CISSP备考知识点CHECKLIST-域1：安全和风险管理

       本部分内容是这样设计的，首先概述了该域讲述的重要内容，让我们对这个域的知识和意图有个整体性了解。这个概述我是参考了前期发的官方预备课程里面的材料，原文你们可以去【CISSP自考】公众号里对应的文章；第二部分是参考官方考试大纲列出来的知识点，我顺便补充了一下。部分知识点我标了在AIO或OSG教材中的页码，里面还有我对某个知识点轻重理解。附录一是我认为有用的图片和一些不错的参考截图；附录二是OSG在该域中相关的考试要点，我觉得总结的挺好，可以作为CHECKLIST使用，特此花了点时间放在本材料后面了。

另外对教材的常见困惑按照我的认识说明一下：由于考试大纲是按照CBK来设计的，但我们平时看的教材是AIO和OSG。CBK没有中文版，而且英文版据说也是超级无法看。反正我很少听说有人看CBK的。AIO虽然是按照大纲的8个域设计了对应的8章，但是里面的小节设计却没有完全按照考试大纲来。AIO虽然讲的比较细，但是你对照大纲的时候你会发现缺失的很多，你的心是凌乱的。另外一个我们常看的OSG教材，知识点虽然比较全面，但是要命的是它不是按照这8个域来设计的。OSG整书有21章，它把这8个域的知识按照它的逻辑拆分到这21章里去了。幸好每章第1页会提示本章覆盖了哪些考试大纲的内容，这让你稍微清楚点，但是整体上看下来，你的心也是会很凌乱。

我们备考学习时，建议按照域1-8来进行，这样逻辑上会完整些，你将AIO和OSG综合起来看。本材料就是按照这个思路整理的，希望对你有帮助。

一、概述

这个域主要讲什么是风险？我们应该如何应对风险？首先安全需要从顶层设计开始和治理，我们对安全性的所有努力都是为了实现治理为我们设定的目标。同时我们需要了解安全最佳实践和安全控制框架，通过采用这些工具来建立我们的信息安全（都有现成的最佳实践和基线，不需要自己拍脑袋和发挥想象力）。另外我们需要了解风险，如果不了解风险，我们真的无法深入到信息安全领域。当我们管理风险时，不是消灭风险，而是将风险降到可接受的水平。我们要知道安全控制可能是一个过程或程序，它更像一种管理手段而不是某种安全技术，目标始终是将风险降低到可接受的水平。我们需要会定量分析和定性分析，了解做BIA业务影响分析的，清楚业务连续性计划和灾难恢复方案。

