CISSP｜安全与风险管理（Domain 1）学习笔记

视角：安全与风险管理基础 / 信息安全治理 / 风险管理 / 法律法规符合性 / BCP
目标：把今天学到的内容压成“可背的框架 + 可做题的判断规则 + 可落地的清单”。

1）安全与风险管理基础（Domain 1 的底层骨架）

1.1 这门课到底在教什么（价值观先行）

• 安全的目标不是“更安全”，而是“让业务更稳”
  • 核心衡量：最小化安全事件对业务的影响（财务/声誉/法律/运营中断）。
• 风险无法归零：插着网线就有风险；管理的目标是把风险压到可接受水平。

做题提示：当选项出现“业务为安全让路/追求绝对安全/零风险”，多半是陷阱或不优。

1.2 信息资产（Asset）是什么：别只盯着“数据”

• 信息资产 = 对组织有价值的一切（不仅是数据）
  • 数据（客户数据、财务数据、源代码、算法等）
  • 系统/硬件/网络设备
  • 流程与知识
  • 关键人员（人也是资产）：今天反复强调“人”经常被忽略但最关键

1.3 信息生命周期（Lifecycle）= 安全管理的时间轴

• 创建 → 使用 → 存储 → 传递 → 更改（循环） → 归档/销毁
• 启发：安全不是一次性项目，而是伴随生命周期的持续控制（尤其是：传递/更改阶段风险高）。

1.4 CIA 三要素（考试第一语言）

• Confidentiality 机密性：防止未授权读取 → 后果：泄露
• Integrity 完整性：防止未授权篡改/保持正确性 → 后果：篡改
• Availability 可用性：持续可访问/不中断 → 后果：破坏/不可用

典型手段速记（今天讲到的映射）

• 机密性：加密、访问控制
• 完整性：哈希、配置/变更管理
• 可用性：冗余、备份、容灾

1.5 安全控制（Control）的两层分类：类型 vs 功能

A）控制类型（从“靠什么实现”分）

• 管理控制：制度/奖惩/流程/职责（“管人”）
• 技术控制：防火墙/IDS/加密/认证授权（“管系统”）
• 物理控制：门禁/保安/隔离/监控（“管场地”）

B）控制功能（从“起什么作用”分：六类）

1. 威慑（Deterrent）：让人不敢做（保安、警告标识）
2. 预防（Preventive）：事前阻止（门禁、加密、访问控制）
3. 检测（Detective）：发现报警（IDS、日志告警）
4. 纠正（Corrective）：止损纠偏（隔离、清除恶意软件）
5. 恢复（Recovery）：恢复可用（备份恢复、灾备切换）
6. 补偿（Compensating）：原控制不可行时“兜底替代”

高频点：同一措施可多功能（门卫=威慑+预防+检测）；不要把工具只贴一个标签。

1.6 IAM 闭环链条（可背可做题）

识别 → 验证 → 授权 → 可追溯 → 抗抵赖 → 审计

• 识别是授权前提
• 抗抵赖/可追溯离不开日志与审计
• 做题常考：缺了审计=追责链条断

1.7 本角度“速记卡”

• 安全=业务护航（不是业务阻碍）
• 风险=资产价值引威胁，漏洞放大风险，控制降低到可接受
• 控制：类型三分 + 功能六分
• IAM：识别验证授权→追溯抗抵赖审计

2）信息安全治理（Governance）= “高层定调 + 中层落地”的操作系统

2.1 治理 vs 管理（今天讲得最重的一组概念）

• 治理（Governance）：高层做顶层设计
  • 定战略方向、定风险偏好、发布政策、承诺资源
• 管理（Management）：中层把治理变成可执行
  • 标准/指南/基线/程序、项目计划、执行检查与反馈

一句话：

• 治理：定方向（what/why/容忍什么风险）
• 管理：抓落实（how/who/什么时候做到）

2.2 “治理缺位”的典型后果（A/B公司对比提炼）

• 高层不担责 → 安全部门孤岛 → 套模板 → 目标与实际脱节
• 技术采购变形式主义 → 风险无人问责 → 恶性循环
• 反面要点：重技术轻管理，往往“花钱但不解决问题”。

2.3 风险偏好（Risk Appetite）是治理的“红线”

• 风险偏好由高层定义：
  • 可量化（例如：可接受损失阈值）
  • 或定性（中等风险/低风险）
• 作用：一切风险评估/处置/BCP优先级最终都要回到“是否超出风险偏好”。

2.4 文档化是治理落地的“硬件接口”

今天强调三件事是落地必需品：

1. 文档化并公开（不能让执行者靠猜）
2. 奖惩制度（没有后果就没有执行力）
3. 定岗定责（避免责任真空）

2.5 文档体系分层（从治理到执行）

• Policy（策略/政策，高层宏观）
• Standards（标准，强制）
• Guidelines（指南，建议）
• Baselines（基线，最低门槛：不满足=不合格）
• Procedures（程序，具体步骤）

