新版本CISSP的教材更新：安全性和风险管理。

　　CISSP更新带来的新视角覆盖了这一认证的关键领域。CISSP是信息类证书中应用最广、覆盖面最广的一个。然而，将信息安全分解为这些知识领域和章节将有助于理解其中的一些细节。每一次的更新，使每个领域都更加精简，更容易对整个画面进行管理，也更加容易理解。

　　假如你刚刚开始学习CISSP，我们会在接下来的几个星期里深入研究各个领域，让你明白哪些知识是必要的。先要说的是，只有极少数例外情况下，旧知识域仍然存在，而其他信息仍然存在，只是在章节排列上有所改变。CISSP认证一直以来都是对信息安全管理人员进行等级认证，在许多领域都需要了解。对于这次更新，使用了一个零点的概念：让它更容易地从鸟瞰的角度看到特定场景。

      扫文章底部的二维码领取教材

　　记住这一点，让我们看一些领域——安全和风险管理：安全、合规风险、法律、法规、业务的连续性。CISSP通常拥有很多信息。一份完整的学习指导可能不在本文的讨论范围内，但也可以看到该知识领域的方向。安全和风险管理由五个章节构成，所有处理风险的不同方面将使之成为一个制高点。

　　一、安全结构和设计。

　　对于安全来说，风险是一个基本的概念，你可以在一些事情上投入金钱，但是只有成本低于收益。寻找一个切入点是一个机构的关键要求，拥有一个正确的决策至关重要。要做到这一点，了解公司最宝贵的信息有助于我们更容易地了解资源集中在哪些方面，如人力和资金。以后所有的信息都需要保证一定的安全性，知道哪些信息需要密钥，那些信息可以放在朋友圈里，是有很大差别的。

　　二、调查与规制的法律、法规。

　　当今世界是个信息时代，如果你选择在某个国家做生意，了解你需要处理的细节，你就能彻底改变投资项目的资金水平。不仅仅是这样，它还能完全改变储存信息的内容和位置，并根据法律法规来保证信息的真实性。虽然有些项目可以任意捏造(实际上许多人都这么做了)，强烈的道德意识对于用户和管理员来说至关重要。缺少了这些准则，不但会轻易地站在法律的一边，而且会陷入深渊，接受高额罚款。一个国家的商业活动是否会给信息带来危险?的确是这样。应该对组织负责吗?那是个大问题。

　　信息安全治理与风险管理。

　　危险并非一成不变的实体。她是在流动，在变化，发展。尽管这样说，在组织层面上，为了更好地计划风险，需要对风险进行量化。自然灾难、信息事故、愤怒的前员工和潜在的危险有时似乎会永远存在。但是，恰当的评估可以对风险作出评价，例如：这座城市未来20年内发生地震的概率是多少?一位怒气冲冲的前用户希望自己的雇主做出赔偿的可能性是多少?折中这些风险，并加以实施，不仅是主要的保险政策，而且还能产生巨大的被动保障。又例如，是否设立了专门的安全部门来保证公共安全。

扫码咨询二维码咨询相关问题：