二、细分知识点：

1. 理解和运用保密性、完整性和可用性的概念

a) 安全的目标是对数据和资源提供可用性、完整性和机密性保护；

b) 这三个目标的对立面：泄露、篡改、破坏；

c) 这三个因素之间是彼此影响的；

d) 不同机构对三元组的重要性排序不一样，如企业关注可用性、军队看中机密性；

2. 评估和应用安全治理的原理

• 将安全功能与商业策咯、目标、使命和宗旨相连接----没什么可以考的，大致看看即可

• 组织的流程 （例如购置、剥离、治理委员会）-----没什么可以考的，大致看看即可

• 组织的角色与职责

这项在域2中重点介绍；

• 安全控制框架

a) 3种控制类型：管理、技术/逻辑、物理；

b) 6种控制功能：预防、检测、纠正、威慑、恢复、补偿；

c) 安全框架

i. 安全规划开发：ISO/IEC27000系列；

ii. 企业架构开发：Zachman框架、TOGAF、DoDAF、MODAF、SABSA；

iii. 安全控制开发：COBIT、NIST SP 800-53、COSO；

iv. 过程管理开发：ITIL、6西格玛、CMMI模型；

关于安全框架，AIO教材中有个例子我觉得说的挺好的。【图2】

• 应尽关注/尽职调查    Due Care和Due Diligence

3. 确定合规要求

• 合约、法律、行业标准和监管的要求

法律应该不考，合规和调查，在第七域有详细介绍；

• 隐私的要求

需要多了解一下

4. 理解与信息安全的全球背景相关的法律和监管问题

• 网络犯罪和数据泄露

大致了解一下即可

• 许可和知识产权的要求

a) 商业秘密

b) 版权

c) 商标

d) 专利

• 进口/出口控制书上介绍的不多，需要多了解一下

• 跨境数据流书上介绍的不多，需要多了解一下

• 隐私需要多了解一下

5. 理解、遵从与提升职业道德

• (ISC)2  职业道德规范大致了解一下

• 组织的道德规范大致了解一下

6. 开发、撰写与实现安全政策、标准、流程和指南

a) 安全策略及三个种类

b) 标准

c) 基线

d) 指南

e) 程序 Procedure

f) 实施Implementation

7. 对业务连续性（Business Continuity）进行识别、分析及优先级排序重点掌握

• 制定并记录范围和计划

• 经营影响分析 （BIA）

8. 促进与实行人员安全的策略与流程

• 员工筛选与雇佣

a) 雇佣新员工的步骤

b) 职责分离

c) 工作职责

d) 岗位轮换

e) 教材训练

f) 背景调查

• 雇佣合约与政策

• 入职与离职程序

• 供应商、顾问与承包商的合约与控制  SLA

• 合规策略要求简单了解，OSG上面就只有1段话

• 隐私策略要求多看看

9. 理解与运用风险管理的概念

• 识别威胁与漏洞

a) 清楚脆弱性、威胁、风险各种安全组件之间的关系；【图1】

• 风险评估/分析

%2) 定量分析 重点掌握

%3. SLE=AV*EF

%3. ALE=SLE*ARO

%3. 防护措施成本效益计算公式：（ALE1-ALE2）-ACS

%2) 定性分析 基本知道

• 风险响应

a) 风险分析的结果—四个

b) 风险的应对策略—四种

c) 剩余风险

• 对策选择与实现OSG P49

• 控制措施适用的类型（例如：预防措施、检测措施和 纠正措施）七种

a) 威慑、预防、检测、补偿、纠正、恢复、指令

• 安全控制评估 (SCA) AIO P93

• 监控与测量OSG P52

• 资产估价OSG P52

• 汇报OSG P52 风险报告就几行字 汇报在灾难恢复和审计等内容中有提及

• 持续提高OSG P53

• 风险框架NIST SP 800-37   OSG P54

10. 理解与运用威胁建模的概念和方法论

• 威胁建模的方法论

• 威胁建模的概念OSG P427

11. 将基于风险的管理概念运用到供应链AIO P781、P880 ； OSG P100 P605

• 与硬件、软件和服务相关的风险

• 第三方评估与监测OSG P24

a) 例如现场评估、文件传递和审查、流程/策略审查

• 最低安全需求 没啥

• 服务水平要求SLA OSG P37

12. 建立与维护安全意识、教育和培训计划意识、培训、教育

• 安全意识宣贯与培训的方法和技术 OSG P55  AIO P114

• 定期内容审查

• 方案效果评价

附录1：相关图片

【图1】

【图2】

附录2：OSG中和域1相关章节的考试要点

域1的各个知识点，在OSG中，分布在1、2、3、4、19章节中；

第1章中相关域1的考试要点：

• 理解CIA 三元组的元素: 机密性、完整性和可用性。机密性是客体不能暴露给未授权主体的原则。了解这条原则为什么重要、支持该原则的机制、针对该原则的攻击以及有效的对策。完整性是客体保持自身的正确性以及只能由己授权主体进行有意识修改的原则。了解这条原则为什么重要、支持该原则的机制、针对该原则的攻击以及有效的对策。可用性是经过授权的主体被及时准许和不被打断地访问客体的原则。了解这条原则为什么重要、支持该原则的机制、针对该原则的攻击以及有效的对策。

• 能够解释身份标识是如何工作的。身份标识是一个过程， 在这个过程中， 主体会表明身份， 并且开始提供可问责'性。主体必须向系统提供身份， 从而启动身份认证、授权和可问责的过程。

• 理解身份认证的过程。认证或测试所声明身份合法性的过程就是身份认证。身份认证要求来自主体的附加信息必须完全对应于被表明的身份。

• 了解如何在安全计划中实现授权。一旦主体通过了身份认证， 其访问还必须经过授权。授权的过程确保请求的活动或客体访问， 可能获得了为通过身份认证的身份而指派的权利和特权。

