文章总结： 本文聚焦CISSP考试D1模块1.3节法律、合规和道德核心考点，系统梳理了GRC（治理、风险管理、合规）集成化方法、四类知识产权（版权、商标、专利、商业秘密）与软件许可的区别、欧盟GDPR（含用户四项核心权利）与OECD隐私八项原则，以及(ISC)²四大道德准则，为考生提供高效备考指南。 综合评分： 86 文章分类： 安全培训,技术标准,政策法规

CISSP重点知识点合集｜D1 安全和风险管理（单元一）1.3 法律、合规和道德

原创

耶度 耶度

野猪与安全

2026年4月13日 08:10 广东

在小说阅读器读本章

去阅读

点击蓝字

关注我们

哈喽～备考 CISSP 的小伙伴集合啦✅ 全新篇章开启！今天专注拆解 D1 模块单元一核心考点——1.3 法律、合规和道德，全程干货无废话，搭配考点标注、通俗解读和记忆技巧，帮你快速吃透高频考点，高效备考不踩坑！

全篇重点突出、符号清晰，建议收藏🌟

持续更新 CISSP 全模块知识点，陪你稳步上岸，拿下证书！

D1

安全和风险管理 ：信息安全管理基础

单元一

✅ 1.3 核心考点：法律、合规与道德相关概念及应用（高频选择+简答题）

📝 考点 A：GRC 概述（基础必记，易考定义）

GRC 是 CISSP 考试中高频出现的基础术语，核心是“集成化应对治理、风险、合规三大挑战”，记准定义和目标👇

▸ GRC 全称：

Governance（治理）、Risk Management（风险管理）、Compliance（合规）

▸ 核心定义：

企业采用一套集成化的方法，统筹应对治理、风险管理和合规三个方面的挑战，并非孤立处理某一个环节。

▸ 核心目标：

确保正确的安全策略和控制措施落地执行，降低企业安全风险；建立有效的制衡机制，及时提醒新风险，更高效、主动地管理业务流程。

💡 考点提示：

考试常考“GRC 的集成性”，避免理解为“分别处理治理、风险、合规”，核心关键词是「集成方法、制衡机制、风险降低」。

CISSP

🔥 考点 B：知识产权（重中之重，必考分类+区别）

知识产权是考试高频考点，重点区分 4 类核心知识产权（版权、商标、专利、商业秘密）的定义、保护对象和核心特征，搭配软件许可补充，一目了然👇

📜 版权（Copyright）• 保护对象：

绘画、书法、音乐、戏剧、文字、哑剧、电影、雕塑、录音、建筑、源代码等原创作品。

 • 核心特征：

保护“作品的表达形式”，而非作品本身（区别于商业秘密）。

 • 核心权利：

保护原创作者对作品的公开发行、翻印、展览、修改等控制权。

🏷️ 商标（Trademark）• 保护对象：

单词、名称、符号、声音、形状、颜色、设备，或这些元素的组合。

• 核心特征：

区别于版权，重点保护“标识性元素”，用于区分不同主体的产品/服务。

🔬 专利（Patents）• 核心定义：

授予个人或公司的法律所有权，可拒绝他人使用/复制专利所指的发明 。

• 发明要求（必记）：

必须满足「新奇的、有用的、非显而易见的」三个条件。

🔒 商业秘密（Trade Secrets）• 核心定义：

企业特有的、对生存和盈利至关重要的资产。

• 核心特征：

保护“资产本身”（区别于版权），防止未授权使用或公开（例：企业核心配方、客户名单）。

▸ 补充考点：软件许可（4类，易考选择题）

软件许可协议明确软件使用规范，违反协议会导致许可证终止及罚款，4类许可记准区别👇

🆓 免费软件：

公众可免费使用，可无限制使用、复制、研究、更改、重新分发。

🔍 共享软件/试用版软件：

供应商用于推销产品，通常有试用期限或功能限制。

💼 商业软件：

以商业盈利为目的，需付费购买使用，有明确的使用权限限制。

📚 学术软件：

面向学术用途，成本较低，可是开源、免费或商业软件（仅限学术场景使用）。

CISSP

📚 考点C：隐私相关法律（高频考点，重点记 GDPR 和 OECD 原则）

隐私相关法律是 CISSP 考试的重点，核心掌握欧盟 GDPR（细节必考）和 OECD 隐私原则（8 项必记），贴合国际合规要求👇

▸ 欧盟《通用数据保护条例》（GDPR，必考细节）

• 核心目的：

遏制个人信息滥用，保护个人隐私。

• 适用范围（必记）：

任何收集、传输、保留、处理「欧盟成员国个人信息」的机构/组织，均受约束（范围极广）。

• 用户核心权利（4 项，必考，记准每一项细节）：

📖 查阅权：

可查询自身个人数据是否被处理、使用目的、数据类型等。

🗑️ 被遗忘权：

可要求企业删除自身个人数据，若数据已被第三方获取，可要求第三方删除。

🔒 限制处理权：

认为数据不准确或处理方式非法，可要求限制数据使用（无需删除）。

🔄 数据移植权：

更换服务提供商时，可要求企业以直观、通用的形式提供个人数据，便于携带。

▸ OECD隐私原则（8 项，必记，易考多选题）

经济合作与发展组织（OECD）的隐私原则，被广泛应用于国际隐私和数据保护法，8 项原则分点记忆，不遗漏👇

收集限制原则、数据质量原则、目的规范原则、使用限制原则、安全保障原则、公开原则、个人参与原则、问责原则。

💡 记忆技巧：

可简化为“收、质、目、用、安、公、参、责”，快速联想对应原则，避免遗漏。

CISSP

📜 考点 D：(ISC)² 道德准则（必考，全文熟记）

(ISC)²道德准则是 CISSP 考生及持证者必须遵守的核心准则，考试常考原文表述，4 条准则全文熟记，不可混淆👇

1. 保护社会、公共利益、必要的公共信任和信心、以及基础设施。

2. 行为得体、诚实、公正、负责和遵守法律。

3. 为委托人提供尽职的和胜任的服务工作。

4. 发展和保护职业声誉。

CISSP

⚠️ 考点提示：

考试可能考查“准则的优先级”或“具体场景对应”，需熟记每一条原文，结合实际场景判断是否符合准则要求。

备考小贴士

CISSP

本章节核心考点：

GRC 的定义和目标；4 类知识产权的区别（重点区分版权与商业秘密）；4类软件许可的差异；GDPR 的适用范围和用户 4 项权利；OECD 8 项隐私原则；(ISC)² 4 条道德准则（全文熟记）。

建议重点记忆“易混淆点”（如版权 vs 商业秘密、不同软件许可的区别），(ISC)² 道德准则建议全文背诵，后续会结合真题例题帮大家巩固应用！

✨ 关注我，持续更新 CISSP 全模块重点知识点，每一篇都是纯干货，备考不迷路！

留言区可打卡学习，说说你 1.3 考点掌握得怎么样啦👇

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：野猪与安全 耶度 耶度《CISSP重点知识点合集｜D1 安全和风险管理（单元一）1.3 法律、合规和道德》