Netwrix 1Secure oferece visibilidade unificada de dados e identidade — gratuito por 14 dias com acesso completo.Comece um teste gratuito

Centro de recursosBlog
Mudanças no Exame CISSP 2024

Mudanças no Exame CISSP 2024

Aug 5, 2025

Unknown block type "undefined", specify a component for it in the `components.types` option

O exame CISSP foi atualizado em 15 de abril de 2024, para refletir conceitos e tecnologias de segurança em evolução. Embora os pesos dos domínios permaneçam predominantemente estáveis, o conteúdo foi atualizado em quase todos os domínios com novos tópicos como distribuição de chave quântica, borda de serviço de acesso seguro e leis de privacidade atualizadas.

Em 15 de abril de 2024, o ISC² implementou um conjunto atualizado de objetivos para o exame CISSP. O objetivo de atualizar os objetivos do exame é manter o exame relevante para os últimos acontecimentos em segurança. À medida que as coisas progridem e novas tecnologias são introduzidas, os objetivos são atualizados para contabilizá-los, bem como para os mais recentes padrões e processos. Neste blog, vamos olhar para as mudanças e explorar algumas das coisas chave a ter em conta enquanto se prepara para o exame atualizado em 2025. Se você estudou para o CISSP usando material da atualização anterior, só precisa rever as mudanças / adições, pois grande parte do conteúdo e dos tópicos permanecem os mesmos.

Guia de Estudo para o Exame CISSP, Atualizado para 2024

Saiba mais

Domínios e mudanças do CISSP

Primeiro, vamos revisar os 8 domínios que compõem o exame CISSP. Na tabela a seguir, mostramos os 8 domínios e o peso relativo em 2018 e 2021 em comparação com os pesos relativos atuais com a atualização de 2024. Você notará que os pesos relativos têm sido bastante estáveis, com apenas pequenas mudanças nas últimas atualizações.

1

Gestão de Segurança e Risco

15%

15%

16%

2

Segurança de Ativos

10%

10%

10%

3

Arquitetura e Engenharia de Segurança

13%

13%

13%

4

Comunicação e Network Security

14%

13% (redução de 1%)

13%

5

Identity and Access Management (IAM)

13%

13%

13%

6

Avaliação e Teste de Segurança

12%

12%

12%

7

Operações de Segurança

13%

13%

13%

8

Segurança no Desenvolvimento de Software

10%

11% (aumento de 1%)

10%

11% (aumento de 1%)

10%

Detalhes sobre as atualizações do domínio

Semelhante à última atualização do exame, você encontrará alguns dos conceitos, termos e siglas de segurança mais recentes adicionados ao esquema do exame. A lista de mudanças abaixo não é exaustiva, mas é bastante completa. No guia de estudo atualizado, também destaco quando algo é novo para 2024 ou quando algo foi removido.

