CISSP认证指南：安全与风险管理

"Official (ISC)2 Guide to the CISSP CBK 4 Edition.pdf" 《官方(ISC)² CISSP CBK 4版指南》是一本详细阐述信息系统安全专业认证(CISSP)核心知识领域的权威书籍。CISSP认证是全球认可的信息安全专家证书，旨在验证专业人士在设计、实施和管理企业信息安全体系方面的技术和知识。 本书涵盖的主要内容包括以下几个关键领域： 1. 安全与风险管理（Security & Risk Management） - 保密性（Confidentiality）、完整性和可用性（Integrity and Availability）是信息安全的三大基石，它们是保护数据免受未经授权访问、修改和中断的基础。 - 安全治理（Security Governance）确保组织的安全策略与业务目标一致，并制定明确的安全目标、使命和目标。 - 组织流程（Organizational Processes）、角色和责任（Roles and Responsibilities）确保所有相关人员都清楚自己的安全职责。 - 完整有效的安全计划（The Complete and Effective Security Program）包括监督委员会的代表和控制框架的建立。 2. 法规遵从与尽职调查（Due Care and Due Diligence） - 尽职调查要求组织采取必要的步骤来防止风险，而尽职调查则要求持续监控和改进。 - 法规遵从（Compliance）包括治理、风险管理和法规遵从（GRC），以及对立法和监管要求的遵守。 3. 法律与合规（Legislative and Regulatory Compliance） - 全球法律和监管问题涉及计算机/网络犯罪、许可和知识产权、进出口以及跨国数据流动。 - 隐私（Privacy）和数据泄露（Data Breaches）的合规要求对个人数据的处理和保护有严格的规定。 - 对相关法律和法规的理解是确保合规性的基础。 4. 职业道德（Professional Ethics） - 了解并遵循职业道德是信息安全专业人员的重要责任，包括支持组织的道德规范和制定安全政策。 - 计算机伦理（Topics in Computer Ethics）和常见的伦理误区（Common Computer Ethics Fallacies）帮助从业者做出道德决策。 - 黑客行为（Hacking and Hacktivism）可能涉及道德和法律问题，需要理解和应用道德准则。 - (ISC)² 的职业行为准则（(ISC)² Code of Professional Ethics）为从业者提供了行为指导。 5. 业务连续性（Business Continuity, BC）与灾难恢复（Disaster Recovery, DR） - 开发和实施安全政策是确保业务在面临威胁时能够持续运行的关键部分，包括业务连续性和灾难恢复计划。 本书通过深入探讨这些主题，为准备CISSP认证的考生提供了全面的学习资料，同时也为实际工作中的信息安全专业人员提供了宝贵的参考。