D6-01 7–9 分钟 重要程度:高
评估、测试、审计与监控策略
Domain 6 的核心是用测试、评估、审计和监控持续验证控制是否存在、是否运行、是否有效,并把结果转化为管理层可行动的改进。
一、必须记住
- Security testing 验证某项控制是否按预期运行。
- Security assessment 是对系统、应用或环境安全性的全面审查。
- Security audit 必须由独立审核员执行,常用于向第三方证明控制有效性。
- Continuous monitoring 持续收集安全和运营信号,发现控制漂移和异常。
- 测试和评估结果通常供内部改进;审计结果可供董事会、监管机构或客户使用。
- NIST SP 800-53A 的评估对象包括规范、机制、活动和人员。
二、核心概念
测试、评估、审计
测试关注某个控制是否工作,例如自动化扫描、工具辅助渗透测试或手动尝试破坏控制。评估范围更广,还会考虑威胁环境、当前和未来风险、资产价值与改进建议。审计使用许多相同技术,但关键差异是独立性和证明用途。
持续监控
监控不是一次性评估,而是持续收集日志、性能、事件和控制状态资料。它帮助组织尽早发现异常、配置漂移、失败控制和趋势变化。
评估组成部分
NIST SP 800-53A 将评估关注点分为规范、机制、活动和人员。规范是政策、要求和设计;机制是满足规范的技术或管理控制;活动是备份、审查日志等动作;人员是执行这些内容的角色。
三、CISSP 判断规则
- 问“某个控制是否正常运行”,优先选 Security testing。
- 问“全面审查环境安全性并给管理层建议”,优先选 Security assessment。
- 问“向第三方证明控制有效性”或“独立审核员”,优先选 Security audit。
- 问“持续收集事件、日志和状态”,优先选 Continuous monitoring。
四、常见陷阱
- 内部安全团队定期检查控制通常是测试或评估,不自动成为审计。
- 审计不是为了替代修复;审计发现仍需要管理层推动整改。
- 监控能发现变化,但不能证明所有控制在过去某一期间都有效,审计报告仍需要范围和证据。
五、英文关键字
Security testing (安全测试) 定义:验证特定控制是否按预期运行。 Security assessment (安全评估) 定义:全面审查系统、应用或环境的安全状态并提出改进建议。 Security audit (安全审计) 定义:由独立审核员依据标准检查控制并形成可证明报告。 Continuous monitoring (持续监控) 定义:持续收集事件、日志和控制状态,发现异常与控制漂移。 NIST SP 800-53A (NIST 安全控制评估指南) 定义:评估安全控制规范、机制、活动和人员的指南。 Specification Mechanism Activity Personnel
小测验
1. 安全团队验证新的访问控制规则是否按预期拒绝未授权用户,最符合哪个活动?
CISSP 判断时先看目的:验证某项控制是否工作是 Security testing,而不是面向第三方证明的审计。
2. 组织聘请独立审核员出具报告,向客户证明控制有效性,最符合?
审计的关键特征是独立性和证明用途,报告可给董事会、监管机构或客户使用。
3. NIST SP 800-53A 中,IPS、防火墙规则或日志平台这类用于满足要求的控制属于?
机制是信息系统中用于满足规范的控制措施;规范才是政策、要求和设计文件。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成