D1-04 5–8 分钟 重要程度:高
策略、标准、基线、指南、程序
安全文档层级是 D1 高频考点。策略说明方向,标准和基线是强制要求,指南是建议,程序是具体步骤。
一、必须记住
- Policy 是最高层文件,说明 What / Why。
- Standard 是强制性统一要求。
- Baseline 是最低安全要求。
- Guideline 是建议性做法。
- Procedure 是 step-by-step 操作步骤。
二、核心概念
Policy
策略由高层批准,表达组织安全目标、期望行为和责任。策略通常不针对个人,而是针对角色和组织要求。
Standard / Baseline
标准定义必须遵守的统一要求;基线定义系统或配置必须达到的最低安全水平。
Guideline / Procedure
指南提供建议和最佳实践,不一定强制;程序是具体操作步骤,用来保证一致执行。
三、CISSP 判断规则
- 问最高层方向和管理意图,选 Policy。
- 问强制配置要求,选 Standard 或 Baseline。
- 问最低安全配置,选 Baseline。
- 问建议性做法,选 Guideline。
- 问一步一步怎么做,选 Procedure。
四、常见陷阱
- Standard 和 Guideline 不同:standard 强制,guideline 建议。
- Policy 通常不写具体操作步骤。
- Procedure 不是高层策略,而是操作层 how-to。
五、英文关键字
Policy (策略) 定义:高层文件,说明 What / Why。 Standard (标准) 定义:强制性统一要求。 Baseline (基线) 定义:最低安全要求。 Guideline (指南) 定义:建议性做法,不一定强制。 Procedure (程序) 定义:Step-by-step 操作步骤。 AUP (可接受使用策略) 定义:Acceptable Use Policy。
小测验
1. 哪类文件定义组织安全目标和可接受行为?
Policy 是高层策略文件,定义目标、期望和方向。
2. 服务器上线前必须满足的最低安全配置属于什么?
Baseline 定义最低安全级别。未达到基线通常不应进入生产。
3. 一步一步说明如何执行备份恢复测试的文档是?
Procedure 是 step-by-step how-to。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成