Domain 1—Security and Risk Management

Sarah Shih-avatar-img
Sarah Shih
發佈於room/CISSP
更新於 發佈於 閱讀時間約 11 分鐘

CISSP考兩大區塊:管理類(Dodmain#1, 2, 5, 6, 7)、技術(Dodmain#3, 4, 8)

#專業倫理、#道德規範(ISC² code of Professional ethics + 組織的)

#五大支柱、#CIA 三要素

#治理、#安全治理原則

#法律、#合規、#合約與法規遵循(如: GDPR)

#資安原則、#安全概念

#安全政策、標準、程序和指南

#風險管理、#風險評鑑、#營運持續(BC)

#人員安全政策和程序、安全意識、教育和培訓計畫

#調查類型、#威脅建模 概念和方法

#供應鏈風險管理(SCRM) 

1.1- Understand, adhere to, and promote professional ethics

理解、遵守並促進職業道德

ISC2 Code of Professional Ethics — 職業道德規範

Organizational code of ethics — 組織道德規範

1.2- Understand and apply security concepts

理解並應用安全概念

資訊安全的五大支柱: Confidentiality, integrity, availability, authenticity, and nonrepudiation (5 Pillars of Information Security) — 機密性、完整性、可用性、真實性與不可否認性

1.3- Evaluate and apply security governance principles

評估並應用 安全治理原則

• Alignment of the security function to business strategy, goals, mission, and objectives — 確保 資安管理工作 與業務策略、目標、使命和宗旨一致

•Organizational processes (e.g., acquisitions, divestitures, governance committees) — 組織流程(如:併購、資產剝離/分割/撤出/事業單位分拆、治理委員會)

•Organizational roles and responsibilities — 組織角色與職責

• Security control frameworks (e.g., ISO, NIST, COBIT, SABSA, PCI, FedRAMP) — 資安控制框架

• Due care/due diligence — 應盡注意/應盡義務

1.4 - Understand legal, regulatory, and compliance issues that pertain to information security in a holistic context

全面理解與資訊安全相關的法律、法規與合規議題

•Cybercrimes and data breaches — 網路犯罪 與 資料外洩

•Licensing and Intellectual Property requirements — 授權與智慧財產權要求

• Import/export controls — 匯入/匯出控制[技術或資料流通(如加密產品、技術轉移)]

• Transborder data flow — 跨境資料流通

• Issues related to privacy (e.g., GDPR, CCPA, PIPL, POPIA) — 與隱私相關的議題

•Contractual, legal, industry standards, and regulatory requirements — 合約、法律、產業標準與法規要求

1.5- Understand requirements for investigation types (i.e., administrative, criminal, civil, regulatory, industry standards)

理解各類調查的要求(如:行政、刑事、民事、監管、產業標準)

1.6- Develop, document, and implement security policy, standards, procedures, and guidelines

制定、記錄並實施安全政策、標準、程序與指引

1.7- Identify, analyze, assess, prioritize, and implement Business Continuity (BC) requirements

識別、分析、評估、優先排序並實施 業務持續需求

Business impact analysis (BIA) — 業務影響分析

External dependencies — 外部依賴因素

1.8- Contribute to and enforce personnel security policies and procedures

協助建立並強化 人員安全政策與程序

Candidate screening and hiring — 候選人篩選與雇用

Employment agreements and policy driven requirements — 雇傭契約與來自內部政策所驅動的要求[公司內部的政策(如資安政策、遠端工作政策、BYOD政策等)所制定的行為與安全標準要求,雖未列入契約但必須遵守。] 

Onboarding, transfers, and termination processes — 入職、調職與離職流程

Vendor, consultant, and contractor agreements and controls — 廠商、顧問與承包商協議與控管

1.9- Understand and apply risk management concepts  

理解並應用風險管理概念

Threat and vulnerability identification — 威脅與弱點識別

Risk analysis, assessment, and scope — 風險分析、評估與範圍界定

Risk response and treatment (e.g., cybersecurity insurance) — 風險回應與處理(如:網路安全保險)

