D1-04 5–8 分钟 重要程度:高

策略、标准、基线、指南、程序

安全文档层级是 D1 高频考点。策略说明方向,标准和基线是强制要求,指南是建议,程序是具体步骤。

一、必须记住

  • Policy 是最高层文件,说明 What / Why。
  • Standard 是强制性统一要求。
  • Baseline 是最低安全要求。
  • Guideline 是建议性做法。
  • Procedure 是 step-by-step 操作步骤。

二、核心概念

Policy

策略由高层批准,表达组织安全目标、期望行为和责任。策略通常不针对个人,而是针对角色和组织要求。

Standard / Baseline

标准定义必须遵守的统一要求;基线定义系统或配置必须达到的最低安全水平。

Guideline / Procedure

指南提供建议和最佳实践,不一定强制;程序是具体操作步骤,用来保证一致执行。

三、CISSP 判断规则

  • 问最高层方向和管理意图,选 Policy。
  • 问强制配置要求,选 Standard 或 Baseline。
  • 问最低安全配置,选 Baseline。
  • 问建议性做法,选 Guideline。
  • 问一步一步怎么做,选 Procedure。

四、常见陷阱

  • Standard 和 Guideline 不同:standard 强制,guideline 建议。
  • Policy 通常不写具体操作步骤。
  • Procedure 不是高层策略,而是操作层 how-to。

五、英文关键字

Policy (策略) Standard (标准) Baseline (基线) Guideline (指南) Procedure (程序) AUP (可接受使用策略)

小测验

1. 哪类文件定义组织安全目标和可接受行为?

Policy 是高层策略文件,定义目标、期望和方向。

2. 服务器上线前必须满足的最低安全配置属于什么?

Baseline 定义最低安全级别。未达到基线通常不应进入生产。

3. 一步一步说明如何执行备份恢复测试的文档是?

Procedure 是 step-by-step how-to。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成