Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Modifiche all'esame CISSP 2024

Modifiche all'esame CISSP 2024

Jun 10, 2025

L'esame CISSP è stato aggiornato il 15 aprile 2024 per riflettere i concetti di sicurezza in evoluzione e le tecnologie. Anche se il peso dei domini è rimasto per lo più stabile, i contenuti sono stati aggiornati in quasi tutti i domini con nuovi argomenti come la distribuzione di chiavi quantistiche, il secure access service edge e le leggi sulla privacy aggiornate.

Il 15 aprile 2024, ISC² ha implementato un insieme rinnovato di obiettivi per l'esame CISSP. L'obiettivo del rinnovamento degli obiettivi dell'esame è mantenere l'esame aggiornato rispetto agli ultimi avvenimenti nel campo della sicurezza. Man mano che le cose progrediscono e vengono introdotte nuove tecnologie, gli obiettivi vengono aggiornati per tener conto anche degli ultimi standard e processi. In questo blog, esamineremo i cambiamenti ed esploreremo alcune delle cose principali da tenere in considerazione mentre ci si prepara per l'esame aggiornato nel 2025. Se hai studiato per l'esame CISSP utilizzando materiale per l'ultimo aggiornamento, ti basterà rivedere i cambiamenti / aggiunte poiché gran parte del contenuto e degli argomenti rimangono gli stessi.

Guida allo studio per l'esame CISSP, aggiornata per il 2024

Scopri di più

Domini CISSP e cambiamenti

Prima, esaminiamo gli 8 domini che compongono l'esame CISSP. Nella seguente tabella, mostriamo gli 8 domini e il peso relativo nel 2018 e nel 2021 in confronto ai pesi relativi attuali con l'aggiornamento del 2024. Noterete che i pesi relativi sono stati piuttosto stabili, con solo lievi cambiamenti negli ultimi aggiornamenti.

1

Gestione della sicurezza e del rischio

15%

15%

16%

2

Sicurezza delle risorse

10%

10%

10%

3

Architettura e Ingegneria della Sicurezza

13%

13%

13%

4

Comunicazione e Network Security

14%

13% (in calo dell'1%)

13%

5

Identity and Access Management (IAM)

13%

13%

13%

6

Valutazione e test della sicurezza

12%

12%

12%

7

Operazioni di sicurezza

13%

13%

13%

8

Sicurezza dello sviluppo software

10%

11% (in aumento dell'1%)

10%

11% (in aumento dell'1%)

10%

Dettagli sugli aggiornamenti del dominio

Simile all'ultimo aggiornamento dell'esame, troverai alcuni dei concetti di sicurezza più recenti, termini e acronimi aggiunti al blueprint dell'esame. L'elenco dei cambiamenti qui sotto non è esaustivo ma è piuttosto completo. Nella guida di studio aggiornata, segnalo anche quando qualcosa è nuovo per il 2024 o quando qualcosa è stato rimosso.