Applicable types of controls (e.g., preventive, detection, corrective) — 控制類型(如:預防性、偵測性、修正性)

Control assessments (e.g., security and privacy) — 控制評估(如:安全與隱私)

Continuous monitoring and measurement — 持續監控與衡量

Reporting (e.g., internal, external) — 報告(如:內部、外部)

Continuous improvement (e.g., risk maturity modeling) — 持續改進(如:風險成熟度建模)

Risk frameworks (e.g., ISO, NIST, COBIT, SABSA, PCI) — 風險框架

1.10- Understand and apply threat modeling concepts and methodologies

   理解並應用威脅建模的概念與方法

1.11 - Apply Supply Chain Risk Management (SCRM) concepts

 套用供應鏈風險管理(SCRM)概念

•Risks associated with the acquisition of products and services (e.g., product tampering, counterfeits, implants) — 與取得產品與服務相關的風險(如:產品竄改、偽造、植入)

•Risk mitigations (e.g., third-party assessment and monitoring, SLAs, silicon root of trust, PUF, SBOM) — 風險緩解措施(如:第三方評估與監控、最低安全要求、服務等級協議、硬體信任根)

1.12 - Establish and maintain a security awareness, education, and training program

建立並維護資安意識、教育與訓練計畫

Methods and techniques to increase awareness (e.g., social engineering, phishing, gamification) — 提升資安意識的方法與技巧(如:社交工程、網路釣魚、遊戲化)

Periodic content reviews (e.g., cryptocurrency, AI, blockchain) — 定期內容更新,納入新興科技與趨勢(如:加密貨幣、人工智慧、區塊鏈)

Program effectiveness evaluation — 計畫成效評估 

Reference:CISSP Certification Exam Outline Summary[Effective Date: April 15, 2024]

