这一章,是个帽子,还是个比较大的帽子。
没懂教材编辑者的思路,从这13个小节的标题来看,差那么点意思。可能是东西方差异,但“金字塔原理”也是西方人搞的,好吧!
那么,就按照个人的经验和理解,重构一下吧。
首先,第一个小节,“理解、遵从与提升职业道德”,将职业道德放在开端,有点“立业先立德”的意思啦。
然后,介绍下信息安全的基本概念,即CIA三性,相比18版考纲,新增了真实性和不可否认性。基本概念中,再引入风险的概念。
后面,主要就围绕着着风险管理和安全治理展开阐述:
风险管理:
风险管理部分,可以部分套用ISO31000的风险识别、分析、评价和处置的逻辑。
什么是风险:理解并应用风险管理概念(1.10)
如何识别风险:理解并应用威胁建模的概念和方法(1.11)
如何分析和评估风险:
对业务连续性(BC)要求进行识别、分析和优先级排序(1.8)
应用供应链风险管理(SCRM)概念(1.12)
确定合规性和其他要求(1.4,1.5,1.6)
安全治理:个人理解,是部分套用了cobit5的框架
安全治理的基本框架:评估和应用安全治理原理(1.3)
总方针标准:制定、记录和实施安全政策、标准、程序和指南(1.7)
人员策略制定:协助制定和实施人员安全政策和程序(1.9)
意识教育:制定并维护安全意识、教育和培训计划(1.13)
以上,就是21版考纲第一章节的骨架,从梳理框架的角度看,就这么些内容。但,这一章,是整个CISSP的灵魂和骨架,考试占权重最重,在AIO中篇幅也是比较长的。梳理完框架,下一步就是对着AIO进行深入细致的研读。
注:为了简化章节目录,上述架构,确有不严谨的地方,甚至有望文生义牵强附会的地方。但至少,是将书读薄的一个路径。
附一:ISO31000风险处理过程
附二:Cobit5 架构
683
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
