【写在前面】终于报考了,将在2021年11月11日这个完美的日子里进行CISSP考试,今天是2021年9月25日,考前倒数47天,在这最后的一个半月时间里,计划将AIO的内容做个打结,用自己的结构体系阐释这本厚重的宝书。
CISSP是信息安全届的圣经,知识面广而全面,号称“一英里宽,一英寸深”。初看红宝书,厚重的知识分量,玄奥的目录结构迫使心生怯意;细度之下,颇有感悟,看似深厚的知识,只是浮光掠影,玄奥的目录结构,却是草灰蛇线伏笔千里。现在我就用我的方式,从这一英里宽的浮沙上建起一座小楼。
首先我们假模假样的建立一条公理:对于企业来讲,信息安全是对信息资产的保护,信息资产是围绕业务生灭浮沉的,所以,信息安全要服务于业务,从业务中来到业务中去,看护信息资产的全生命周期。换用一句又B感又烂俗的话,叫Build-In,整个CISSP这么厚厚的一本,主要就是在阐述Build-In这个词,这是整个CISSP的灵魂。
然后我们再来重申个常识:信息资产是承载在信息系统上供业务生杀予夺。所以,Build-In就是要给“生杀予夺”划框框,这个“生杀予夺”叫生命周期SDLC,这个划框框的过程叫治理。这个划的动作是在前人千百遍的锤炼的基础上总结出来的套路,换句话说叫工程化方法。
好嘞,至此我们有灵有肉有骨架,还有砍刀和刀法。CISSP是什么呢,一言以蔽之:信息安全就是用治理的理念和工程的方法,Build-In进SDLC中保护信息资产。
走起,开局一本书,成就CISO!
2305
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
