2018CISSP考试：安全风险管理与资产安全解析

"2018CISSP考纲变革及备考重点解析知识点解读文档主要涵盖了安全与风险管理以及资产安全两大领域的核心知识点。文档详细解析了CISSP考试中的重要概念、原则和实践方法，旨在帮助考生理解并掌握信息安全领域的关键内容。 在安全与风险管理方面，文档强调了对机密性、完整性和可用性的理解与应用，以及如何将安全治理原则与业务战略保持一致。这包括考虑商业案例、预算、资源分配、组织流程、角色与责任、安全控制框架和尽职调查。同时，考生需要熟悉各种合规要求，如合同、法律、行业标准、监管要求以及隐私规定。文档还提到了全球范围内的法律和监管问题，如计算机犯罪、数据泄露、知识产权和跨境数据流的管理。此外，职业道德也是考试的重点，包括（ISC）²的职业道德规范和组织道德规范。 文档进一步阐述了制定和实施安全政策、标准、程序和指南的重要性，以及如何进行业务连续性管理，包括业务影响分析、风险评估和应对策略的制定。人员安全政策和程序的执行，如员工筛选、雇佣协议、入职与离职流程、供应商管理以及合规和隐私政策要求也是备考的关键部分。风险管理的概念，如威胁识别、风险评估、响应策略、控制类型和安全控制评估也被详细讲解。 威胁建模的概念和方法，以及如何将基于风险的管理理念应用于供应链安全管理，如硬件、软件和服务的风险评估，第三方审核和监测，以及设定最低安全要求和服务级别协议，是另一个学习焦点。文档还强调了建立和维持安全意识、教育和培训计划，包括培训方法、内容评审和效果评估。 在资产安全章节，文档涵盖了识别和分类信息及资产的重要性，如数据分类和资产分类，并讨论了资产的排序、记录、分配、标记、评审和解除等步骤。这部分知识旨在确保考生能够理解和保护组织的关键信息和资产。 这份文档为准备CISSP考试的考生提供了全面的指导，涵盖了信息安全管理和资产保护的关键知识点，是备考的重要参考资料。"