Sarah Shih的沙龍room/CISSP
留言
avatar-img
留言分享你的想法!
avatar-img
Sarah Shih的沙龍
0會員
10內容數
科技管理咖- IT-AP, Data, AI, Information security
Sarah Shih的沙龍的其他內容
2025/05/27
單一登入(Single Sign-On, SSO)
單一登入是一種進階的身分與存取管理技術,屬於聯合身分管理(Federated Identity Management, FIM)架構中的重要功能。SSO 能讓使用者僅需進行一次驗證登入,就能無縫存取多個後續有被授權使用的應用系統,免去重複輸入多組帳號密碼的困擾。 實務應用情境 員工登入公司入口網
2025/05/27
單一登入(Single Sign-On, SSO)
單一登入是一種進階的身分與存取管理技術,屬於聯合身分管理(Federated Identity Management, FIM)架構中的重要功能。SSO 能讓使用者僅需進行一次驗證登入,就能無縫存取多個後續有被授權使用的應用系統,免去重複輸入多組帳號密碼的困擾。 實務應用情境 員工登入公司入口網
2025/05/26
CISSP 簡介-2 八大領域的子題
1—Security and Risk Management   #資訊安全原則、#治理、#風險管理、#合規、#商業連續性(BCP)、#倫理議題、#法律議題 #CIA 三要素、#企業治理、風#險評鑑、#合約與法規遵循(如: GDPR)、#道德準則(ISC² code of ethics)。 2
2025/05/26
CISSP 簡介-2 八大領域的子題
1—Security and Risk Management   #資訊安全原則、#治理、#風險管理、#合規、#商業連續性(BCP)、#倫理議題、#法律議題 #CIA 三要素、#企業治理、風#險評鑑、#合約與法規遵循(如: GDPR)、#道德準則(ISC² code of ethics)。 2
2025/05/26
CISSP 簡介-1
CISSP(Certified Information Systems Security Professional)是國際公認最具權威的資訊安全專業人員證照,由 (ISC)² 組織提供。 涵蓋CISSP CBK® (資訊安全通識體系) 的八大領域(Domains) 考試題型以多選題為主,包含單選與複
2025/05/26
CISSP 簡介-1
CISSP(Certified Information Systems Security Professional)是國際公認最具權威的資訊安全專業人員證照,由 (ISC)² 組織提供。 涵蓋CISSP CBK® (資訊安全通識體系) 的八大領域(Domains) 考試題型以多選題為主,包含單選與複
看更多
你可能也想看
Thumbnail
avatar-avatar
黛•Adele的生活隨筆
斜槓生活日常|不受時間空間限制,分享喜歡的產品也能有被動收入|蝦皮分潤計畫
常常被朋友問「哪裡買的?」嗎?透過蝦皮分潤計畫,把日常購物的分享多加一個步驟,就能轉換成現金回饋。門檻低、申請簡單,特別適合學生與上班族,讓零碎時間也能創造小確幸。
#蝦皮分潤計畫#蝦皮聯盟行銷#蝦皮副業
Thumbnail
avatar-avatar
黛•Adele的生活隨筆
斜槓生活日常|不受時間空間限制,分享喜歡的產品也能有被動收入|蝦皮分潤計畫
常常被朋友問「哪裡買的?」嗎?透過蝦皮分潤計畫,把日常購物的分享多加一個步驟,就能轉換成現金回饋。門檻低、申請簡單,特別適合學生與上班族,讓零碎時間也能創造小確幸。
#蝦皮分潤計畫#蝦皮聯盟行銷#蝦皮副業
Thumbnail
avatar-avatar
方格子 vocus 官方沙龍
徵才:社群與內容行銷專員 (Community & Marketing Specialist)
嗨!歡迎來到 vocus vocus 方格子是台灣最大的內容創作與知識變現平台,並且計畫持續拓展東南亞等等國際市場。我們致力於打造讓創作者能夠自由發表、累積影響力並獲得實質收益的創作生態圈!「創作至上」是我們的核心價值,我們致力於透過平台功能與服務,賦予創作者更多的可能。 vocus 平台匯聚了
#vocus#徵才#社群行銷
Thumbnail
avatar-avatar
方格子 vocus 官方沙龍
徵才:社群與內容行銷專員 (Community & Marketing Specialist)