  • Dominio 1 (Il nome rimane invariato, peso aumentato dell'1%). Da un punto di vista del titolo, il Dominio 1 è lo stesso. Tuttavia, ci sono alcune modifiche interne di cui essere a conoscenza:
    • I “5 Pilastri della Sicurezza delle Informazioni” sono stati aggiunti
    • Per l'argomento sui principi di governance della sicurezza, è stata aggiunta l'azione di sostenerli
    • Per i framework di controllo della sicurezza, vengono menzionati specifici framework, tra cui ISO, NIST, COBIT, SABSA, PCI e FedRAMP – comprendere cosa rappresenta ciascuno di questi a livello di gestione
    • Per l'argomento legale e normativo, è stata aggiunta la conformità in
    • Il tema della privacy è stato aggiornato per includere specificamente il General Data Protection Regulation, California Consumer Privacy Act, la legge sulla protezione delle informazioni personali e la legge sulla protezione delle informazioni personali – come per altri argomenti, quando il progetto richiama esempi specifici, assicurati di comprenderli e di conoscere le differenze tra loro)
    • Per l'argomento della continuità operativa, sono state aggiunte le azioni di valutazione e implementazione
    • È stato aggiunto un nuovo argomento per le dipendenze esterne per la continuità operativa
    • Il tema sui contratti di lavoro è stato aggiornato per menzionare i requisiti guidati dalle politiche
    • È stata aggiunta la definizione dell'ambito al tema della valutazione/analisi del rischio
    • Per il monitoraggio e la misurazione, è stata aggiunta la parola “continuo”
    • Il tema dei quadri di rischio ha aggiunto esempi specifici
    • Il tema relativo ai rischi per hardware, software e servizi è stato aggiornato per enfatizzare rischi più ampi nel trattare con i fornitori (come la manomissione dei prodotti)
    • Il tema relativo alla valutazione e al monitoraggio di terze parti è stato rinominato mitigazioni dei rischi e sono stati aggiunti esempi quali valutazione e monitoraggio di terze parti, requisiti di livello di servizio e distinta dei materiali del software)
    • Il tema sulla consapevolezza è cambiato da “presente” a “incrementare”, un leggero cambiamento che si concentra sulla consapevolezza continua invece di quella iniziale
    • Il tema sulle revisioni periodiche dei contenuti è stato aggiunto, includendo tecnologie emergenti e tendenze e fornendo esempi specifici (come l'IA e la criptovaluta)
  • Dominio 2 (Il nome e il peso rimangono invariati). Non ci sono stati cambiamenti in questo dominio per l'aggiornamento dell'esame 2024!
  • Dominio 3 (Nome e peso rimangono invariati).
    • Il tema “Keep it simple” è stato cambiato in “Keep it simple and small” per dimostrare che la dimensione conta quando si tratta di complessità
    • L'argomento su zero trust è stato aggiornato per includere “trust but verify” – questo non è un argomento nuovo ma ha semplicemente combinato due argomenti esistenti
    • È stato aggiunto un nuovo argomento intitolato “Secure access service edge”
    • Il tema sui Sistemi di Controllo Industriale (ICS) ha aggiunto “Tecnologia Operativa” al titolo
    • L'argomento sui microservizi ha inserito un richiamo per le API
    • L'argomento PKI ha aggiunto un riferimento alla distribuzione quantistica delle chiavi)
    • Il tema delle pratiche di gestione delle chiavi ha aggiunto un riferimento alla rotazione
    • L'argomento delle firme digitali ha combinato i temi della non ripudiabilità e dell'integrità
    • Il tema degli armadi di cablaggio ha cambiato “intermediate distribution facilities” in “intermediate distribution frame”
    • Il tema sulle questioni ambientali ha aggiunto esempi di disastri naturali e problemi causati dall'uomo
    • Sono stati aggiunti i seguenti argomenti e sottotemi:
      • Gestisci il ciclo di vita del sistema informativo
        • Esigenze e requisiti degli stakeholder
        • Analisi dei requisiti
        • Progettazione architettonica
        • Sviluppo / implementazione
        • Integrazione
        • Verifica e convalida
        • Transizione / implementazione
        • Operazioni e manutenzione / sostenimento
        • Ritiro / smaltimento
  • Dominio 4 (Nome uguale, peso uguale).
    • La sezione 4.1 modifica leggermente il titolo da “valutare e implementare” a “Applicare”
    • La sezione 4.1.2 aggiunge esempi di unicast, broadcast, multicast e anycast
    • La sezione 4.1.3 fornisce esempi di protocolli sicuri inclusi IPSec, SSH, SSL e TLS
    • Sono stati aggiunti 7 argomenti (dal 4.1.6 al 4.1.12) che coprono l'architettura dei trasporti, le metriche di performance, i flussi di traffico, la segmentazione fisica, la segmentazione logica, la micro-segmentazione e le reti perimetrali. La micro-segmentazione è cambiata parecchio per includere riferimenti a VLAN, VPN, routing virtuale e inoltro, e dominio virtuale.
    • Nella sezione 4.1.13, è stato aggiunto il Bluetooth ed è stato rimosso il Li-Fi
    • Nella sezione 4.1.14 – “Cellular networks” è stato cambiato in “Cellular/mobile networks”
    • Le reti definite dal software hanno ottenuto il proprio sottotema al 4.1.16
    • Il Virtual Private Cloud (VPC) ha ottenuto il proprio sottotema al 4.1.17
    • Nella versione 4.1.18, sono state aggiunte funzionalità di monitoraggio e gestione (così come esempi specifici)
    • La sezione 4.2.1 è stata modificata da “Operazione dell'hardware” a “Operazione dell'infrastruttura”, ampliando leggermente l'argomento
    • Nella Sezione 4.2.2, la sicurezza fisica dei supporti e la qualità della propagazione del segnale sono stati aggiunti come esempi
    • La sezione 4.2.3 è stata aggiornata per menzionare soluzioni fisiche NAC e virtuali
    • Sezione 4.2.4 sulla sicurezza degli endpoint, è stato aggiunto il termine “host-based”
    • La sezione 4.3.1 era “Voice” nel 2021 ma ora aggiunge video e collaborazione insieme a conferenze e Zoom come esempi
  • Doman 5 (Nome e peso uguali)).
    • Per il Dominio 5, “Identity and Access Management (IAM)” mantiene il suo titolo.
