Domain 7 权重 13% 事件响应、恢复与日常控制
D7 安全运营
Security Operations
本领域关注安全运营、日志监控、事件响应、取证证据、配置变更、补丁、备份、灾难恢复、BCP 演练、特权操作、人员安全和物理控制。重点是把日常控制和事件后的恢复流程串起来。
章节列表
D7-01 安全运营基础、资源保护与日常控制 8–10 分钟 · 重要程度:高 · 安全运营把策略落到每天的人员、流程、技术与设施管理中,目标是持续保护资产的 CIA,并证明组织履行 Due care 与 Due diligence。 D7-02 日志记录、监测、审计与自动化响应 8–10 分钟 · 重要程度:高 · Logging 和 monitoring 支持 Accountability。日志要集中、保护、保留、审查,并结合 SIEM、DLP、SOAR 和审计流程形成可行动的证据。 D7-03 事件响应生命周期与检测预防控制 9–10 分钟 · 重要程度:高 · Incident response 的目标是限制损害、保留证据、恢复服务并防止复发。CISSP 题目通常按检测、响应、遏制、报告、恢复、补救、经验总结排序判断。 D7-04 调查、取证、证据与 Chain of Custody 8–10 分钟 · 重要程度:高 · 调查与取证要求证据相关、重要、合法取得,并通过完整 Chain of custody 证明从收集到呈现期间未被不当修改。 D7-05 配置、变更、补丁与漏洞管理 8–10 分钟 · 重要程度:高 · 配置管理维持安全基线,变更管理控制生产环境风险,补丁和漏洞管理减少攻击面。CISSP 题目重视测试、审批、记录和验证。 D7-06 备份、灾难恢复、容错与弹性 9–10 分钟 · 重要程度:高 · DR 关注灾难后恢复关键能力。考试要区分 RTO、RPO、MTD、MTTR、备份类型、备用站点、RAID、UPS、HA 和数据库恢复技术。 D7-07 BCP 运营、DRP 开发、演练与维护 8–10 分钟 · 重要程度:高 · BCP 保持关键业务持续,DRP 恢复 IT 和设施能力。运营人员要参与通知、评估、通信、危机管理、文档、培训、测试和维护。 D7-08 特权运营、岗位轮换、人员安全与物理控制 8–10 分钟 · 重要程度:高 · 特权账号、人员安全和物理环境是运营安全的高风险区域。岗位轮换、强制休假、审计、门禁、警卫、胁迫系统和出差安全共同降低内部与现场风险。