CISSP认证考试核心要点整理：2017版全攻略

本资源是一份针对CISSP（Certified Information Systems Security Professional，注册信息安全专业人员）认证考试的核心笔记汇编，由作者在2017年整理。这份笔记主要依据了官方指南，如(ISC)2的第四版《CISSP官方指南》（CBK_4）、第七版《CISSP官方学习指南》（OSG_7）以及第六版和第七版的《CISSP全合一考试指南》（AIO_6和AIO_7）。笔记内容覆盖了两大类十个领域，分别是安全与风险管理、资产安全和安全工程。 1. 安全与风险管理： - 安全概念：强调了保密性、完整性和可用性的重要性，并探讨了如何应用这些原则来确保信息系统的安全。 - 安全治理：涉及如何制定和执行文档化的安全政策，以及全球范围内的法律和法规理解。 - 合规：涵盖了合规性管理，确保组织遵循相关的行业标准和法规。 - 法律法规：深入解析信息安全相关的法律和法规问题及职业道德。 - 风险管理：包括风险识别、分析和应对策略，以及威胁建模的运用。 - 采购决策中的风险考量：如何将安全考虑融入到采购决策和日常实践。 - 人员安全策略：强调员工教育、培训和意识提高的重要性。 2. 资产安全： - 资产分类和所有权确认：根据敏感性和重要性区分信息和支持资产，并明确数据所有者、系统所有者等角色。 - 数据保护：确保隐私，规定数据的适当保留期限和存储方式。 - 数据安全控制：涵盖静态数据和传输数据的安全措施。 - 处理要求：涉及敏感信息的标识、标记、存储和销毁流程。 3. 安全工程： - 安全工程实践：运用安全设计原则指导工程实施，包括保密性、完整性等模型的理解。 - 控制措施选择：基于系统安全评估模型来确定适合的控制措施和解决方案。 - 信息系统安全能力：介绍存储保护、虚拟化技术、可信平台模块和容错机制等技术特性。 此份笔记不仅总结了考试要点，还结合了历年真题和Certpass、TestKing等模拟题，旨在帮助考生全面掌握CISSP考试的知识结构和难点。对于准备参加CISSP考试的学习者来说，这是一份非常有价值的参考资料。