Os domínios CBK são fundamentalmente baseados nos princípios da segurança da informação: confidencialidade, integridade e disponibilidade, divididos nas seguintes áreas de interesse:

• Controle de acesso;
• Segurança no desenvolvimento de aplicações;
• Plano de continuidade de negócio e plano de recuperação de desastres;
• Criptografia;
• Práticas de gestão de segurança;
• Lei, investigação e ética;
• Segurança operacional;
• Segurança física;
• Arquitetura e modelos de segurança;
• Segurança em telecomunicações e redes.

Controle de acesso

Este domínio trata das melhores práticas para o desenvolvimento de metodologias de controle de acesso.

Trata-se de todo e qualquer mecanismo que tenha por objetivo estabelecer o tripo A (autenticação, autorização e asserção), desde controles técnicos até controles gerenciais.

Segurança no desenvolvimento de aplicações

Este domínio compreende todas as práticas para gerir o desenvolvimento de aplicações e sistemas informativos com o foco em assegurar a confidencialidade, integridade e disponibilidade dos dados.

Plano de continuidade de negócio e plano de recuperação de desastres

Este domínio envolve a preparação, teste e atualização das ações necessárias para proteger processos críticos de negócio dos efeitos de falhas nos principais sistemas e na rede. O candidato CISSP deve compreender como preparar ações específicas para preservar a empresa em caso de grandes falhas que impactem o normal funcionamento do negócio.

O processo de plano de continuidade de negócio inclui escopo e plano de ação, avaliação de impacto do negócio e desenvolvimento do plano de continuidade de negócio.

O processo de plano de recuperação de desastres inclui teste do plano de recuperação de desastres e procedimento de recuperação de desastres.

Criptografia

O objetivo deste domínio é estudar o conjunto de melhores práticas para uso de algoritmos de criptografia simétricos, assimétricos e hash. Considera-se também métodos de utilização híbridos que comportem a funcionalidade de autenticação, integridade e não-repúdio da informação.

Práticas de gestão de segurança

Este domínio incorpora a identificação dos recursos de informação com o desenvolvimento e implementação de políticas, padrões, diretrizes e procedimentos. Ele define as práticas de gestão de classificação de dados e gestão de riscos. Também aborda a confidencialidade, integridade e disponibilidade de identificar as ameaças, a classificação dos ativos e vulnerabilidades da organização de modo que controles de segurança sejam implementados com eficácia.

Lei, investigação e ética

Este domínio trata das questões legais que tangem o universo da segurança da informação. De exemplos concretos como os atos de proteção a sistemas de telecomunicação (1996) nos Estados Unidos à condição atual da legislação européia, o objetivo é compreender a motivação para estabelecer regulamentações de proteção a informação em uma sociedade, processos investigativos para sustentar o devido processo legal e condição ética necessária para os profissionais envolvidos.

Segurança operacional

Este domínio se refere ao ato de compreender as ameaças e vulnerabilidades das operações de computador, a fim de apoiar as atividades de rotina operacional de sistemas de computador funcionarem corretamente. Também se refere à implementação dos controles de segurança para o processamento normal de transações, tarefas de administração de sistema e operações críticas de apoio externo. Estes controles podem incluir a resolução de problemas de software ou hardware, juntamente com a manutenção adequada dos processos de auditoria.

Segurança física

Este domínio aborda as ameaças, vulnerabilidades e medidas que podem ser utilizadas para proteger fisicamente os recursos de uma empresa e informações confidenciais. Esses recursos incluem pessoal, as instalações em que trabalham, os dados, equipamentos, sistemas de apoio e os meios com os quais trabalham.

Um candidato CISSP deverá compreender as ameaças e os controles que estão relacionados com a proteção dos ativos físicos da empresa com informações sensíveis.

Arquitetura e modelos de segurança

Este domínio reúne os principais modelos de segurança utilizados para certificação de ambientes computacionais. São exemplos de modelos de certificação o ITSEC (Europa), TCSEC EUA (Orange Book), BS-7799 Inglaterra e Common Criteria.

Segurança em telecomunicações e redes

Este domínio inclui as estruturas, os métodos de transmissão, os formatos de transporte e medidas de segurança que são utilizados para assegurar integridade, disponibilidade, autenticação e confidenciabilidade para as transmissões em redes privadas e públicas de comunicações e mídia. É o domínio que se preocupa com a proteção de dados, voz e vídeo e, também, com a prevenção e detecção do uso indevido de sistemas.