Official (ISC)2 Guide to the CISSP CBK

《官方(ISC)² CISSP CBK指南》，第四版，是信息安全领域的专业参考书籍，尤其针对希望获取CISSP（认证信息系统安全专业人员）资格认证的专业人士。本书详细阐述了信息安全的各个方面，包括信息安全和风险管理、安全治理、合规性、道德规范、项目管理、个人和物理资产安全、持续改进、威胁建模和收购策略等，是一个全面覆盖CISSP考试内容的知识体系。 知识点详解： 1. 信息安全和风险管理： - 安全性和风险管理主要关注信息资产的保密性、完整性和可用性（CIA）。 - 保密性是指保护信息不被未授权者访问。 - 完整性是指确保信息的准确性和完整性不被未授权者修改。 - 可用性是指确保信息和相关资源可以被授权用户在需要时所用。 2. 安全治理： - 安全治理涉及到组织的安全目标、任务和目标。 - 组织过程包括为实现安全目标和维护信息资产安全所遵循的流程。 - 安全角色和职责指的是分配给个人或部门在信息安全策略和程序中所扮演的角色。 3. 信息安全策略： - 信息安全策略是全面有效的安全计划的基石，包括策略、指导方针、程序和控制框架。 - 策略、标准和程序是实施具体安全措施的基础。 4. 合规性、治理、风险管理（GRC）： - 合规性是根据法律法规确保组织安全政策和程序的符合性。 - 风险管理是识别、评估和控制威胁组织信息资产安全的风险的过程。 5. 业务连续性（BC）和灾难恢复（DR）： - 业务连续性计划确保在发生灾难性事件时，关键业务活动能够持续或尽快恢复。 - 灾难恢复计划是业务连续性计划的一部分，专注于如何恢复信息系统的运行。 6. 隐私要求和合规性： - 隐私要求关注个人数据保护和隐私权。 - 数据泄露是指个人可识别信息的未授权披露，涉及相关法律法规和应对措施。 7. 伦理规范： - 计算机伦理涵盖计算机和网络使用的道德规范。 - (ISC)²的专业伦理规范是信息安全专业人员必须遵守的伦理准则。 8. 项目管理和人员安全： - 项目启动和管理包括规划和记录项目范围以及制定项目计划。 - 人员安全管理涉及雇员筛选、合同、解雇流程以及对供应商、顾问和承包商的控制。 9. 风险管理框架： - 了解风险评估方法，识别威胁和脆弱性。 - 实施风险对策，包括选择对策并进行评估和测量。 10. 控制类型和资产估值： - 访问控制类型定义了谁可以访问哪些资源。 - 资产估值包括有形和无形资产的评估，对于风险管理是必要的。 11. 持续改进和威胁建模： - 持续改进是风险管理框架的核心要素，涉及不断评估和优化安全控制。 - 威胁建模是一个识别潜在攻击并分析如何减轻这些威胁的过程。 12. 技术和进程： - 涉及用于缓解威胁的技术和流程。 - 采购策略和实践包括硬件、软件和服务的管理。 13. 第三方治理和安全教育： - 管理第三方治理涉及确保第三方服务提供商满足最低安全和服务水平要求。 - 安全教育、培训和意识提升是提高组织整体安全能力的重要组成部分。 通过阅读和理解这些内容，信息安全专业人士可以为CISSP认证考试做好准备，并在实际工作中更好地应对信息安全的挑战。