CISSP知识点汇总-安全与风险管理

        备考3个月已考过CISSP 认证2025年3月，也算是一个有认证的安全牛马了，过程其实不容易，整理了一下常考的知识点：

CISSP知识点汇总

• 域1---安全与风险管理
• 域2---资产安全
• 域3---安全工程
• 域4---通信与网络安全
• 域5---访问控制
• 域6---安全评估与测试
• 域7---安全运营
• 域8---应用安全开发

---

域1 安全与风险管理

一、实现安全治理的原则和策略

1、机密性：确保信息在存储、使用、传输过程中不会泄露给非授权用户或实体。（加密）

确保只有获得授权才能访问数据。

2、完整性：1、防止非授权篡改；2、防止授权用户不恰当修改信息；3、保持信息内容部一致性和外部一致性 （哈希）

3、可用性：确保授权用户或实体对信息及资源的正确使用不会被异常拒绝，允许其可靠而及时地访问信息 （RAID）；允许例外是强调可用性

        CIA triad 是一个帮助理解安全目标的模型，类似于“工具”

4、保护机制，分层防御---纵深防御：多种控制手段结合，一个控制失效不会导致系统或数据泄漏，保护最弱环节。

5、战略一致性：业务战略驱动安全战略与IT战略想· 例如3-5年规划

6、组织的信息安全建设应该按计划行事，安全管理计划应该自上而下。

7、高级管理层/执行管理层：全面负责信息安全，是信息安全的最终负责人

8、COBIT是关于IT 治理和IT 管理相关控制流程的框架

9、Due Care ： 应尽关心：应该制定安全策略、上控制措施应对风险；（缓解风险）

10、Due Diligence ：尽职调查 ：识别风险、评估。

        DD-->DC

10.1 Prudent Person 负责、谨慎、明智和有能力的人

        ---