Cissp认证考试共分八个领域，下面是我整理的第一个领域（安全和风险管理）的知识点），每一章都附有思维导图和知识点，并对重点概念进行了标注。强烈建议以读书为主，做题为辅，考试中基本不会出现你做过的原题，所以深入掌握每一个知识点尤为重要，力求做到举一反三。

第一部分：思维导图由于网站图片大小限制，我将思维导图的清晰版放到了网盘里面，请自行下载。

（链接: https://pan.baidu.com/s/1MQ9CBS4n9Cv6TB0HM4Yxpw 提取码: rdrc ）     

第二部分：知识点

1.  防护措施对于组织的价值.

防护前ALE – 执行防护后ALE – 年度防护价值

2.   IS/IEC标准的适当映射如下:

IS/IEC 27001 ISMS 要求

IS/IEC27002 信息安全管理实践守则

IS/IEC27003 ISMS实施指南

IS/IEC27004 信息安全管理度量和度量框架指南

IS/IEC27005 信息安全风险管理指南

IS/IEC27006 对提供审计和认证信息安全管理系统的机构的指导。

IS/IEC 27799 标准是关于如何保护个人健康信息的标准。

3.   管理层是应尽关注，每一个人是应尽职责

4.  尽职调查是调查和了解公司面临的风险的行为。公司通过制定安全策略，程序和标准来实施应有的谨慎。 适当的关注表明公司已经对公司内部发生的活动负责，并采取必要措施帮助保护公司，资源和员工免受可能的风险。因此，尽职调查是了解当前的威胁和风险，并且应注意实施对策以提供对这些威胁的保护。如果公司没有对其资产的安全性进行适当的谨慎和尽职调查，则可以合法地指控疏忽，并对该疏忽的任何后果负责

5.  对于社会工程学，强口令不是一个有效的方式。

6.  NIST SP800-30第1版《风险评估指南》是美国联邦标准,主要针对风险评估。CTAVE是一种在组织结构中建立风险管理程序的方法。 ASINZS4360采用了一种更广泛的风险管理方法。这种方法可以用来理解公司的财务、资本、人身安全以及商业决策风险。虽然它可以用于分析安全风险,但并不是专门为此创建的.NIST SP80030是基于IT的,而 CTAVE和 ASINZS4360是基于公司的.

7.  访问控制列表(ACL)用于确定用户的授权级别。

8.  用户名是识别工具,密码和令牌是身份验证工具

9.  业务影响分析的第一步？ 建立数据收集技术。业务影响分析(BusinessImpact Analysis，BIA)被认为是一种功能性分析，在BIA中，BCP团队 通过访谈、文献资料来源收集数据，将企业业务功能、活动和交易等方面文档化，划分企业业务功 能层次，最后制定一个分类方案来表示每一个单独功能的重要级别。

10. 业务连续性计划是下列哪个的示例？ 校正性控制

11. 意识是教育培训的前提。

12. 业务影响分析BIA的步骤(1) 选择单个人员进行访谈以完成数据收集。(2) 创建数据收集方法(调查、问卷、定性和定量方法) 。(3)确定公司的关键业务功能。(4)确定这些功能依赖的资源。(5)计算没有这些资源可以生存多久。(6) 确定这些功能的漏洞和所面临的威胁。(7) 计算每个不同业务功能的风险。(8) 将发现结果形成文档并报告给管理层。

13. 业务连续性计划开发的第一步： 业务结构分析可以帮助最初的计划编制者选择合适的BCP团队成员，然后指导整个BCP过程。

14. 定量风险分析的最后一步是进行成本/效益分析，从而确定组织是否应该实施原计划。

15. 客户信息的保密性 数据保密性的规定通常包括在不披露协议中

16. 可接受的使用策略最恰当地定义了个人角色和职责的分配

17. 威胁事件是意外或故意地利用漏洞。

18. 预防性控制类型的控制将密码管理分类，即密码管理属于预防性控制。

19. 在一个小的多的规模之上，恢复访问控制被部署用于修复或恢复一个违反安全策略的能力、功能、或资源

20. 便利化风险分析过程（FRAP）做一个基本的假设：一个狭窄的风险评估是最有效的方式，来确定在一个系统中、业务段，应用程序或进程的风险。

21. 补偿访问控制类型扩展已存在的控制，并且协助或支持管理安全策略.

