Domain 2 权重 10% 数据生命周期
D2 资产安全
Asset Security
本领域关注信息和资产识别、分类、数据状态、数据所有权、介质净化、隐私保护和安全基线。重点是把数据生命周期中的责任和控制讲清楚。
章节列表
D2-01 敏感数据与数据分类 6–9 分钟 · 重要程度:高 · 资产安全从识别和分类数据开始。分类不是看数据成本,而是看泄露、暴露或合规失败后的业务影响。 D2-02 资产分类与数据状态 5–8 分钟 · 重要程度:高 · 资产分类应匹配它处理的数据分类。数据状态分为静态、传输中和使用中,不同状态需要不同控制。 D2-03 数据处理、存储、残留与净化 8–10 分钟 · 重要程度:高 · 数据生命周期中最容易考的主题是数据残留与介质净化。擦除、清理、清除、消磁、销毁的强度不同。 D2-04 数据保护加密:存储与传输 7–10 分钟 · 重要程度:中 · D2 不要求深入密码学细节,但要知道哪些控制保护静态数据、哪些保护传输中数据。 D2-05 数据所有权与角色责任 8–10 分钟 · 重要程度:高 · D2 的角色责任是高频考点。数据所有者决定分类和授权,托管员执行保护,用户按授权使用数据。 D2-06 隐私保护、GDPR、假名化与匿名化 7–10 分钟 · 重要程度:中 · 组织有义务保护 PII、PHI 和隐私数据。GDPR 引入控制者、处理者、跨境传输和高额罚款等考点。 D2-07 安全基线、范围界定与按需定制 5–8 分钟 · 重要程度:中 · 安全基线提供最低要求,但不是所有控制都适用于每个系统。Scoping 和 Tailoring 用来让控制适合实际任务。