• 理解安全治理。安全治理是关于组织支持、定义和指导安全工作的实践集合。

• 能够解释审计过程。审计或监控是程序化方式， 通过这种方式， 主体在系统中经过身份认证的行为是可问责的。审计也是对系统中未经授权的或异常的活动进行检测的过程。我们需要通过审计来检测主体的恶意行为、入侵企图和系统故障以及重构事件， 为起诉提供证据、生成问题报告和分析结果。

• 理解可问责性的重要性。只有在支持可问责性时， 组织的安全策略才能够被正确实施。换句话说， 只有在主体的活动可问责时， 才能够保持安全性。有效的可问责性依赖于检验主体身份以及跟踪其活动的能力。

• 能够解释不可否认性。不可否认性确保活动或事件的主体无法否认所发生的事件。不可否认性能够防止主体宣称自己没有发送消息、没有执行过某项活动或者不是某个事件的起因。

• 理解安全管理计划编制。安全管理基于三种类型的计划: 战略计划、战术计划和操作计划。战略计划是长期计划， 并且是相当稳定的， 用于定义组织机构的目的、任务和目标。战术计划是中期计划， 用来提供更加详细的实现战略计划所提出目标的计划。操作计划是短期计划， 是基于战略和战术计划的非常周详的计划。

• 了解规范化安全策略结构的元素。为了生成全面的安全计划， 需要适当地遵守下列要求: 安全策略、标准、基准、指导方针和l!ï)字。这些文档清楚地描述了安全需求并反映了责任方的适度关注。

• 理解重要的安全角色。主要的安全角色有高层管理者、组织机构所有者、上层管理者、安全专家、用户、数据所有者、数据管理员以及审计人员。通过构建安全角色的层次， 就可以全面限制风险。

• 了解如何实现安全意识培训。在真正的培训开始之前， 必须为用户建立树立为公认实体的安全意识。一旦树立了安全意识， 培训或教育员工执行工作任务和遵守安全策略就可以开始了。所有的新员工都需要进行培训， 这样他们才能够遵守安全策略中规定的所有标准、指导方针和程序。教育是一项更细致的工作， 学当三/用户需要学习比他们完成工作任务实际所需知识多得多的知识。教育往往与用户参加认证考试或寻求职务晋升相关联。

• 了解分层如何简化安全。分层是串联使用多个控制层次。使用多层次解决方案， 使用许多控制去防范威胁。

• 能够解释抽象的概念。抽象用于将相似的元素放入组、类别或角色(被整体性授予安全控制、限制或权限) 中， 抽象提高了实施安全计划的效率。

• 理解数据隐藏。顾名思义， 数据隐藏防止主体发现或访问数据。在安全控制和程序设计中， 数据隐藏通常是一个关键要素。

• 理解对加密的需求。加密是对计划外的接收者隐藏通信数据的含义或意图的一种艺术和学科。加密可以具有很多形式， 并且能够用于所有的电子通信类型， 包括文本、音频和视频文件以及应用程序本身。加密技术是安全控制中一个非常重要的元素， 尤其系统之间的数据传输更是如此。

• 能够解释更改控制和更改管理的概念。安全环境的改变很可能引入会导致新脆弱性出现的漏洞、重叠、客体丢失和疏漏。面对更改， 维持安全性的唯一方法是系统地管理更改。

• 了解为什么和如何进行数据分类。数据分类旨在简化给客体组(而不是单独客体)分配安全控制的过程。两种通用的分类方案是政府/军方分类和商w私营部门分类。了解政府/军方分类中的5个级别和商业/私营部门分类中的4 个级别。

• 理解解除分类的重要性。一旦某个资产不再需要当前分配的分类或敏感性级别保护， 就需要解除分类。

• 了解COBI丁的基础知识。信息及相关技术控制目标(COBIT)是一种安全概念基础架构， 用于组织公司的复杂安全解决方案。

• 了解威胁建模的基础知识。威胁建模是一种安全流程， 能识别、分类和分析潜在威胁。威胁建模在设计开发阶段可作为一种提前措施来执行， 或在产品被部署后作为一种被动性措施来执行。关键概念包括资产/攻击者/软件、STRIDE、图形表示、约简/分解和DREAD。