    • Nella Sezione 5.1, riguardante il controllo dell'accesso alle risorse, è stato aggiunto un nuovo elemento per i servizi. In precedenza, i servizi non erano inclusi nell'ambito. Assicurati di comprendere il controllo dell'accesso ai servizi per l'esame aggiornato.
    • Il topic intitolato “Implementazione di Identity Management (IdM)” è stato rimosso.
    • I Gruppi e i Ruoli sono stati aggiunti come sezione 5.2.1 che copre la gestione degli utenti e l'accesso
    • Nella Sezione 5.2.2, il titolo è stato aggiornato da “Autenticazione Singola/Multi-Fattore (MFA)” a “Autenticazione, Autorizzazione e Contabilizzazione (AAA) (ad esempio, autenticazione multi-fattore (MFA), autenticazione senza password)”. Questo amplia l'argomento per includere l'autorizzazione aggiungendo anche le tecnologie senza password al mix. Da notare che l'argomento sulla responsabilità nell'esame del 2021 è stato integrato in questo argomento.
    • Il tema riguardante i sistemi di gestione delle credenziali è stato aggiornato per includere "password vault" come esempio. Questo fa riferimento ad app/servizi che centralizzano le password e i segreti aziendali.
    • È stato aggiunto un nuovo argomento, 5.4.7, intitolato “Enforcement della policy di accesso (ad esempio, policy decision point, policy enforcement point)”. Questo amplia l'argomento riguardante i meccanismi di autorizzazione.
    • La sezione 5.5.3, intitolata "Definizione del ruolo (ad esempio, persone assegnate a nuovi ruoli)", è stata aggiornata per includere la transizione che si riferisce alle persone che passano a un nuovo ruolo all'interno dell'azienda.
    • La sezione 5.5.4 riguardante l'escalation dei privilegi ha rimosso l'account di servizio gestito e minimizzato l'uso di sudo per concentrarsi sull'“uso di sudo” e “sui controlli del suo utilizzo”.
    • I sottotemi riguardanti i sistemi di autenticazione – OIDC, SAML, Kerberos, RADIUS e TACACS+ sono stati rimossi.
  • Dominio 6 (Nome e peso uguali).
    • Per questo dominio, il titolo rimane invariato – “Security and Assessment Testing”.
    • Nella Sezione 6.1.1, l'argomento interno aggiunge “all'interno del controllo dell'organizzazione”.
    • Nella Sezione 6.1.2, l'argomento esterno aggiunge “al di fuori del controllo dell'organizzazione).
    • Nella Sezione 6.1.3, l'argomento di terze parti aggiunge “al di fuori del controllo aziendale”.
    • È stato aggiunto un nuovo argomento, 6.1.4, intitolato “Posizione (ad esempio, on-premise, cloud, ibrido)” per fare riferimento all'argomento delle strategie di audit.
    • Il tema del penetration testing, 6.2.2, ha aggiunto esempi di esercizi per i team rossi, blu e/o viola. Conosci le differenze tra ciascuno.
    • Il tema relativo alle transazioni sintetiche (6.2.4) ha incluso un riferimento ai benchmark.
    • Il punto 6.2.7 è stato rinominato da “Analisi della copertura dei test” a “Analisi della copertura”.
    • Il punto 6.2.8 riguardante il test dell'interfaccia, ha aggiunto esempi di interfaccia utente, interfaccia di rete e interfaccia di programmazione delle applicazioni (API).
    • Per le versioni 6.5.1, 6.5.2 e 6.5.3, gli argomenti sono stati aggiornati per indicare se vi era o meno il controllo dell'organizzazione.
    • Per la versione 6.5.4, è stato aggiunto un nuovo argomento intitolato “Posizione (ad esempio, on-premise, cloud, ibrido)” per riferirsi alla conduzione o facilitazione di audit di sicurezza
  • Dominio 7 (Nome e peso uguali).
    • Il titolo “Security Operations” rimane invariato.
    • Per l'argomento 7.1.5 riguardante gli artefatti, sono stati aggiunti dati al mix.
    • L'argomento 7.2.1 è stato rinominato leggermente da “Intrusion detection and prevention” a “Intrusion detection and prevention system (IDPS)”.
    • L'argomento “Continuous monitoring” è stato aggiornato in “Continuous monitoring and tuning”.
    • Il punto 7.4.2 è stato modificato da “Separation of Duties (SoD)…” a “Segregation of Duties (SoD)…”.
    • È stato aggiunto un nuovo argomento al paragrafo 7.5.3 intitolato “Data at rest/data in transit” che si riferisce all'applicazione delle tecniche di protezione delle risorse.
    • Per l'argomento 7.7, il titolo è stato rinominato da “Operate and maintain detective and preventative measure” a “Operate and maintain detection and preventative measures”.
    • Per l'argomento 7.10.1 riguardante le strategie di backup dello storage, sono stati aggiunti esempi di storage cloud, storage onsite e storage offsite.
    • Per l'argomento 7.10.2, riguardante le strategie dei siti di recupero, sono stati aggiunti esempi di cold. vs. host e accordi sulla capacità delle risorse.
    • Per l'argomento 7.11.3 intitolato “Comunicazioni”, è stato aggiunto il termine “metodi” per indicare che l'argomento riguarda i metodi di comunicazione.
    • È stato aggiunto un nuovo argomento come 7.12.6 intitolato “Comunicazioni (ad esempio, parti interessate, stato dei test, regolatori)” in riferimento ai piani di test per il recupero dai disastri.
    • Per l'argomento 7.15.2 (formazione e consapevolezza sulla sicurezza), sono stati aggiunti esempi di insider threat, impatti dei social media, affaticamento dell'autenticazione a due fattori.
  • Dominio 8 (Nome identico, peso ridotto dell'1%).
    • Il titolo di questo dominio, Software Development Security, rimane invariato.
    • Per l'argomento 8.1.1 riguardante le metodologie di sviluppo, è stata aggiunta una referenza al scaled agile framework.
    • Nella sezione 8.2.9 riguardante i test di sicurezza delle applicazioni, sono stati aggiunti esempi per l'analisi della composizione del software e il Test di Sicurezza delle Applicazioni Interattivo (IAST).
    • Per l'argomento 8.4.4 riguardante i servizi gestiti, SaaS e IaaS e PaaS sono stati rimossi e sostituiti con “applicazioni aziendali”.
    • È stato aggiunto un nuovo argomento alla sezione 8.4.5 che tratta dei servizi cloud con un riferimento a SaaS, IaaS e PaaS.