  • Domínio 1 (O nome permanece o mesmo, peso aumentado em 1%). Do ponto de vista do título, o Domínio 1 é o mesmo. No entanto, existem algumas mudanças internas das quais deve-se estar ciente:
    • Os “5 Pilares da Segurança da Informação” foram adicionados
    • Para o tópico sobre princípios de governança de segurança, a ação de sustentá-los foi adicionada
    • Para os frameworks de controle de segurança, frameworks específicos são destacados, incluindo ISO, NIST, COBIT, SABSA, PCI e FedRAMP – compreenda o que cada um destes representa em um nível gerencial
    • Para o tópico legal e regulatório, foi adicionada a conformidade em
    • O tópico sobre privacidade foi atualizado para especificar o Regulamento Geral sobre a Proteção de Dados, California Consumer Privacy Act, Lei de Proteção de Informações Pessoais e Lei de Proteção de Informações Pessoais – como em outros tópicos, sempre que o roteiro mencionar exemplos específicos, certifique-se de entendê-los e às diferenças entre eles)
    • Para o tópico de continuidade dos negócios, as ações de avaliação e implementação foram adicionadas
    • Um novo tópico foi adicionado para dependências externas para continuidade dos negócios
    • O tópico sobre contratos de trabalho foi atualizado para mencionar requisitos orientados por políticas
    • A definição de escopo foi adicionada ao tópico de avaliação/análise de risco
    • Para monitoramento e medição, a palavra “contínua” foi adicionada
    • O tópico de estruturas de risco adicionou exemplos específicos
    • O tópico sobre riscos para hardware, software e serviços foi atualizado para enfatizar riscos mais amplos ao lidar com fornecedores (como adulteração de produtos)
    • O tópico sobre avaliação e monitoramento de terceiros foi renomeado para mitigação de riscos e adicionou exemplos como avaliação e monitoramento de terceiros, requisitos de nível de serviço e lista de materiais de software)
    • O tópico sobre conscientização mudou de “presente” para “aumentar”, uma pequena alteração que foca na conscientização contínua em vez da conscientização inicial
    • O tópico sobre revisões periódicas de conteúdo foi adicionado, incluindo tecnologias emergentes e tendências e deu exemplos específicos (como IA e criptomoeda)
  • Domínio 2 (Nome e peso permanecem iguais). Nada mudou neste domínio para a atualização do exame de 2024!
  • Domínio 3 (Nome e peso permanecem iguais).
    • O tópico “Mantenha simples” foi alterado para “Mantenha simples e pequeno” para demonstrar que o tamanho importa quando se trata de complexidade
    • O tópico sobre zero trust foi atualizado para incluir “confiar mas verificar” – isso não é um novo tópico, mas apenas a combinação de dois tópicos existentes
    • Um novo tópico intitulado “Secure access service edge” foi adicionado
    • O tópico sobre Sistemas de Controle Industrial (ICS) adicionou “Tecnologia Operacional” ao título
    • O tópico sobre microsserviços incluiu uma chamada para APIs
    • O tópico PKI adicionou uma referência à distribuição de chaves quânticas)
    • O tópico de práticas de gerenciamento de chaves adicionou uma referência à rotação
    • O tópico de assinaturas digitais combinou os tópicos de não repúdio e integridade
    • O tópico dos armários de fiação mudou “intermediate distribution facilities” para “intermediate distribution frame”
    • O tópico sobre questões ambientais incluiu exemplos de desastres naturais e problemas causados pelo homem
    • Os seguintes tópicos e sub-tópicos foram adicionados:
      • Gerencie o ciclo de vida do sistema de informação
        • Necessidades e requisitos dos stakeholders
        • Análise de requisitos
        • Projeto arquitetônico
        • Desenvolvimento / implementação
        • Integração
        • Verificação e validação
        • Transição / implementação
        • Operações e manutenção / sustentação
        • Aposentadoria / descarte
  • Domínio 4 (Nome o mesmo, peso o mesmo).
    • A Seção 4.1 altera ligeiramente o título de “avaliar e implementar” para “Aplicar”
    • A Seção 4.1.2 adiciona exemplos de unicast, broadcast, multicast e anycast
    • A seção 4.1.3 apresenta exemplos de protocolos seguros, incluindo IPSec, SSH, SSL e TLS
    • Foram adicionados 7 tópicos (4.1.6 a 4.1.12) cobrindo arquitetura de transporte, métricas de desempenho, fluxos de tráfego, segmentação física, segmentação lógica, micro-segmentação e redes de borda. A micro-segmentação mudou bastante para incluir referências a VLANs, VPNs, roteamento virtual e encaminhamento, e domínio virtual.
    • Na seção 4.1.13, Bluetooth foi adicionado e Li-Fi foi removido
    • Na seção 4.1.14 – “Cellular networks” foi alterado para “Cellular/mobile networks”
    • Redes definidas por software receberam seu próprio sub-tópico no item 4.1.16
    • Virtual Private Cloud (VPC) ganhou seu próprio sub-tópico no 4.1.17
    • Na versão 4.1.18, foram adicionados monitoramento e gerenciamento (assim como exemplos específicos)
    • A seção 4.2.1 foi alterada de “Operação de hardware” para “Operação de infraestrutura”, o que ampliou um pouco o tópico
    • Na Seção 4.2.2, a segurança física dos meios de comunicação e a qualidade da propagação do sinal foram adicionadas como exemplos
    • A seção 4.2.3 foi atualizada para mencionar soluções físicas de NAC e soluções virtuais
    • Seção 4.2.4 sobre segurança de endpoint, o termo “baseado em host” foi adicionado
    • A seção 4.3.1 era “Voz” em 2021, mas agora adiciona vídeo e colaboração, juntamente com conferência e Zoom como exemplos
  • Doman 5 (Nome e peso iguais)).