• 了解安全并购的必要性。将网络安全风险管理与收购策略和实践进行综合是确保组织的安全策略成功强健的一种手段， 而不管组织的规模是什么样的。如果在没有考虑安全性的情况下贸然购买，所购买的这些产品的固有风险将在其整个部署过程中一直存在。

第2章中相关域1的考试要点：

• 知道隐私如何被放入IT 安全领域。知道隐私的多重含主U定义， 为什么保护它是非常重要的，以及围绕隐私尤其是在工作环境中的隐私的各种问题。

• 能够讨论安全的第三方治理。第三方治理的监督制度可以根据法律、法规、行业标准或许可要求进行强制执行。

• 能够定义整体的风险管理。风险管理的过程如下: 识别可能造成数据损坏或泄漏的因素、根据数据的价值与对策的成本来评估这些因素， 以及实现能够减轻或降低风险的有成本效益的解决方案。通过执行风险管理，就能够为降低整体风险奠定基础。

• 理解风险分析及涉及的要素。执行风险分析能够为上层管理者提供详细、必要的依据， 从而使其决定哪些风险应当被削弱、哪些风险应当被转移以及哪些风险应当被接受。为了全面评估风险和随后采取恰当的防范措施， 就必须分析下列要素: 资产、资产估值、威胁、脆弱性、暴露、风险、己发生的风险、防护措施、对策、攻击和突破。

• 知道如何评估威胁。威胁可能有很多来源， 包括町、人和自然界。以团队的形式评估风险以便提供范围最广的视角。通过从各个角度全面地评估风险，就可以减少系统的脆弱性。

• 理解定量的风险分析。定量的风险分析关注硬性指标和百分比。全部使用定量分析是不可能的，因为风险的某些方面是无形的。定量的风险分析过程涉及: 资产估值和威胁识别，接着确定威胁发生的潜在频率和损失， 结果是防护措施的成本/效益分析。

• 能够解释暴露因子(EF)的概念。暴露因子是定量风险分析的一个元素， 表示组织的某种特定资产被已发生的风险损坏后造成损失的百分比。通过计算暴露因子， 能够较好地实现风险管理策略。

• 了解单一损失期望(SLE)并知道如何计算。SLE是定量风险分析的一个元素， 表示与针对特定资产的单个已发生风险相关联的成本。计算SLE时， 可以使用公式: SLE=资产价值(AV) *暴露因子（EF）。

• 理解年发生比率(ARO )。 ARO 是定量风险分析的一个元素， 指的是特定威胁或风险在一年内将会发生(也就是成为现实)的预计频率。理解ARO 能够进一步计算风险和采取适当的防范措施。

• 了解年度损失期望(ALE)并知道如何计算。ALE 是定量风险分析的一个元素， 指的是针对某种特定的资产， 所有己实施的威胁每年可能造成的损失成本。计算ALE 时可以使用公式: ALE=单一损失期望(SLE)*年发生比率(ARO) 。

• 了解评估防护措施的公式。除了确定防护措施每年的成本外， 还必须计算实现措施后资产的ALE。为此， 可以使用下面这个公式: 实现防护措施前的ALE- 实现防护措施后的ALE-每年的防护措施成本=公司防护措施的价值， 即(ALE1 - ALE2) - ACS

• 理解定性的风险分析。定性的风险分析更多是根据场景而不是根据计算。这种方式不是为可能发生的损失分配准确的货币价值， 而是按程度将威胁分成等级， 从而评估其风险、成本和影响。这些分析结果可以帮助那些负责制定风险管理策略的人。

• 理解Delphi 技术。Delphi 技术只是一个简单的匿名反馈和响应过程， 这个过程被用于达成一致意见。达成的一致意见为责任方提供了正确评估风险和实施解决方案的机会。