FAQ aggiornamenti esame CISSP

Per aiutarvi a comprendere le modifiche all'esame CISSP, di seguito presentiamo alcune domande e risposte comuni sugli aggiornamenti recenti.

  1. Quanto spesso cambia la struttura dell'esame CISSP? Tipicamente, ogni 3 anni. L'ultimo cambiamento è avvenuto il 15 aprile 2024. Prima di quello, c'è stato un cambiamento nel maggio del 2021. In precedenza, c'era stato un cambiamento nel 2018, 2015 e 2012.
  2. Posso superare il nuovo esame utilizzando il vecchio materiale di studio? Sì. Molte persone ci sono riuscite. La cosa importante è avere l'esperienza lavorativa pertinente e la conoscenza negli argomenti trattati. Se stai cercando di superare l'esame basandoti solo sullo studio, sarà più difficile con i materiali più vecchi (e ovviamente, l'esame richiede di partenza un'esperienza lavorativa pregressa).
  3. Il formato dell'esame è cambiato con questo aggiornamento del blueprint? No, tranne per il passaggio di alcune lingue da un esame lineare (numero fisso di domande) a un esame non lineare. L'esame è ora disponibile solo nel formato Computerized Adaptive Testing (CAT) per tutte le lingue. La versione CAT prevede un minimo di 100 domande e un massimo di 150 domande.
  4. Qual è lo scopo di aggiornare l'esame ogni 3 anni? L'obiettivo principale è mantenere l'esame aggiornato e pertinente. Se il blueprint dell'esame CISSP non venisse mai aggiornato, la certificazione perderebbe valore e rilevanza. Mantenendolo aggiornato e pertinente, si conferma come una certificazione di sicurezza di primo piano. Ci sono anche altre ragioni. Ad esempio, la pirateria degli esami (persone che diffondono i contenuti degli esami senza autorizzazione) è una preoccupazione reale.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Dirk Schrader

VP della Ricerca sulla Sicurezza

Dirk Schrader è un Resident CISO (EMEA) e VP of Security Research presso Netwrix. Con 25 anni di esperienza nella sicurezza informatica e certificazioni come CISSP (ISC²) e CISM (ISACA), lavora per promuovere la cyber resilience come approccio moderno per affrontare le minacce informatiche. Dirk ha lavorato a progetti di cybersecurity in tutto il mondo, iniziando con ruoli tecnici e di supporto all'inizio della sua carriera per poi passare a posizioni di vendita, marketing e gestione prodotti sia in grandi multinazionali che in piccole startup. Ha pubblicato numerosi articoli sull'esigenza di affrontare la gestione dei cambiamenti e delle vulnerabilità per raggiungere la cyber resilience.

Scopri di più su questo argomento

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Cos'è la gestione dei documenti elettronici?

Analisi quantitativa del rischio: Aspettativa di perdita annuale

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza