CISSP的CBK在14年的時候,進了一個比較大的一個變化,從以前的十個知識域變成了八個知識域,把原來的知識點重新進行了組合,比方說把BCP的需求的那一部分搬到安全與風險管理這一個章節。
CISSP CBK的重新劃分,有其內在的邏輯的,這個邏輯到底是什麼呢?如果說我們把這個邏輯我們搞清楚的話,就更有利於我們從一個整體上去把握。我重新對它一個排序,這樣這個排序排在最前面的是安全風險管理,排在最後的是安全評估與測試這裏中間的這個環節我就不一一去說了,這八個知識域的思維視角我們到底以怎樣去看他?XISE
1、安全與風險管理-頂層思維
我們首先來看到,安全與風險管理它實際上是頂層思維。這裏講的是說如何去發現歸納總結企業自身安全需求上,需求決定一切,需求一般來自與業務的安全需求,合規需求,業務連續性續期,風險評估的結果等。如果說你不知道你的問題,你的需求在哪裏,你所謂的安全防護都是扯淡。第二個就你有了需求之後,要去滿足需求,接下來就是所謂的安全規劃,安全頂層設計,包括安全組織的設置,定義安全角色、明確安全策略目標等。這就是所謂的什麼安全與風險管理,它是一個頂層思維。
2、資產安全-業務思維
資產到底需要怎樣等級或強度的安全防護呢,如何判定。這需要安全專業人員要有業務思維,我們一定要站在業務的角度去看,安全到底在裏面起什麼作用?我們看互聯網公司,他們的信息安全基本上走在行業的前列。這一點是毋庸置疑的,就是因爲它的安全跟業務綁得非常的緊密。電子商務正是如此,雲計算平臺也是如此。業務思維能夠幫助我們更好的去理解安全對於業務的這種價值作用,也就是說進一步明確我們的安全保護的對象。企業業務有關鍵業務和輔助業務之分,這也是我們爲什麼要把資產分個三六九等去區別對待的原因。同時企業在安全投入的資源也是有限的,區分對待也是必然。http://caidaome.com/
3、安全架構與工程(身份與訪問管理、通信與網絡安全、軟件開發安全)-設計思維
明白了要是保護的對象,接下來要去設計你整個安全防護體系。就是安全工程與架構,身份與訪問管理,通信與網絡安全以及軟件開發安全等四個知識域的內容。如何去設計一種安全的機制,去保障這些資產獲得適當的保護。安全工程與架構,安全模型和防護機制的選擇;身份與訪問管理主要是圍繞着身份和權限去展開的;通信與網絡安全主要講述網絡分層、協議的安全和設備的安全;軟件開發安全是從安全的內生長的角度來看的,系統自身具備的基本的安全措施,比如登錄身份驗證,防SQL注入等。
4、安全運營-運營思維
安全設計弄完,相關係統和機制的部署。接下來就是安全的運營,這就比方說你安全制度有了,安全設備有了,你要去保證你的這些安全制度能夠被有效執行,你的安全設備要會用和用好。它是持續的保障安全。騰訊分分彩
5、安全的評估與測試-第三方思維
安全工作到底做得如何,不能自說自話,除了是否發生安全事件的終極檢驗之外,需要及時的第三方的客觀評價。另外,企業利益很多時候涉及第三方的利益。比方說集團公司總部會關心下面的分子公司的安全,物流關心供應鏈安全;監管部門要依法履行安全檢查評估與測評之職責,用第三方的思維來看這個事情。更客觀的驗證測試安全的有效性。http://tatawed.com/
最後簡單總結一下:
對於整個CISSP來說,這八個知識域我們可以從頂層思維,業務思維、設計思維、運營思維和第三方的思維這樣的視角來看整個安全知識體系。後續的進一步安全思維模型的講解和刻意練習,幫助大家建立結構化、系統的安全認知體系。