CISSP认证考试：商业影响分析与信息安全实践

"CISSP 535Q（2019年11月更新）.pdf" 本文档是关于CISSP（Certified Information Systems Security Professional）认证考试的复习资料，涵盖了多个信息安全领域的关键知识点。以下是部分题目及其相关的知识点解析： 1. 商业影响分析（BIA）是用于评估组织在面临业务中断时可能遭受的影响的过程。BIA问卷通常包括确定业务中断的风险、操作影响和财务影响，但不包括确定业务流程的技术依赖性。这属于业务连续性和灾难恢复规划的一部分。 2. 在前往高风险区域前，降低笔记本电脑风险的最佳行动是更改访问代码，确保数据的安全性。其他选项如检查物理篡改、实施更严格配置和清理硬盘驱动器也是必要的，但在这里，更改访问代码是直接针对防止未经授权访问的措施。 3. 数据机密性的最大风险来自备份磁带未加密，因为这使得敏感数据在传输或存储时容易被窃取或泄露。网络冗余、安全意识培训和用户权限管理也重要，但它们不是直接影响数据机密性的主要风险点。 4. 当组织计划迁移时，从数据安全角度看，最重要的是对新设施进行差距分析，以确保满足现有的安全要求。防火和探测系统、紧急出口和DR/BC计划都是重要的，但差距分析直接关系到新环境的数据安全性。 5. IT服务从4级数据中心迁移时，IT经理应关注电力供应，因为这是业务连续性计划中的关键因素，确保服务不因电力故障中断。 6. 根据ISO 27001和27002，管理职责应在明确界定资产时定义，因为这是建立信息安全管理体系的基础。 7. 提供被动控制以保护人员在公共领域最经济有效的方法是聘请警卫，这直接提供了物理安全保障。其他选项如mantrap（双向门）、封闭人员进入区和强制报警系统也是有效的，但成本可能更高。 8. 深度防御策略强调平衡关注预防、检测和补救这三个主要元素，以实现全面的信息安全。 9. 知识产权主要涉及所有者对其创作的权利，包括版权、专利和商标等，使所有者能够控制并从中获得财务收益。 10. 分配资产所有权给部门时，最重要的是确保所有成员都接受关于其职责的培训，这样他们才能正确管理和保护这些资产。 11. 数据的分类受指定的安全标签影响，这决定了数据的敏感程度和相应的保护级别。多级安全（MLS）和安全标记是处理不同安全等级信息的机制。 这些题目和答案展示了CISSP考试涵盖的广泛领域，包括风险管理、业务连续性、数据安全、法规遵从性、操作安全和人员安全等多个方面。备考CISSP的考生需要深入理解和掌握这些概念。