文章总结： 本文系统梳理CISSP考试安全工程模块中基于系统安全需求选择控制措施的核心知识点，重点解析安全需求的三大来源（法规合规、威胁建模、风险评估）以及ISO27001与ISO27002标准的定位区别与应用场景。文档强调ISO27002包含14个控制章节、35个安全类别和114项具体措施，为备考者提供明确考点梳理和实操性学习建议。 综合评分： 85 文章分类： 技术标准,安全培训,安全建设,政策法规,安全运营

CISSP 重点知识点合集｜D3 安全工程（单元二） 基于系统安全需求选择控制措施

耶度 耶度

野猪与安全

2026年4月25日 08:33 广东

在小说阅读器读本章

去阅读

点击蓝字

关注我们

D3

安全工程

哈喽～备考 CISSP 的小伙伴集合啦✅

D3 安全工程模块干货持续更新！今天聚焦单元 2 核心内容——2.1 基于系统安全需求选择控制措施，这是安全工程模块的实操性重点，也是 CISSP 考试的高频出题区域（安全工程知识域占比约 13%）。核心围绕“安全需求来源”和“控制措施选择”展开，全程搭配考点标注、通俗解读和记忆技巧，帮你快速吃透核心知识点，理清逻辑、规避易混点，高效备考不踩坑！

本章节重点是安全需求的三大来源、ISO 27001 与 ISO 27002 的核心区别及应用，知识点贴合实际合规场景，是后续安全控制实施、风险管控的基础，建议收藏🌟

持续更新全模块干货，陪你稳步解锁 CISSP 考点，顺利上岸！

D3

基于系统安全需求选择控制措施

单元二

✅ 核心考点：

安全需求来源、ISO 27001 与 ISO 27002 的区别及应用（高频选择+简答题）

💡 前置基础：

安全控制措施的核心作用——基于系统安全需求，选择适配的控制方式，降低系统风险、满足合规要求，确保信息系统的机密性、完整性和可用性。所有控制措施的选择，都必须以“明确安全需求”为前提。

📝 考点 A：安全需求（基础必记，易考多选题）

安全需求是选择安全控制措施的“前提和依据”，核心源自 3 个方面，记准来源及细节，避免遗漏👇

📜 法规/合规性要求（核心来源）

• 核心说明：

组织必须遵守的外部法规、行业标准，是安全需求的硬性约束；

• 高频考点（记准名称，易考多选题）：

ISO 27001（信息安全管理体系标准）、SOX（萨班斯-奥克斯利法案）、GDPR（通用数据保护条例）、PCI DSS（支付卡行业数据安全标准）等。

🔍 系统面临的威胁（风险导向）

• 核心说明：

通过威胁建模，识别系统可能面临的各类威胁（如黑客攻击、数据泄漏、设备故障等），针对性提出安全需求；

• 关键逻辑：

威胁是安全需求的“直接诱因”，控制措施需能抵御对应威胁。

📊 系统的风险评估（核心依据）

• 核心说明：

通过风险评估，识别系统的脆弱点、评估威胁发生的概率及影响，明确需要优先保护的资产和安全优先级；

• 关键逻辑：

风险评估决定“控制措施的优先级”，优先解决高风险问题。

💡 考点提示：

安全需求的三大来源是高频多选题考点，需记准“法规合规、威胁建模、风险评估”，并能列举常见的合规标准（如 ISO 27001、GDPR 等）。

CISSP

🔥 考点 B：控制选择（重中之重，必考！ISO 27001 与 ISO 27002 辨析）

控制措施的选择，核心参考 ISO 27001 和 ISO 27002 两大标准，重点区分两者的定位、作用，记准 ISO 27002 的核心内容👇

▸ 考点 1：ISO 27001（核心定位：建立 ISMS 的标准）

• 核心定义：

建立、实施和维持信息安全管理体系（ISMS）的国际标准，为组织搭建信息安全管理框架提供指导；

 • 核心作用：

明确组织建立 ISMS 的流程和要求，是组织实现信息安全合规、提升安全管理水平的核心依据；

• 关键流程（记准，易考简答题）：

 1. 确定信息安全管理体系（ISMS）范围；

2. 制定信息安全方针；

3. 明确管理职责；

4. 以风险评估为基础，选择控制目标与控制方式；

5. 建立、实施、监控和改进 ISMS。

CISSP

▸ 考点 2：ISO 27002（核心定位：选择控制措施的指南）

• 核心定位：

ISO 27001 的“配套指南”，可作为组织实施 ISMS 时选择控制措施的参考，也可作为通用信息安全控制措施的实施指南；

• 核心内容（必考细节，易考多选题）：

✅ 包含 14 个安全控制措施章节；

✅ 涵盖 35 个主要安全类别、114 项安全控制措施；

• 每个主要安全控制类别的组成（记准，易考简答题）：

1. 控制目标：

明确该类别要实现的安全目标（“要做什么”）；

2. 控制措施：

实现控制目标的具体方法（“怎么做”）；

3. 实施指南：

提供控制措施实施的详细信息，支撑控制目标落地。

▸ 易混对比（必考辨析，避免混淆！）

✅ ISO 27001：

体系标准，重点是“建立、实施ISMS的框架和要求”（宏观指导）；

✅ ISO 27002：

实施指南，重点是“具体控制措施的选择和实施方法”（微观落地）；

✅ 两者关系：

ISO 27002 是 ISO 27001 的补充，组织基于 ISO 27001 建立 ISMS 时，可参考 ISO 27002 选择控制措施。

备考小贴士

CISSP

本章节核心考点：

① 安全需求的三大来源（法规合规、威胁建模、风险评估）；

② ISO 27001 与 ISO 27002 的定位、区别及核心内容；

③ ISO 27002 控制类别的组成。

建议重点突破：

① 安全需求的三大来源及常见合规标准；

② ISO 27001与ISO 27002的核心区别（宏观体系vs微观指南）；

③ ISO 27002的核心数据（14章节、35类别、114项控制措施）。

这些是选择题、简答题高频考点，贴合实际合规场景，理解记忆更易掌握！

补充提示：

本章节知识点偏向“合规与实操”，考试中常结合场景题考查（如“某组织要建立 ISMS，应参考哪个标准？”“选择控制措施的核心指南是什么？”），需熟练掌握两大标准的应用场景。

✨ 关注我，持续更新 CISSP 全模块重点知识点，每一篇都是纯干货，备考不迷路！

留言区可打卡学习，说说你 2.1 考点掌握得怎么样啦👇

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：野猪与安全 耶度 耶度《CISSP 重点知识点合集｜D3 安全工程（单元二） 基于系统安全需求选择控制措施》