D6-01 7–9 分钟 重要程度:高

评估、测试、审计与监控策略

Domain 6 的核心是用测试、评估、审计和监控持续验证控制是否存在、是否运行、是否有效,并把结果转化为管理层可行动的改进。

一、必须记住

  • Security testing 验证某项控制是否按预期运行。
  • Security assessment 是对系统、应用或环境安全性的全面审查。
  • Security audit 必须由独立审核员执行,常用于向第三方证明控制有效性。
  • Continuous monitoring 持续收集安全和运营信号,发现控制漂移和异常。
  • 测试和评估结果通常供内部改进;审计结果可供董事会、监管机构或客户使用。
  • NIST SP 800-53A 的评估对象包括规范、机制、活动和人员。

二、核心概念

测试、评估、审计

测试关注某个控制是否工作,例如自动化扫描、工具辅助渗透测试或手动尝试破坏控制。评估范围更广,还会考虑威胁环境、当前和未来风险、资产价值与改进建议。审计使用许多相同技术,但关键差异是独立性和证明用途。

持续监控

监控不是一次性评估,而是持续收集日志、性能、事件和控制状态资料。它帮助组织尽早发现异常、配置漂移、失败控制和趋势变化。

评估组成部分

NIST SP 800-53A 将评估关注点分为规范、机制、活动和人员。规范是政策、要求和设计;机制是满足规范的技术或管理控制;活动是备份、审查日志等动作;人员是执行这些内容的角色。

三、CISSP 判断规则

  • 问“某个控制是否正常运行”,优先选 Security testing。
  • 问“全面审查环境安全性并给管理层建议”,优先选 Security assessment。
  • 问“向第三方证明控制有效性”或“独立审核员”,优先选 Security audit。
  • 问“持续收集事件、日志和状态”,优先选 Continuous monitoring。

四、常见陷阱

  • 内部安全团队定期检查控制通常是测试或评估,不自动成为审计。
  • 审计不是为了替代修复;审计发现仍需要管理层推动整改。
  • 监控能发现变化,但不能证明所有控制在过去某一期间都有效,审计报告仍需要范围和证据。

五、英文关键字

Security testing (安全测试) Security assessment (安全评估) Security audit (安全审计) Continuous monitoring (持续监控) NIST SP 800-53A (NIST 安全控制评估指南) Specification Mechanism Activity Personnel

小测验

1. 安全团队验证新的访问控制规则是否按预期拒绝未授权用户,最符合哪个活动?

CISSP 判断时先看目的:验证某项控制是否工作是 Security testing,而不是面向第三方证明的审计。

2. 组织聘请独立审核员出具报告,向客户证明控制有效性,最符合?

审计的关键特征是独立性和证明用途,报告可给董事会、监管机构或客户使用。

3. NIST SP 800-53A 中,IPS、防火墙规则或日志平台这类用于满足要求的控制属于?

机制是信息系统中用于满足规范的控制措施;规范才是政策、要求和设计文件。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成