嗨!歡迎來到 vocus vocus 方格子是台灣最大的內容創作與知識變現平台,並且計畫持續拓展東南亞等等國際市場。我們致力於打造讓創作者能夠自由發表、累積影響力並獲得實質收益的創作生態圈!「創作至上」是我們的核心價值,我們致力於透過平台功能與服務,賦予創作者更多的可能。 vocus 平台匯聚了
#vocus#徵才#社群行銷
Thumbnail
avatar-avatar
《創作者事業研究室》沙龍
【駭入別人銷售漏斗,模仿驗證有效流程】
【駭入別人銷售漏斗,模仿驗證有效流程】
Thumbnail
avatar-avatar
《創作者事業研究室》沙龍
【駭入別人銷售漏斗,模仿驗證有效流程】
【駭入別人銷售漏斗,模仿驗證有效流程】
Thumbnail
avatar-avatar
台灣展翅協會
【青春怎麼辦 #8】從「定位功能」解析個資隱私和法律風險
《個人資料保護法》專家孔德澔律師,從「定位功能」帶我們瞭解個資及隱私授權的存在意義以及對生活產生的影響,並分享如何降低風險或是可以善用的地方。
#Podcast#孩子#青少年
Thumbnail
avatar-avatar
台灣展翅協會
【青春怎麼辦 #8】從「定位功能」解析個資隱私和法律風險
《個人資料保護法》專家孔德澔律師,從「定位功能」帶我們瞭解個資及隱私授權的存在意義以及對生活產生的影響,並分享如何降低風險或是可以善用的地方。
#Podcast#孩子#青少年
Thumbnail
avatar-avatar
理工腦袋思考文組是否搞錯甚麼的沙龍
乙級衛生管理員 自學-職業安全衛生設施規則(18)
職業安全衛生設施-感電保護措施 細項
#職業安全衛生#職業安全衛生管理系統#乙衛
Thumbnail
avatar-avatar
理工腦袋思考文組是否搞錯甚麼的沙龍
乙級衛生管理員 自學-職業安全衛生設施規則(18)
職業安全衛生設施-感電保護措施 細項
#職業安全衛生#職業安全衛生管理系統#乙衛
Thumbnail
avatar-avatar
Spártā BB Salon
無煙硝的戰場:從威權到民主轉折的國安手記
對時限的保密則應全程為之。 在第一階段單獨準備時,就必須對利害關係人做大量的調研、溝通、聽證,才能確立我方的談判目標、議題、方案、策略、底線、破局後的最佳替代安案等。 各國非但不會以「保密」為理由,來拒絕和利害關係人做溝通,還會運用各種手段來鼓勵他們表達立場、意見、提出疑慮,以求策略之周延。
#美中台#美中#台美
Thumbnail
avatar-avatar
Spártā BB Salon
無煙硝的戰場:從威權到民主轉折的國安手記
對時限的保密則應全程為之。 在第一階段單獨準備時,就必須對利害關係人做大量的調研、溝通、聽證,才能確立我方的談判目標、議題、方案、策略、底線、破局後的最佳替代安案等。 各國非但不會以「保密」為理由,來拒絕和利害關係人做溝通,還會運用各種手段來鼓勵他們表達立場、意見、提出疑慮,以求策略之周延。
#美中台#美中#台美
Thumbnail
avatar-avatar
桃園電子報的沙龍
小心個資外洩!資安署籲低頭族牢記「四不六要」原則
手機及網路已深入日常生活與消費習慣,春節期間不管是出遊派還是在宅派都會使用手機或各種網路服務,例如查詢出遊走春資訊、景點打卡、簡訊拜年、網路購物、線上追劇等等。對此,數位發展部資通安全署指出,使用便利服務的同時,也要注意資安防護,像是不法集團常常利用釣魚網站假連結,騙取民眾輸入個資或信用卡資料。
#資安#數位部#資安署
Thumbnail
avatar-avatar
桃園電子報的沙龍
小心個資外洩!資安署籲低頭族牢記「四不六要」原則
手機及網路已深入日常生活與消費習慣,春節期間不管是出遊派還是在宅派都會使用手機或各種網路服務,例如查詢出遊走春資訊、景點打卡、簡訊拜年、網路購物、線上追劇等等。對此,數位發展部資通安全署指出,使用便利服務的同時,也要注意資安防護,像是不法集團常常利用釣魚網站假連結,騙取民眾輸入個資或信用卡資料。
#資安#數位部#資安署
Thumbnail
avatar-avatar
網路安全停看聽-安啦的沙龍
【網路安全停看聽】打造密不可破的防護網,政府、法令是最後一道防線
政府、法令是資訊安全的最後防線,本文從政府及法律層面探討網路安全議題,以及資通安全管理法和個資法的重要性。政府擴大進用資安人才,以及執行資通安全管理法、個資法的相關規定,對維護數位平臺安全有著重要作用。除此之外,文章還強調了民眾的資安素養及企業、政府的連手防禦對抗駭客組織及詐騙集團的重要性。
#網路安全#個資法#Podcast
Thumbnail