    • Para o Domínio 5, “Identity and Access Management (IAM)” mantém seu título.
    • Na Seção 5.1, sobre o controle de acesso a ativos, um novo item para serviços foi adicionado. Anteriormente, os serviços não estavam no escopo. Certifique-se de entender o controle de acesso a serviços para o exame atualizado.
    • O tópico intitulado “Implementação de Identity Management (IdM) foi removido.
    • Grupos e Funções foram adicionados como seção 5.2.1 que abrange a gestão de usuários e acesso
    • Na Seção 5.2.2, o título foi atualizado de “Autenticação Única/Múltiplos Fatores (MFA)” para “Autenticação, Autorização e Contabilidade (AAA) (por exemplo, autenticação de múltiplos fatores (MFA), autenticação sem senha)”. Isso amplia o tópico para incluir autorização e também adiciona tecnologias sem senha à discussão. Observe que o tópico sobre responsabilidade no exame de 2021 foi incorporado a este tópico.
    • O tópico sobre sistemas de gerenciamento de credenciais foi atualizado para incluir “cofre de senhas” como um exemplo. Isso se refere a aplicativos/serviços que centralizam senhas e segredos empresariais.
    • Um novo tópico, 5.4.7, foi adicionado com o título “Aplicação de política de acesso (por exemplo, ponto de decisão de política, ponto de aplicação de política)”. Isso amplia o tópico em torno dos mecanismos de autorização.
    • A seção 5.5.3, intitulada “Definição de função (por exemplo, pessoas designadas para novos cargos)” foi atualizada para incluir transição que se refere a pessoas que estão se movendo para um novo cargo dentro da empresa.
    • A seção 5.5.4 sobre escalada de privilégios removeu a conta de serviço gerenciada e minimizou o uso de sudo para focar em “uso de sudo” e “auditação do seu uso”.
    • Os sub-tópicos sobre sistemas de autenticação – OIDC, SAML, Kerberos, RADIUS e TACACS+ foram removidos.
  • Domínio 6 (Nome e peso iguais).
    • Para este domínio, o título permanece o mesmo – “Security and Assessment Testing”.
    • Na Seção 6.1.1, o tópico interno acrescenta “dentro do controle da organização”.
    • Na Seção 6.1.2, o tópico externo acrescenta “fora do controle da organização).
    • Na Seção 6.1.3, o tópico de terceiros adiciona “fora do controle da empresa”.
    • Um novo tópico, 6.1.4, intitulado “Localização (por exemplo, local, nuvem, híbrido)” foi adicionado para referenciar o tópico de estratégias de auditoria.
    • O tópico de teste de penetração, 6.2.2, adicionou exemplos de exercícios de equipes vermelha, azul e/ou roxa. Conheça as diferenças entre cada uma.
    • O tópico sobre transações sintéticas (6.2.4) adicionou uma referência a benchmarks.
    • O tópico 6.2.7 foi renomeado de “Análise de cobertura de teste” para “Análise de cobertura”.
    • O tópico 6.2.8 sobre testes de interface, adicionou exemplos de interface de usuário, interface de rede e interface de programação de aplicativos (API).
    • Para as versões 6.5.1, 6.5.2 e 6.5.3, os tópicos foram atualizados para indicar se havia controle organizacional ou não.
    • Para a versão 6.5.4, foi adicionado um novo tópico intitulado “Localização (por exemplo, local, nuvem, híbrido)” para referenciar a realização ou facilitação de auditorias de segurança
  • Domínio 7 (Nome e peso iguais).
    • O título “Security Operations” permanece o mesmo.
    • Para o tópico 7.1.5 sobre artefatos, dados foram adicionados à mistura.
    • O tópico 7.2.1 foi renomeado de forma ligeira de “Detecção e prevenção de intrusão” para “Sistema de detecção e prevenção de intrusão (IDPS)”.
    • O tópico “Monitoramento contínuo” foi atualizado para “Monitoramento e ajuste contínuos”.
    • O tópico 7.4.2 foi alterado de “Separação de Funções (SoD)…” para “Segregação de Funções (SoD)…”.
    • Um novo tópico foi adicionado na seção 7.5.3 com o título “Data at rest/data in transit” referindo-se ao tópico de aplicação de técnicas de proteção de recursos.
    • Para o tópico 7.7, o título foi renomeado de “Operar e manter medida detetiva e preventiva” para “Operar e manter medidas de detecção e prevenção”.
    • Para o tópico 7.10.1 sobre estratégias de armazenamento de backup, foram adicionados exemplos de armazenamento na nuvem, armazenamento local e armazenamento externo.
    • Para o tópico 7.10.2, sobre estratégias de site de recuperação, foram adicionados exemplos de cold. vs. host e acordos de capacidade de recursos.
    • Para o tópico 7.11.3 intitulado “Comunicações”, o termo “métodos” foi adicionado para indicar que o tópico é sobre métodos de comunicação.
    • Um novo tópico foi adicionado como 7.12.6 com o título “Comunicações (por exemplo, partes interessadas, status do teste, reguladores)” em referência aos planos de teste de recuperação de desastres.
    • Para o tópico 7.15.2 (treinamento e conscientização de segurança), exemplos de insider threat, impactos das redes sociais, fadiga de autenticação de dois fatores foram adicionados.
  • Domínio 8 (Nome o mesmo, peso reduzido em 1%).
    • O título deste domínio, Software Development Security, permanece o mesmo.
    • Para o tópico 8.1.1 sobre metodologias de desenvolvimento, foi adicionada uma referência ao scaled agile framework.
    • Para a seção 8.2.9 sobre testes de segurança de aplicativos, foram adicionados exemplos para análise de composição de software e Teste de Segurança de Aplicativos Interativos (IAST).
    • Para o tópico 8.4.4 sobre serviços gerenciados, SaaS e IaaS e PaaS foram removidos e substituídos por “aplicações empresariais”.
    • Um novo tópico foi adicionado na seção 8.4.5 cobrindo serviços de nuvem com referência a SaaS, IaaS e PaaS.

