D1-06 7–10 分钟 重要程度:中

控制框架:COBIT、COSO、NIST RMF、CSF、ISO 27002

控制框架帮助组织建立治理、风险管理和控制体系。CISSP 不要求背完整细节,但要知道每个框架大致用途。

一、必须记住

  • COBIT 关注 IT 治理和控制目标,强调满足利益相关方需求。
  • COSO 偏企业治理和内部控制。
  • NIST RMF 常见步骤:分类、选择、实施、评估、授权、监控。
  • NIST CSF 五项功能:识别、保护、检测、响应、恢复。
  • ISO 27002 提供信息安全控制实践。

二、核心概念

COBIT 与 COSO

COBIT 更偏 IT 治理和控制目标;COSO 更偏企业治理、风险管理和内部控制。考试常考两者定位差异。

NIST RMF

RMF 是风险管理框架,流程常见为 Categorize、Select、Implement、Assess、Authorize、Monitor。

NIST CSF 与 ISO 27002

CSF 以 Identify、Protect、Detect、Respond、Recover 五项功能组织网络安全能力;ISO 27002 提供信息安全控制最佳实践。

三、CISSP 判断规则

  • 问 IT 治理控制目标,优先 COBIT。
  • 问企业内部控制,优先 COSO。
  • 问美国联邦信息系统风险管理流程,优先 NIST RMF。
  • 问识别、保护、检测、响应、恢复,优先 NIST CSF。

四、常见陷阱

  • 不要把 COBIT 当成单纯技术配置标准。
  • RMF 的授权步骤 Authorize 很重要,体现管理层接受系统风险。
  • CSF 是框架,不是具体产品。

五、英文关键字

COBIT (信息及相关技术控制目标) COSO (企业治理 / 内部控制框架) NIST RMF (NIST 风险管理框架) NIST CSF (NIST 网络安全框架) ISO 27002 (信息安全控制实践标准) Categorize (分类) Authorize (授权) Monitor (监控)

小测验

1. Identify、Protect、Detect、Respond、Recover 属于哪个框架?

这是 NIST Cybersecurity Framework 的五项功能。

2. Categorize、Select、Implement、Assess、Authorize、Monitor 属于哪个流程?

这是 NIST Risk Management Framework 的核心步骤。

3. 哪个框架更偏 IT 治理和控制目标?

COBIT 用于 IT 治理和控制目标。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成