更新节奏的“动态平衡”（做题/理解很有用）：

• Policy：更稳（约2–5年/3–5年）
• 标准/指南/基线：中频（约1–3年）
• 程序：高频（随业务变化可能每周调整）

2.6 组织角色：谁该做什么（治理题常靠“角色边界”破题）

• 数据所有者（高层）：定分类分级与保护要求
• 保管者（IT/运维）：按授权实施保护
• 审计师：独立核验、推动闭环
• CSO：承上启下协调资源/预算/跨部门落地
• 安全委员会：跨部门协调策略与资源
• 用户：遵守AUP与安全要求

做题提示：遇到“合同合规/法律解释”类动作，往往应交给合规官/法务/审计而非安全工程师越权做。

2.7 本角度“速记卡”

• 治理=高层定方向与风险偏好；管理=中层把政策变成标准与程序
• 文档化+奖惩+定责 是落地三件套
• 角色边界 是治理类题目的第一抓手

3）风险管理（Risk Management）= Domain 1 的核心闭环

3.1 风险的因果链条（最应该背熟的骨架）

• 资产（有价值） → 脆弱性（内因） → 威胁（外因） → 风险（威胁利用脆弱性造成损害的可能性与影响）

今天用比喻讲得很形象：

• 脆弱性 = 门窗没关
• 威胁源 = 外面的恶犬/未授权者
• 风险影响 = 猫受伤/数据泄露

3.2 风险管理目标：控制到可接受，不是消灭风险

• 关键句：零风险业务不存在
• 风险管理“看起来像妥协”，本质是“业务可持续”。

3.3 风险管理流程（循环 + 触发机制）

• 识别 → 评估 → 控制/处置 → 报告/审阅 → 再评估
• 两类评估触发：
  • 定期（半年/一年）
  • 不定期（业务重大变化、系统大改、重大事件后）

3.4 风险评估怎么做（今天讲到的“采集—分级—判断”）

数据采集手段（可组合）

• 问卷、现场检查、负责人访谈、技术扫描、深度测试、审计报告

评估维度

• 影响（Impact）：从可忽略到灾难性（常见五级）
• 可能性（Likelihood）：从很罕见到几乎肯定（也常见五级）
• 组合后得到风险等级，再对照风险偏好判断“是否超标”。

3.5 定性 vs 定量：平行工具，不要争“谁更好”

• 定性：快、直观，但依赖经验 → 容易偏差
• 定量：用钱说话，但数据要求高、计算复杂 → 实操少但考试常考公式

定量公式（今天明确是“送分题”）

• EF（暴露因子，损失比例）
• SLE（单次损失期望）= 资产价值（AV）× EF
• ARO（年度发生率）
• ALE（年度损失期望）= SLE × ARO
• 控制收益（简化理解）=（实施前损失 - 实施后损失）- 控制成本
  • 收益为负也不一定不做：合规/社会责任/品牌风险可能必须做

3.6 威胁建模（Threat Modeling）：STRIDE

• S 假冒、T 篡改、R 抵赖、I 信息泄露、D 拒绝服务、E 提权
• 出题方式：把 STRIDE 拆成场景，让你判断属于哪一类/该用什么控制。

3.7 主动攻击 vs 被动攻击（今天的关键对比）

• 主动：短平快、留痕多、容易被发现
• 被动：隐蔽潜伏、长期窃取、难检测
• 防御重点：加密对抗被动窃听/窃取极关键

3.8 风险处置四策略（考试必背）

1. 降低/缓解（Mitigate）：修漏洞/加控制（最积极）
2. 避免（Avoid）：砍业务/关外网（“因噎废食”的代价）
3. 转移（Transfer）：保险/外包
   • 只能转移经济损失/工作量，法律责任不可转移
4. 接受（Accept）：
   • 风险在偏好内：主动接受
   • 超标但成本原因：被动接受（现实妥协）

3.9 本角度“速记卡”

• 资产—脆弱性—威胁 → 风险（先背链条）
• 风险评估=影响×可能性（概念），对照风险偏好决策
• 处置=降/避/转/接，法律责任不可转
• STRIDE + 定量公式 是高频考点

4）法律法规符合性（Compliance）= “先活下去”的底线逻辑

4.1 合规在题目中的优先级（今天反复强调）

• 组织生存的首要条件是合规
• 很多场景题：即使技术最强，也要先满足法规/合同/监管要求。

做题提示：出现“违法但更安全/更省钱”的选项，通常直接淘汰。

4.2 合规流程（闭环）

• 识别法规清单 → 制定执行方案 → 审计验证/持续监督
• 合规不是一次性，通过审计与复核形成持续机制。

4.3 Due Care vs Due Diligence（今天强调“易混”）

• 应尽关注（Due Care）：高层治理责任（定策略、定要求、给资源、做承诺）
• 适度勤勉（Due Diligence）：执行层按责落实、证明“我持续做了该做的事”
• 讲者提醒：某些版本教材可能表述混乱，复习时要统一口径。