FAQ de Atualizações do Exame CISSP

Para ajudá-lo a entender as mudanças no exame CISSP, apresentamos algumas perguntas e respostas comuns sobre as atualizações recentes abaixo.

  1. Com que frequência o plano de exame CISSP muda? Normalmente, a cada 3 anos. A mudança mais recente ocorreu em 15 de abril de 2024. Antes disso, houve uma mudança em maio de 2021. Anteriormente, houve uma mudança em 2018, 2015 e 2012.
  2. Posso passar no novo exame usando material de estudo antigo? Sim. Muitas pessoas já fizeram isso. A chave é ter a experiência de trabalho relevante e conhecimento nos tópicos. Se você está tentando passar no exame apenas com base nos estudos, será mais difícil com os materiais mais antigos (e claro, o exame tem como pré-requisito experiência de trabalho para começar).
  3. O formato do exame mudou com esta atualização de blueprint? Não, exceto pela transição de algumas línguas de um exame linear (número fixo de perguntas) para um exame não linear. O exame agora está disponível apenas no formato de Teste Adaptativo Computadorizado (CAT) para todas as línguas. A versão CAT tem um mínimo de 100 perguntas e um máximo de 150 perguntas.
  4. Qual é o objetivo de atualizar o exame a cada 3 anos? O principal objetivo é manter o exame atualizado e relevante. Se o plano do exame CISSP nunca fosse atualizado, a certificação perderia valor e relevância. Ao mantê-lo atualizado e relevante, ele se mantém como uma certificação de segurança de primeira linha. Existem outros motivos também. Por exemplo, a pirataria de exames (pessoas divulgando conteúdo do exame sem autorização) é uma preocupação real.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Dirk Schrader

VP de Pesquisa de Segurança

Dirk Schrader é um Resident CISO (EMEA) e VP de Pesquisa de Segurança na Netwrix. Com 25 anos de experiência em segurança de TI e certificações como CISSP (ISC²) e CISM (ISACA), ele trabalha para promover a ciberresiliência como uma abordagem moderna para enfrentar ameaças cibernéticas. Dirk trabalhou em projetos de cibersegurança ao redor do mundo, começando em funções técnicas e de suporte no início de sua carreira e, em seguida, passando para posições de vendas, marketing e gestão de produtos em grandes corporações multinacionais e pequenas startups. Ele publicou numerosos artigos sobre a necessidade de abordar a gestão de mudanças e vulnerabilidades para alcançar a ciberresiliência.