhalte ohne Autorisierung verbreiten) ein echtes Anliegen.