4.4 法律体系与法律类别（识别题）

• 法系：普通法系（判例）、大陆法系（成文法）、习惯法（社群）
• 法律类别：刑法/民法/行政法/知识产权法等（各自适用场景不同）

4.5 知识产权（IP）与隐私（Privacy）

知识产权三块（今天讲的重点）

• 商业秘密：配方/算法/关键技术（价值来自独占性）
• 版权：保护作品表达（软件著作权偏向防直接复制）
• 商标/专利：专利强调新颖、实用、非显而易见；存在到期与商业策略

隐私与 PII（个人可识别信息）

• PII：姓名、身份证号、生物特征等可直接/间接识别个人的信息
• 核心原则：数据最小化（不收集就无需保护，收集越少风险越低）
• 题型风格：按行业场景匹配法规（医疗/金融/儿童/教育等）；并理解 GDPR 的机制点（泄露通报、跨境限制、控制者/处理者分工等）

4.6 职业道德（Ethics）：常以场景考“怎么做”

• 核心方向：守边界、推动行业发展、诚实公正、保护公众利益、合法合规
• 做题往往不是背条款，而是选“更符合公众利益与合规底线”的行为。

4.7 本角度“速记卡”

• 合规优先级很高：先合法再谈优化
• Due Care（高层治理） vs Due Diligence（执行证明）
• 隐私=数据最小化 是强答案方向
• 角色边界：合规/法务/审计各司其职，安全不越权

5）BCP（业务连续性计划）= 把“中断”变成“可控流程”

5.1 BCP 与 DRP 的关系（必背）

• BCP 覆盖所有业务中断管理
• DRP 是 BCP 的子集（专注灾难恢复）

5.2 第一价值观：人命大于天

• BCP/DRP 的最高优先级：人员安全
• 做题时，只要涉及人员安全，通常压过业务恢复速度/成本。

5.3 事件分级与升级机制（为什么是考点）

• 没有清晰等级界定 → 响应迟缓/处置失当
• BCP 应包含：
  • 事件等级定义
  • 升级条件
  • 每级对应操作指南（因为突发时人会慌，需要明确指引）

5.4 BCP 的“生命力”= 测试-反馈-迭代

• 只写不测：纸上计划（今天给了反面案例）
• 测试建议：
  • 定期（如半年一次）
  • 不定期（环境/业务重大变化触发）
• 测试结果必须反哺更新，否则更新就是形式主义。

5.5 BIA（业务影响分析）= 资源分配的裁决工具

BIA 输出：业务优先级清单（决定先保谁、先恢复谁、资源给谁）

关键点（今天强调得非常多）：

• 必须识别业务依赖关系
  • 只恢复一半系统 → 依赖链断 → 业务仍不可用
• 数据收集手段：问卷/访谈/测试
• 分析结果要回到业务部门复核确认（业务最懂依赖与优先级）。

5.6 四个核心指标（高频计算/概念题）

• RTO：恢复时间目标（系统恢复时间）
• WRT：工作恢复时间（业务恢复时间）
• MTD：最大可容忍中断时间
  • 讲者口径：MTD = RTO + WRT（越小越关键）
• RPO：恢复点目标（可容忍数据丢失量，时间单位）
  • RPO 越小 → 备份越频繁 → 成本越高（体现业务-成本-风险平衡）

5.7 还原顺序的策略（今天讲的“反直觉”点）

• 备份站点启动：先恢复高优先级业务，快速恢复核心能力
• 主站点恢复：先用低优先级业务验证稳定性，再逐步恢复关键业务（更稳）

5.8 组织与培训：BCP 不只是“写文档”

• 高层要“站台”：启动会展示支持、授权资源、建立跨部门团队
• 负责人要能承上启下、跨部门协调，甚至能纠正管理层不当预期
• 培训要按角色定制，减少员工对未知流程的恐惧（今天反复出现）

5.9 本角度“速记卡”

• BCP ⊃ DRP
• 先人命，后业务
• BIA=优先级+依赖关系（不做依赖=半吊子恢复）
• RTO/WRT/MTD/RPO 四件套
• 测试闭环决定BCP是否“能用”

最后：五个角度之间的“串联关系”（帮助你做综合场景题）

• 基础（资产/CIA/控制）告诉你“保护什么、靠什么保护”
• 治理告诉你“谁定方向、谁落地、怎么形成组织执行力”
• 风险管理告诉你“怎么评估、怎么决策、怎么解释为什么这么做”
• 合规告诉你“底线在哪、先做什么、谁来负责合规动作”
• BCP告诉你“出了事怎么不断、怎么恢复、怎么用指标做优先级”

一句话：Domain 1 本质是在训练你用“业务+治理+风险+合规+连续性”的视角做最优选择，而不是做最强技术方案。