22. 组织中的每个人应该接受初始业务连续性计划培训.

23. 首席信息官(CIO)是信息安全项目最高级的负责人。

24. 程序是遵守强制性标准的一步一步的指示.标准用来描述如何在组织内实施政策。员工遵守的行为定义为程序；

25. 灾难恢复恢复的是技术环境；

26. 安全的目标是对数据和资源提供可用性、完整性和机密性保护。

27. 脆弱性指的是缺少防护措施或防护措施存在能够被利用的缺陷。

28. 威胁是某人或某物有意或无意地利用某种脆弱性并导致资产损失的可能性。

29. 风险是威胁主体利用脆弱性的可能性以及相应的潜在损失。

30. 对策也叫防护措施或控制措施，能够缓解风险。

31. 控制可以是管理控制性的、技术性的或物理性的，能够提供威慑性、预防性、检测性、纠正性、恢复性或补偿性保护。

32. 补偿控制是由于经济或业务功能性原因而采用的备选控制。

33. CBBIT是控制目标架构，允许IT治理。

34. 企业架构框架用来为特定利益相关方开发架构和呈现视图信息。

35. 信息安全管理体系(ISMS)是一套策略、流程和系统的集合，用来管理ISC/IEC 27001中列出 的信息资产所面临的风险。

36. 企业安全架构是企业结构的子集，描述当前和未来的安全过程、体系和子单元，以确保战 略一致性。

37. 蓝图是把技术集成到业务流程的功能性定义。

38. 企业架构框架用来构建最符合组织需求和业务驱动力的单一架构。

39. Zachman是企业架构框架，SABSA是安全企业架构框架。

40. ITIL是一套IT服务管理的最佳实践。

41. 六西格玛用来识别进程中的缺陷，从而对进程进行改造。

42. CMMI是一个成熟度模型，使进程逐渐以标准化方式改进。

43. 企业安全架构应该配合战略调整、业务启用、流程改造和安全有效性等。

44. 民法体系：使用预先编写的准则，而不是基于优先权。不同于普通法系统中的民事法(民事侵权行为)。

45. 普通法体系：由刑法、民法和行政法构成。

46. 习惯法体系：主要规范个人行为，使用地区传统和习俗作为法律基础。

47. 宗教法体系：法律源于宗教信仰，处理个人宗教责任。

48. 混合法律体系：使用两种或几种法律体系。

49. 刑法处理破坏政府法律的个人行为，用于保护公众利益。

50. 民法处理对个人或公司采取的错误行为，这些行为会造成伤害和破坏。民法的惩罚措施不是坐牢，而通常是要求经济偿还。

51. 行政法是政府机构对公司、行业或某些官员的工作情况或行为的期望标准。

52. 专利承认所有权，并允许所有者合法实施其权利，制止其他人使用专利包含的发明。

53. 版权保护思想的表达方式，而不是思想本身。

54. 商标保护单词、名称、产品形状、符号、颜色或这些项的结合，用于标识产品或公司。这些项将某个产品与竞争者的产品区分开来。

55. 商业秘密是一家公司的所有物，可能是提供竞争优势的信息。只要所有者执行必要的安全 动作，信息就会受到保护。

56. 通过互联网实施的犯罪给执法和法庭带来管辖权问题。

57. 隐私法规定政府机构收集的数据必须是以公平、合法的方式收集的，必须仅用于收集它们 的目的，使用的时间必须合理，并且必须准确而及时。

58. 选择正确的防护措施以减弱某个特定的风险时，必须对成本、功能和效用进行评估，并且需要执行成本/收益分析。

59. 安全策略是高级管理层决定的一份全面声明，它规定安全在组织内所扮演的角色。

60. 措施是为了达到特定目标而应当执行的详细的、分步骤的任务。

61. 标准指定如何使用硬件和软件产品，并且是强制性的。

62. 基线是最小的安全级别。

63. 指南是一些推荐和一般性方法，它们提供建议和灵活性。

64. CTAVE是团队型的、通过研讨会而管理风险的方法，通常用于商业部门。

65. 安全管理应该由顶而下进行(从高级管理层向下至普通职员)。

66. 风险可以转移、规避、缓解或接受。

67. 威胁脆弱性资产价值=总风险。

68. 风险分析有下列4个主要目标：确定资产及其价值，识别脆弱性和威胁，量化潜在威胁的可能性与业务影响，在威胁的影响和对策的成本之间达到预算的平衡。

69. 失效模式和影响分析(FMEA)是一种确定功能、标识功能失效以及通过结构化过程评估失效原因和失效影响的方法。

70. 故障树分析是一种有用的方法，用于检测复杂环境和系统中可能发生的故障。.

