CISSP 认证几个知识域的全体观
发布时间:2022-05-24 09:24:51 所属栏目:安全 来源:互联网
导读:CISSP的CBK在14年的时候,进了一个比较大的一个变化,从以前的十个知识域变成了八个知识域,把原来的知识点重新进行了组合,比方说把BCP的需求的那一部分搬到安全与风险管理这一个章节。 1. 安全与风险管理-顶层思维 我们首先来看到,安全与风险管理它实际上
|
CISSP的CBK在14年的时候,进了一个比较大的一个变化,从以前的十个知识域变成了八个知识域,把原来的知识点重新进行了组合,比方说把BCP的需求的那一部分搬到安全与风险管理这一个章节。 1. 安全与风险管理-顶层思维 我们首先来看到,安全与风险管理它实际上是顶层思维。这里讲的是说如何去发现归纳总结企业自身安全需求上,需求决定一切,需求一般来自与业务的安全需求,合规需求,业务连续性续期,风险评估的结果等。如果说你不知道你的问题,你的需求在哪里,你所谓的安全防护都是扯淡。第二个就你有了需求之后,要去满足需求,接下来就是所谓的安全规划,安全顶层设计,包括安全组织的设置,定义安全角色、明确安全策略目标等。这就是所谓的什么安全与风险管理,它是一个顶层思维。 2. 资产安全-业务思维 资产到底需要怎样等级或强度的安全防护呢,如何判定。这需要安全专业人员要有业务思维,我们一定要站在业务的角度去看,安全到底在里面起什么作用?我们看互联网公司,他们的信息安全基本上走在行业的前列。这一点是毋庸置疑的,就是因为它的安全跟业务绑得非常的紧密。电子商务正是如此,云计算平台也是如此。业务思维能够帮助我们更好的去理解安全对于业务的这种价值作用,也就是说进一步明确我们的安全保护的对象。企业业务有关键业务和辅助业务之分,这也是我们为什么要把资产分个三六九等去区别对待的原因。同时企业在安全投入的资源也是有限的,区分对待也是必然。 3. 安全的评估与测试-第三方思维 安全工作到底做得如何,不能自说自话,除了是否发生安全事件的终极检验之外,需要及时的第三方的客观评价。另外,企业利益很多时候涉及第三方的利益。比方说集团公司总部会关心下面的分子公司的安全,物流关心供应链安全;监管部门要依法履行安全检查评估与测评之职责,用第三方的思维来看这个事情。更客观的验证测试安全的有效性。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号