• 了解处理风险的选项。降低风险或风险缓解是防护措施和对策的实现。风险转让或转移风险是把风险带来的损失成本转移给另一个实体或组织。购买保险就是转让或转移风险的一种常见形式。接受风险是因为管理层对可能采用的防护措施进行了成本/效益分析上的评估， 并且确定对策的成本远远超过风险可能造成的损失的成本， 还意味着管理层已经同意接受风险发生所造成的结果和损失。

• 能够解释总风险、剩余风险和控制间隙。总风险指的是在没有实现防护措施的情况下，组织将要面对的风险数量。计算总风险的公式是: 威胁*脆弱性*资产价值=总风险。剩余风险是管理层选择接受而不是缓解的风险。总风险和剩余风险之间的差值被称为控制间隙， 控制间隙是指通过实现防护措施被减少的风险数量。计算剩余风险的公式是: 总风险-控制间隙=剩余风险。

• 理解控制类型。"访问控制" 这一术语指的是一系列执行以下任务的控制=确保只有授权用户能够登录而未授权用户不能访问资源。控制类型包括预防、测探、校正、警报、恢复、指令和补偿控制。按执行方式控制可分为:行政管理性控制、逻辑性控制或物理性控制。

• 理解雇佣新员工的安全含义。为了制定合适的安全计划， 必须具有工作描述、工作分类、工作任务、工作职责、阻止共谋、候选人筛选、背景调查、安全许可、雇佣协议和竞业禁止协议的标准。通过部署这些机制， 确保新雇佣的人员意识到要求的安全标准， 从而保护组织的资产。

• 能够解释职责分离。职责分离属于安全概念， 指的是将关键的、重要的和敏感的工作任务分配给不同的人。通过分离责任这种方式， 就可以确保任何人不可能危及系统安全。

• 理解最小特权原则。最小特权原则表明， 在安全环境中， 用户应该被授予完成要求的工作任务或工作职责所必需的最少访问权限。通过限制用户只能访问完成工作任务所要求的那些资源， 就能限制敏感信息的脆弱性。

• 了解岗位轮换和强制性休假是也是必要的。岗位轮换有两个作用: 提供了一种知识冗余类型: 人员流动可以减少伪造、数据更改、偷窃、阴谋破坏和信息滥用的风险。一到两个星期的强制性休假被用于审计和认证员工的工作任务和权限。这种做法往往比较容易发现滥用、欺诈或疏忽行为。

• 理解供应商控制、顾问控制和承包商控制。利用供应商控制、顾问控制以及承包商控制来确定这个主要组织外部的不同实体、个人或机构的绩效水平、期望值高低、薪酬水平以及影响程度。通常情况下， 服务水平协议(SLA) 的文件或政策中会对这些控制进行明确规定。

• 能够解释适当的解雇策略。解雇策略定义了解雇员工的过程， 应当包括: 始终有一位证人在场，禁止员工访问网络， 进行离职面谈， 护送员工离开办公室， 交回安全标志和门卡， 返还公司的财产。

• 了解如何实现安全意识培训。在真正的培训开始之前， 必须让用户树立主人翁的安全意识。一旦树立了安全意识， 培训或教育员工执行工作任务和遵守安全策略就可以开始了。所有的新员工都需要进行培训. 这样他们才能够遵守安全策略中规定的所有标准、指导方针和步骤。教育是一项更细致的工作， 学生/用户需要学习比他们完成工作任务实际所需知识多得多的知识。教育往往与用户参加认证考试或寻求职务晋升相关联。

• 理解如何管理安全功能。为了实现管理安全功能， 组织必须采取恰当且充分的安全治理。执行风险评估以驱动安全政策的施行是最明显、最直接的安全功能管理例子。同时这也和预算、度量、资源以及信息安全策略以及评估安全系统的完整性及有效性息息相关。

• 了解风险管理框架的6个步骤。风险管理框架的6 个步骤分别是: 分类、选择、实施、评估、授权和监控。

第3章中相关域1的考试要点：

• 理解业务连续性计划编制过程的4个步骤。业务连续性计划涉及4个不同的阶段: 项目范围和计划编制、业务影响评估、连续性计划、批准和实现。每个任务都为整体目标服务， 从而确保业务在发生紧急事件时不会中断并持续运营。

