Domain 1 权重 16% 管理者视角核心
D1 安全与风险管理
本领域建立 CISSP 的管理者视角:治理、风险、策略、角色责任、BCP、合规和职业道德。先读 D1,再读其他 Domain 会更稳。
章节列表
D1-01 CIA 与 DAD 5–8 分钟 · 重要程度:高 · CIA 是安全目标,DAD 是 CIA 被破坏后的相反结果。考试常用它们判断控制目的。 D1-02 身份标识、身份认证、授权、审计、可问责性 6–9 分钟 · 重要程度:高 · IAAAA 是 CISSP 判断访问控制与责任追踪的基础。先声明身份,再验证身份,再授权,最后通过审计支持可问责性。 D1-03 安全治理与管理责任 6–10 分钟 · 重要程度:高 · CISSP 把安全视为业务问题。高级管理层承担最终责任,安全专业人员设计和实施控制,但不能替业务承担最终责任。 D1-04 策略、标准、基线、指南、程序 5–8 分钟 · 重要程度:高 · 安全文档层级是 D1 高频考点。策略说明方向,标准和基线是强制要求,指南是建议,程序是具体步骤。 D1-05 变更管理、数据分类与角色责任 7–10 分钟 · 重要程度:高 · 变更管理保护生产环境,数据分类决定保护要求,角色责任决定谁做决策、谁执行控制。 D1-06 控制框架:COBIT、COSO、NIST RMF、CSF、ISO 27002 7–10 分钟 · 重要程度:中 · 控制框架帮助组织建立治理、风险管理和控制体系。CISSP 不要求背完整细节,但要知道每个框架大致用途。 D1-07 应尽关心与尽职审查 5–8 分钟 · 重要程度:高 · Due care 是采取合理注意,Due diligence 是持续调查、监督、验证和改进。中文考试容易混淆。 D1-08 风险术语与控制类型 7–10 分钟 · 重要程度:高 · 风险管理是 CISSP 核心。要区分资产、威胁、威胁主体、脆弱性、暴露、风险、防护措施和剩余风险。 D1-09 定量风险分析与风险响应 8–10 分钟 · 重要程度:高 · D1 常考风险公式和风险响应。公式要会算,响应要能按题意区分规避、缓解、转移、接受。 D1-10 BCP、BIA、DRP 与职业道德 8–10 分钟 · 重要程度:高 · BCP 关注业务连续性,DRP 关注灾难后的恢复。人身安全永远优先。ISC2 职业道德也常用来判断最合适行动。