第一章：安全與風險管理 1.1 安全基本原則（CIA） 1.2 安全定義 1.3 控制類型 1.4 安全框架 1.5 計算機犯罪法的難題 1.6 網絡犯罪的復雜性 1.7 知識產權法 1.8 隱私 個人可標識信息 ...

第六章：安全評估與測試 6.1 審計策略 6.2 審計技術控制 6.3 審計管理控制 6.5 管理評審 管理評審是高級組織領導層的正式會議，定期發生，並將審計結果作為關鍵的輸入。 ​ ...

第二章：資產安全2.1 任何對組織有價值的東西都可成為資產，包括人員、合作伙伴、設備、設施、聲譽和信息。2.2 信息生命周期：獲取、使用、存檔、處置。2.3 信息分類： 商業公司的信息敏感級別：機密、隱私、敏感、公開 軍事機構的信息敏感級別：絕密、秘密、機密、敏感但未分類、未分類​ 機密 ...

第3章：安全工程 3.1 系統架構術語 架構：對系統、系統的內部組件、組件之間的關系，與外部環境間的關系、指導其設計和發展的原則等方面的基本組織架構。 架構描述：以正式方式表述架構的文檔集合。 利益相關者：與系統有利益關系或關注系統的個人、團隊、組織。 視圖 ...

第七章：安全運營 7.1 運營部門的角色​ prudent man、due care（按要求執行）VS due diligence（承擔管理者責任）​ 應盡關注：執行了負責任的動作降低了風險。​ 應盡職責：采取了所有必要的安全步驟以了解公司或個人的實際風險。​ 運營安全是保持環境運行 ...

第四章：通信與網絡安全 4.1 通信 ​ 通信是數據在系統之間的電子傳輸，協議是歸檔計算機在網絡上如何通信的一組規則。 4.2 開放系統互連參考模型 OSI模型 應用層 協議：SMTP/HTTP/LPD/FTP/TELNET/TFTP ...

第八章 軟件開發安全 系統開發生命周期的各個階段： 系統調查、可行性研究、系統分析、系統設計、系統實施、系統評價和維護。 8.1 創建好的代碼 ​ 控制輸入/加密/邏輯處理/數字處理方法/進程間通信/訪問/輸出/以及與其他軟件的接口​ 控制可能是預防性/探測性/糾正性 ...

備考近半年，當完成長達6個小時的考試，走出考場從工作人員手中接過成績單，看到已通過的那一刻，我欣喜若狂。考試結束后的一周，在這里對自己的學習過程做個復盤，總結一下自己走過的彎路，分享一點備考經驗。 首先介紹一下CISSP，全稱是Certified information System ...