• 描述如何执行业务结构分析。在业务结构分析中， 负责领导BCP 过程的人确定哪些部门和个人会参与业务连续性计划。这种分析被用作BCP 团队选择的基础， 并且在BCP 团队确认后被用于指导BCP 开发的后续阶段。

• 列出业务连续性计划团队的必要成员。BCP 团队至少应当包括下列人员: 每个运营和支持部门的代表; IT 部门的技术专家: 具有BCP 技能的安全人员: 熟悉公司法律、规章、契约责任的法律代表: 以及高管代表。其他团队成员取决于组织的结构和特性。

• 了解业务连续性计划编制者面对的法律和规章要求。业务领导必须尽职， 以确保股东的利益在灾难事件发生时得到保护。美国的一些行业还必须服从美国联邦、州|和当地的法规， 这些法规要求特殊的BCP 规程。很多业务在灾难发生之前和之后都具有客户必须满足的合约义务。

• 解释业务影响评估过程的步骤。业务影响评估过程的5个步骤包括优先级确定、风险确定、可能性评估、影响评估和资源优先级划分。

• 描述连续性策略的开发过程。在策略开发阶段， BCP 团队确定哪些风险要进行缓解。在预备和处理阶段， 将会对实际缓解风险的机制和规程进行设计。计划必须随后得到高管的批准并且加以实现。人员还必须接受其在BCP 过程中所处角色的培训。

• 解释为组织机构的业务连续性计划进行全部文档化的重要性。将计划记录下来， 以便在灾难发生时为计划的实施提供规程上的书面记录。这避免了" 在我脑子里" 的综合症， 从而确保在紧急事件中有序地实施计划。

第4章中相关域1的考试要点：

• 了解刑法、民法和行政法之间的差别。刑法保护社会免遭那些违反我们信奉的基本原则的行为。违反刑法的行为是由美国联邦和州政府进行起诉的。民法提供了个人和组织之间的商业交易体制。违反民法的行为被提交法院并由受到影响的双方进行辩论。行政法是由政府机构使用的， 目的是为了有效地执行日常事务。

• 能够解释用来保护社会免遭计算机犯罪影响的主要法律的基本条款。计算机诈骗和滥用法案(修正案)保护政府或州间贸易使用的计算机不被滥用。计算机安全法案概括了政府为了保护自己的系统免遭攻击而必须采取的措施。政府信息安全改革法案进一步发展了美国联邦政府信息安全程序。

• 了解版权、商标、专利权和商业秘密之间的差别。版权保护创作者的原创作品， 如书籍、文章、诗和歌曲。商标是名称、口号和徽标， 用于标识公司、产品或服务。专利权为新发明的创作者提供保护。商业秘密法律保护公司的运营机密。

• 能够解释数字干禧年版权法案(1998年)的基本条款。数字千禧年版权法案禁止绕过针对数字介质的复制保护机制， 并限制网络服务提供商对于其用户行为的责任。

• 了解经济间谍法案(1 996 年)的基本规定。经济间谍法案对任何被发现偷盗商业秘密的人进行处罚。在盗窃者知道这些信息将为外国政府获利时， 他会被处以严厉的处罚。

第19章中相关域1的考试要点：

• 理解安全人员职业道德的重要性安全从业者被赋予非常高的权利和责任， 以执行其工作职能。这便会存在权利滥用的情形。没有严格的准则对个人行为进行限制， 我们可以认为安全从业人员具有不受限制的权利。遵守道德规范有助于确保这种权利不被滥用。

• 了解(ISC)2 的道德规范和RFC1087 "道德规范和互联网" 。所有参加CISSP考试的人都应该熟悉(ISC)2的道德规范，这是因为他们必须签署遵守这一准则的协议。除此之外， 他们还应当熟悉RFC1087的基本要求。

如果您觉得本文有价值，请点击文末右下角“在看”按钮；

如果您觉得本号有价值，请分享给需要学习CISSP的朋友；

感谢有你，让我们共同创建一个CISSP自考技术交流分享平台！

原文始发于微信公众号（CISSP Learning）：CISSP备考知识点CHECKLIST---域1：安全和风险管理