CISSP认证8个知识领域的整体视图重新组合,例如,将BCP要求的部分移至安全和风险管理章节。CISSPCBK的重分类有其内在逻辑。这个逻辑到底是什么?如果我们把这个逻辑理解清楚了,那么从整体上去把握它会更有好处。我重新排序了,排在最前面的是安全风险管理,最后是安全评估和测试。这个环节我就不一一深入了。这八个知识领域的思考Perspective我们怎么看呢?1、安全与风险管理——顶层思维我们先来看安全与风险管理其实是顶层思维。这里我们讲一下如何发现和总结企业自身的安全需求。需求决定一切。需求一般来源于业务安全需求、合规需求、业务连续性更新、风险评估结果等,如果你不知道你的问题,你的需求在哪里,你所谓的安全防护都是扯淡。二是有了要求之后,就要满足要求。接下来就是所谓的安全规划和安全顶层设计,包括安全组织的设置、安全角色的定义、安全策略目标的明确等。这就是所谓的安全和风险管理,是一种顶层思维。2.资产安全——商业思维资产需要什么级别或强度的安全保护,如何确定。这就需要安全人员具备商业思维。我们必须从商业的角度来看待它。安全在其中扮演什么角色?我们看互联网公司,他们的信息安全基本处于行业前列。这点毋庸置疑,因为它的安全性与业务紧密相关。电子商务如此,云计算平台亦是如此。业务思维可以帮助我们更好地理解安全对于业务的价值,也就是进一步明确我们安全保护的对象。企业业务可分为核心业务和辅助业务,这也是我们将资产分为不同类别并区别对待的原因。同时,企业在安全上投入的资源有限,难免区别对待。3.安全架构与工程(身份与访问管理、通信与网络安全、软件开发安全)——设计思维了解保护对象,进而设计出你的整个安全保护体系。是安全工程与架构、身份与访问管理、通信与网络安全、软件开发安全四个知识领域的内容。如何设计安全机制以确保这些资产得到妥善保护。安全工程与架构、安全模型和保护机制的选择;身份和访问管理主要围绕身份和权限;通信与网络安全主要讲网络分层、协议安全和设备安全;软件开发安全是从安全内部增长的角度出发,系统本身有基本的安全措施,如登录认证、防SQL注入等。4.安全运营——运营思维安全设计完成,相关制度和机制完善部署。下一步是安全操作。例如,如果你有安全系统和安全设备,你需要确保你的安全系统能够有效地实施,你的安全设备必须被使用和使用好。它是持续的安全。5.安全评估和测试——第三方对安全工作的看法如何,你不能自己说。除了最终检验是否发生安全事件外,还需要第三方及时客观的评估。此外,企业利益往往涉及第三方利益。比如集团公司总部会关心下面的子公司的安全,物流公司会关心供应链的安全;监管部门要依法履行安全检查、评价和评价职责,用第三方的思维看待这件事。更客观的验证测试安全的有效性。最后简单总结一下:对于整个CISSP,我们可以从顶层思维、业务思维、设计思维、运营思维、第三方思维这八个知识域的角度来看整个安全知识体系。进一步安全思维模型的后续讲解和刻意练习,将帮助您建立结构化、系统化的安全认知体系。
