Domain 6 权重 12% 验证控制有效性

D6 安全评估与测试

Security Assessment and Testing

本领域关注测试、评估、审计、监控、漏洞评估、渗透测试、SOC 报告、日志、SIEM、软件测试、指标、RACI 和整改跟踪。重点是分清验证控制、证明控制和持续监控的不同目的。

章节列表

D6-01 评估、测试、审计与监控策略 7–9 分钟 · 重要程度:高 · Domain 6 的核心是用测试、评估、审计和监控持续验证控制是否存在、是否运行、是否有效,并把结果转化为管理层可行动的改进。 D6-02 漏洞评估、SCAP 与扫描类型 8–10 分钟 · 重要程度:高 · 漏洞评估用标准化语言和扫描技术识别可被利用的弱点;登录扫描通常比非登录扫描更准确,但仍需确认误报、漏报和业务风险。 D6-03 渗透测试:授权、范围、阶段与盒型 8–10 分钟 · 重要程度:高 · 渗透测试比漏洞扫描更进一步,会在授权范围内尝试利用漏洞;CISSP 题目最重视书面授权、范围、规则、风险控制和报告。 D6-04 安全审计、标准与独立性 7–9 分钟 · 重要程度:高 · 审计的考试重点不是工具,而是独立性、审计范围、适用标准、证据和报告对象;内部评估不能替代独立审计。 D6-05 SOC、SSAE 18 与第三方保证报告 7–9 分钟 · 重要程度:中 · 服务组织控制报告用于减少重复第三方评估;SOC 1 关注财务报告,SOC 2 关注安全与隐私且通常保密,SOC 3 面向公开披露。 D6-06 日志、SIEM 与持续监控 7–9 分钟 · 重要程度:高 · 持续监控依赖日志、事件、告警和趋势分析;SIEM 的价值在于集中收集、关联、告警和报告,但仍需要调优、保留策略和响应流程。 D6-07 软件安全测试类型 8–10 分钟 · 重要程度:高 · 软件安全测试题常考代码审查、静态测试、动态测试、模糊测试、突变测试、接口测试和误用例测试的边界。 D6-08 覆盖率、指标、报告、RACI 与整改跟踪 8–10 分钟 · 重要程度:高 · 测试输出必须转化为覆盖率、风险优先级、管理层报告和可追踪整改;RACI 与独立性帮助明确谁负责修复、批准、咨询和知会。