D1-06 7–10 分钟 重要程度:中
控制框架:COBIT、COSO、NIST RMF、CSF、ISO 27002
控制框架帮助组织建立治理、风险管理和控制体系。CISSP 不要求背完整细节,但要知道每个框架大致用途。
一、必须记住
- COBIT 关注 IT 治理和控制目标,强调满足利益相关方需求。
- COSO 偏企业治理和内部控制。
- NIST RMF 常见步骤:分类、选择、实施、评估、授权、监控。
- NIST CSF 五项功能:识别、保护、检测、响应、恢复。
- ISO 27002 提供信息安全控制实践。
二、核心概念
COBIT 与 COSO
COBIT 更偏 IT 治理和控制目标;COSO 更偏企业治理、风险管理和内部控制。考试常考两者定位差异。
NIST RMF
RMF 是风险管理框架,流程常见为 Categorize、Select、Implement、Assess、Authorize、Monitor。
NIST CSF 与 ISO 27002
CSF 以 Identify、Protect、Detect、Respond、Recover 五项功能组织网络安全能力;ISO 27002 提供信息安全控制最佳实践。
三、CISSP 判断规则
- 问 IT 治理控制目标,优先 COBIT。
- 问企业内部控制,优先 COSO。
- 问美国联邦信息系统风险管理流程,优先 NIST RMF。
- 问识别、保护、检测、响应、恢复,优先 NIST CSF。
四、常见陷阱
- 不要把 COBIT 当成单纯技术配置标准。
- RMF 的授权步骤 Authorize 很重要,体现管理层接受系统风险。
- CSF 是框架,不是具体产品。
五、英文关键字
COBIT (信息及相关技术控制目标) 定义:偏 IT 治理和控制目标。 COSO (企业治理 / 内部控制框架) 定义:偏企业治理和内部控制。 NIST RMF (NIST 风险管理框架) 定义:分类、选择、实施、评估、授权、监控。 NIST CSF (NIST 网络安全框架) 定义:识别、保护、检测、响应、恢复。 ISO 27002 (信息安全控制实践标准) 定义:提供信息安全控制最佳实践。 Categorize (分类) 定义:NIST RMF 步骤之一。 Authorize (授权) 定义:NIST RMF 中由管理层授权系统运行。 Monitor (监控) 定义:持续监控控制有效性。
小测验
1. Identify、Protect、Detect、Respond、Recover 属于哪个框架?
这是 NIST Cybersecurity Framework 的五项功能。
2. Categorize、Select、Implement、Assess、Authorize、Monitor 属于哪个流程?
这是 NIST Risk Management Framework 的核心步骤。
3. 哪个框架更偏 IT 治理和控制目标?
COBIT 用于 IT 治理和控制目标。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成