71. 定量风险分析会尝试为析中的各个组件指派货币价值。

72. 纯粹的定量风险分析是不可能的，因为定性项无法被精确量化。

73. 在执行风险分析时，了解不确定性程度非常重要，因为它表明团队和管理层对于分析数据的信任程度。

74. 自动化风险分析工具可以减少风险分析中的手动工作量。这些工具用于估计将来的预期损 失，并计算各种不词安全措施的好处。

75. 定性风险分析使用判断和直觉而不是数字。

76. 定性风险分析使富有经验的、接受过相关教育的人基于个人经验来评估威胁场景，并估计 每种威胁的可能性、潜在损失和严重程度。

77. Delphi技术是一种群体决策方法，此时每位成员都可以进行匿名沟通。

78. 岗位轮换是一种检测欺诈的控制方法。

79. 强制性休假是一种有助于检测欺诈活动的控制方法。

80. 职责分离确保没有人能够完全控制一项活动或任务。

81. 知识分割与双重控制是职责分离的两种方式。

82. 管理层必须定义安全管理的范围和目的，提供支持，指定安全团队，委托职责，以及查看 安全团队发现的结果。

83. 风险管理团队应当包括来自组织内不同部门的人员，而不应该只是技术人员。

84. 社会工程是非技术性攻击，指操纵某人向未获授权的个人提供敏感数据。

85. 个人可标识信息(PII)是指身份数据的集合，可被用于身份偷窃和金融欺诈，因此必须高度保护。

86. 安全治理是提供监督、问责和合规的框架。

87. 业务连续性管理(BCM)是指与BCP和DRP的方方面面的管理有关的一种包罗万象的方法。

88. 业务连续性计划(BCP)包含战略性文档，为保护关键业务功能与帮助降低生命、操作和系统损失提供详尽的措施。

89. BCP为应急响应、扩展备份操作和灾难后恢复提供措施。

90. BCP应当涉及整个企业，同时各组织部分应详细制定各自的连续性和意外事故^^划。

91. BCP需要优先考虑关键应用，并为有效恢复提供优先顺序。

92. BCP需要得到高级行政管理层的支持和最终批准才能启动。

93. 由于人员更换、机构重组和未经记录的变化，BCP可能很快过时。

94. 如果没有制定和使用适当的BCP,那么执行主管可能要承担责任。

95. 威胁可分为自然威胁、人为威胁和技术威胁。

96. 恢复规划的步骤包括：启动项目，执行业务影响分析，制定恢复战略,制定恢复计划，实 现、测试和维护恢复计划。

97. 项目启动阶段包括：获得管理层的支持，确定计划的作用域，以及保护资金和资源的安全。

98. 业务影响分析(BIA)是计划制定阶段最重要的首要步骤。这个步骤需要收集、分析、解释定性和定量数据，并将结果提交给管理层。

99. 制定BCP时，管理层的承诺和支持是最关键的因素。

100.业务连续性计划应由实际执行计划的人员制定。

101.规划团队成员应由所有部门或组织单元的代表组成。

102.BCP团队应当制定与外界实体(如新闻界、股东、客户和民事官员)打交道的个人。应当对灾难进行迅速、诚实的回应，而且所有员工的回应要保持一致。

103.将Ssid公布到未授权网络的双面恶魔攻击算是欺骗。

104.业务影响评估之后进行策略开发，之后做连续性计划。

105.雇佣新员工的第一步是创建工作描述。

106.威胁建模用来分析系统可能存在的风险，通常可以从三个维度来建立模型：以资产为核心、以攻击者为核心、以软件系统为核心。

107.清理使得键盘攻击下的信息无法恢复，净化是实验室攻击下的信息无法恢复。

108.Linux使用Bcrypt加密密码，Bcrypt基于Blwfish算法，后面采用128的盐。

知识点全部来自于平时做过的习题和复习所用的参考书的笔记。

（OSG和AIO的第七版和第八版，如有版权归原书所有）