1、防止非授权篡改；11、策略条款应得到高级管理层的正式批准，并公布成为机构的政策，指导业务连续性的相关工作。5、业务连续性协调人作为BCP 计划负责人全面负责工程的规划、准备、培训等各项工作。2、知识产权---版权：并不保护作品的创意，保护创意的表现形式，保护资源的理念，6、HIPAA 实体包括健康计划、医疗健康提供者 ，PHI （受保护的健康信息）0、一个持续的过程，来确定潜

备考3个月已考过CISSP 认证2025年3月，也算是一个有认证的安全牛马了，过程其实不容易，整理了一下常考的知识点：

CISSP知识点汇总

• 域1---安全与风险管理
• 域2---资产安全
• 域3---安全工程
• 域4---通信与网络安全
• 域5---访问控制
• 域6---安全评估与测试
• 域7---安全运营
• 域8---应用安全研发

---

域1 安全与风险管理

一、实现安全治理的原则和策略

1、机密性：确保信息在存储、使用、传输过程中不会泄露给非授权用户或实体。（加密）

确保只有获得授权才能访问数据。

2、完整性：1、防止非授权篡改；2、防止授权用户不恰当修改信息；3、保持信息内容部一致性和外部一致性 （哈希）

3、可用性：确保授权用户或实体对信息及资源的正确使用不会被异常拒绝，允许其可靠而及时地访问信息 （RAID）；允许例外是强调可用性

CIA triad 是一个帮助理解安全目标的模型，类似于“工具”

4、保护机制，分层防御---纵深防御：多种控制手段结合，一个控制失效不会导致系统或数据泄漏，保护最弱环节。

5、战略一致性：业务战略驱动安全战略与IT战略想·例如3-5年规划

6、组织的信息安全建设应该按计划行事，安全管理计划应该自上而下。

7、高级管理层/执行管理层：全面负责信息安全，是信息安全的最终负责人

8、COBIT是关于IT 治理和IT 管理相关控制流程的框架

9、Due Care ： 应尽关心：应该制定安全策略、上控制措施应对风险；（缓解风险）

10、Due Diligence ：尽职调查 ：识别风险、评估。

DD-->DC

10.1 Prudent Person 负责、谨慎、明智和有能力的人

---