avatar-avatar
網路安全停看聽-安啦的沙龍
【網路安全停看聽】打造密不可破的防護網,政府、法令是最後一道防線
政府、法令是資訊安全的最後防線,本文從政府及法律層面探討網路安全議題,以及資通安全管理法和個資法的重要性。政府擴大進用資安人才,以及執行資通安全管理法、個資法的相關規定,對維護數位平臺安全有著重要作用。除此之外,文章還強調了民眾的資安素養及企業、政府的連手防禦對抗駭客組織及詐騙集團的重要性。
#網路安全#個資法#Podcast
Thumbnail
avatar-avatar
左先生的沙龍
2024-01-18 企業宜部署UEBA資安方案
隨着網絡攻擊和資料外洩的種類越來越多,防御方案的部署也要與時並進。近年,很多企業開始留意和測試部署使用者和實體行為分析(UEBA)的可行性。 在資訊保安工作上,內部人員被駭或者內部人員出現錯誤的行為導致企業暴露於風險之中......
#異常#資訊#群組
Thumbnail
avatar-avatar
左先生的沙龍
2024-01-18 企業宜部署UEBA資安方案
隨着網絡攻擊和資料外洩的種類越來越多,防御方案的部署也要與時並進。近年,很多企業開始留意和測試部署使用者和實體行為分析(UEBA)的可行性。 在資訊保安工作上,內部人員被駭或者內部人員出現錯誤的行為導致企業暴露於風險之中......
#異常#資訊#群組
Thumbnail
avatar-avatar
昕力資訊的沙龍
從日誌管理看現代 IT治理與法規遵循|昕力資訊
大數據時代下,Log的多元應用至關重要。Log生成龐大,格式各異,特別金融業需合規。探討Log廣泛應用、資訊安全、IT管理和商業決策。建立Log管理系統核心深入法規,強化IT治理、權限控管。一站式Log管理平台,確保資訊安全合規。
#日誌管理#Log管理#資安
Thumbnail
avatar-avatar
昕力資訊的沙龍
從日誌管理看現代 IT治理與法規遵循|昕力資訊
大數據時代下,Log的多元應用至關重要。Log生成龐大,格式各異,特別金融業需合規。探討Log廣泛應用、資訊安全、IT管理和商業決策。建立Log管理系統核心深入法規,強化IT治理、權限控管。一站式Log管理平台,確保資訊安全合規。
#日誌管理#Log管理#資安
Thumbnail
avatar-avatar
網路安全停看聽-安啦的沙龍
【網路安全停看聽】打造密不可破的資安防護網,企業不能缺席
談了許多網路安全的議題,提醒民眾要注意哪些事情,建構哪些網路安全思維,讓我們可以降低踏入詐騙陷阱的風險。但除了民眾本身要不斷學習、提升防詐意識外,是不是還有其他方面的作法呢? 本文就來聊聊在企業端可以做些什麼。 要打造一個密不可破的防護網,企業端就不能夠缺席。 舉幾個例子讓大家知道。
#電信業者#資訊安全#詐騙電話
Thumbnail
avatar-avatar
網路安全停看聽-安啦的沙龍
【網路安全停看聽】打造密不可破的資安防護網,企業不能缺席
談了許多網路安全的議題,提醒民眾要注意哪些事情,建構哪些網路安全思維,讓我們可以降低踏入詐騙陷阱的風險。但除了民眾本身要不斷學習、提升防詐意識外,是不是還有其他方面的作法呢? 本文就來聊聊在企業端可以做些什麼。 要打造一個密不可破的防護網,企業端就不能夠缺席。 舉幾個例子讓大家知道。
#電信業者#資訊安全#詐騙電話
Thumbnail
avatar-avatar
左先生的沙龍
2024-01-08 資安認知訓練(Awareness training)的重要性
在資訊保安的工作裡,資安認知訓練是一項基本的措施,但同時亦是很多企業忽略的一環。 過往筆者也有參與資安認知訓練的設計及提供培訓服務,很多時最困難的並不是內容的撰寫,也不是預算的多寡或培訓時間的時數,而是如何讓受訓者認真去接受培訓資訊。 企業員工會覺得資訊保安是資訊科技部門的責任......
#資訊#資安#企業
Thumbnail
avatar-avatar
左先生的沙龍
2024-01-08 資安認知訓練(Awareness training)的重要性
在資訊保安的工作裡,資安認知訓練是一項基本的措施,但同時亦是很多企業忽略的一環。 過往筆者也有參與資安認知訓練的設計及提供培訓服務,很多時最困難的並不是內容的撰寫,也不是預算的多寡或培訓時間的時數,而是如何讓受訓者認真去接受培訓資訊。 企業員工會覺得資訊保安是資訊科技部門的責任......
#資訊#資安#企業
追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News