第二章：资产安全2.1 任何对组织有价值的东西都可成为资产，包括人员、合作伙伴、设备、设施、声誉和信息。2.2 信息生命周期：获取、使用、存档、处置。2.3 信息分类： 商业公司的信息敏感级别：机密、隐私、敏感、公开 军事机构的信息敏感级别：绝密、秘密、机密、敏感但未分类、未分类​ 机密 ...

第一章：安全与风险管理 1.1 安全基本原则（CIA） 1.2 安全定义 1.3 控制类型 1.4 安全框架 1.5 计算机犯罪法的难题 1.6 网络犯罪的复杂性 1.7 知识产权法 1.8 隐私 个人可标识信息 ...

第3章：安全工程 3.1 系统架构术语 架构：对系统、系统的内部组件、组件之间的关系，与外部环境间的关系、指导其设计和发展的原则等方面的基本组织架构。 架构描述：以正式方式表述架构的文档集合。 利益相关者：与系统有利益关系或关注系统的个人、团队、组织。 视图 ...

第七章：安全运营 7.1 运营部门的角色​ prudent man、due care（按要求执行）VS due diligence（承担管理者责任）​ 应尽关注：执行了负责任的动作降低了风险。​ 应尽职责：采取了所有必要的安全步骤以了解公司或个人的实际风险。​ 运营安全是保持环境运行 ...

第四章：通信与网络安全 4.1 通信 ​ 通信是数据在系统之间的电子传输，协议是归档计算机在网络上如何通信的一组规则。 4.2 开放系统互连参考模型 OSI模型 应用层 协议：SMTP/HTTP/LPD/FTP/TELNET/TFTP ...

第八章 软件开发安全 系统开发生命周期的各个阶段： 系统调查、可行性研究、系统分析、系统设计、系统实施、系统评价和维护。 8.1 创建好的代码 ​ 控制输入/加密/逻辑处理/数字处理方法/进程间通信/访问/输出/以及与其他软件的接口​ 控制可能是预防性/探测性/纠正性 ...

第五章 身份与访问管理 5.1 访问控制概述 ​ 访问控制是一种安全手段，它控制用户和系统如何与其他系统和资源进行通信和交互。​ 主体可以是通过访问客体以完成某种任务的用户、程序或进程。​ 客体是包含被访问信息或者所需功能的被动实体。 5.2 安全原则 5.3 身份标识 ...

备考近半年，当完成长达6个小时的考试，走出考场从工作人员手中接过成绩单，看到已通过的那一刻，我欣喜若狂。考试结束后的一周，在这里对自己的学习过程做个复盘，总结一下自己走过的弯路，分享一点备考经验。 首先介绍一下CISSP，全称是Certified information System ...