文章总结: 本文为CISSP备考资料,重点讲解资产安全知识域中的数据治理、数据策略、数据质量、数据文档化、数据模式5大核心概念的定义、要点及区分,以及信息资产生命周期模型中获取、使用、存档、处置4大阶段的核心动作与安全重点。内容贴合考试逻辑,提供考点标注和记忆技巧,帮助考生高效掌握基础考点。 综合评分: 78 文章分类: 安全培训,技术标准,安全建设
CISSP 重点知识点合集|D2 安全风险管理(单元一)2.1 风险和风险管理
原创
耶度 耶度
野猪与安全
2026年4月20日 08:08 广东
在小说阅读器读本章
去阅读
点击蓝字
关注我们
哈喽~备考 CISSP 的小伙伴集合啦✅
全新知识域干货上线!今天聚焦 D2 资产安全模块——单元一 1.1 资产安全基本概念,这是资产安全的开篇基础考点,也是 CISSP 考试的核心知识域之一(资产安全知识域考试占比约 10%),全程搭配考点标注、通俗解读和记忆技巧,帮你快速吃透数据相关概念、信息资产生命周期,高效备考不踩坑!
本章节重点是数据治理、数据策略、数据质量等核心概念,以及信息资产生命周期的四大阶段,知识点贴合实际工作场景,是后续资产安全相关考点的基础,建议收藏🌟
持续更新全模块干货,陪你稳步解锁 CISSP 考点,顺利上岸!
D2
资产安全 · 资产安全基本概念
单元一
✅ 1.1 核心考点:
数据相关 5 大概念、信息资产生命周期 4 大阶段(高频选择+简答题)
📝 考点 A:数据相关核心概念(基础必记,易考定义+细节)
资产安全的核心是数据安全,重点掌握5个数据相关核心概念,明确每个概念的定义、核心要点,贴合考试答题逻辑👇
- 数据治理(Data Governance)
▸ 核心定义:
组织对数据全生命周期的统筹管理,包括内部/外部正确、持续处理数据的人员、流程和 IT 组织,核心是规范数据管理,明确责任与流程。
▸ 核心要点(易考多选题):
✅ 管理主体:
大型组织中,由数据治理委员会负责监督数据策略,明确各职能利益相关方的角色和职责;
✅ 核心目标:
确定重要数据的创建、转换和使用方式,确保数据管理规范、合规;
✅ 6 大核心原则(记准,易考多选题):
• 建立责任;
• 制定为组织提供最佳支持的计划;
• 有效获取数据;
• 必要时确保性能;
• 确保符合规则;
• 确保尊重人为因素。
- 数据策略(Data Strategy)
▸ 核心定义:
组织数据管理的通用原则和程序,是数据治理的核心支撑,指导组织规范数据全流程管理。
▸ 核心要点(易考简答题):
✅ 核心作用:
指导组织仅收集所需信息、确保信息安全、不需要时安全销毁信息;
✅ 核心要求:
需具备灵活性,适配资产安全性的动态变化;
✅ 与数据治理的关系:
在数据治理中起至关重要的作用,为管理层制定数据质量、格式、访问和保留的实践及标准提供指导。
- 数据质量(Data Quality)
▸ 核心定义:
围绕数据的完整性和可靠性展开,是数据有效使用的前提,重点掌握衡量因素、评估方法和常见错误类型。
▸ 核心要点(必考区分,易考选择题):
✅ 3 个衡量因素:准确性、货币性(时效性)、相关性;
✅ 2 种评估方法(重点区分,记准核心问题):
• 质量保证(QA):
用规定标准评估数据,发现不一致和异常,应用数据净化技术;解决问题:“数据是否符合目的?”
• 质量控制(QC):
根据内部标准、流程评估数据质量,监控 QA 结果;解决问题:“数据可以使用吗?”
✅ 2 种常规错误类型(易考多选题):记账错误、遗漏错误。
- 数据文档化(Data Documentation)
▸ 核心定义:
对数据资产进行规范记录,帮助组织管理海量数据集,确保用户有效理解和使用数据。
▸ 核心要点:
✅ 3 个核心组成部分:
数据的创建方式、数据的结构和内容、对数据执行的任何操作;
✅ 4 大核心目标(易考多选题):
• 支持数据寿命延长和重用;
• 让数据用户了解数据的内容、上下文和限制;
• 便于组织内发现数据;
• 实现数据互操作性和数据交换。
- 数据模式(Data Schema)
▸ 核心定义:
数据架构的蓝图,是数据组织的核心元素,决定数据的存储和组织方式,对安全控制决策起指导作用。
▸ 核心要点(易考细节):
✅ 通俗理解:
构建数据库的蓝图(如关系数据库中,数据模式以表格形式组织);
✅ 核心作用:
指导安全控制决策,如加密方式、访问授权级别、数据处置计划;
✅ 存储方式:
数据库的架构通常存储在数据字典(参考存储库)中。
💡 考点提示:
数据相关 5 个概念易混淆,重点区分“数据治理(统筹管理)”“数据策略(指导原则)”“数据模式(架构蓝图)”,考试常考概念辨析和细节记忆。
CISSP
🔥 考点 B:信息资产生命周期模型(重中之重,必考 4 大阶段)
信息资产生命周期描述了信息从获取到处置的完整过程,宏观上分为 4 个核心阶段,每个阶段的安全重点不同,需记准每个阶段的核心动作和安全要求(易考简答题、场景题)👇
▸ 核心定义:
描述一个信息实体在其生命周期中所经历的变化,是资产安全管理的核心框架,贯穿数据全流程。
📥 信息获取阶段:
• 核心动作:
组织通过“复制现有数据”或“从头创建”两种方式获取信息;
• 安全重点:
获取信息后,需采取必要步骤使信息产生价值,并应用策略性安全控制,为后续安全管理奠定基础。
🔄 信息使用阶段:
• 核心动作:
组织日常使用信息,进行查询、修改、传输等操作;
• 安全重点(最大挑战):
确保信息的机密性、完整性和可用性(CIA 三元组);仅授权人员可修改信息,确保数据内部一致性。
📦 信息存档阶段:
• 核心动作:
对不常使用、但需保留的信息进行归档(含备份需求);
• 安全重点:
✅ 加强访问控制,防止未授权/意外访问、修改(归档数据漏洞易长期未被发现);
✅ 参考风险评估结论,确定备份的保护方式;
✅ 合理确定保留期限(关键考点):
丢弃太快→无法恢复、无法响应取证/传票;保留太久→成本过高、责任递增。
🗑️ 信息处置阶段:
• 核心动作:
对不需要的信息进行销毁;
• 安全重点(关键考点):
解决两个核心问题——数据是否被真正销毁?是否被正确销毁?(避免数据泄露)。
💡 备考小贴士
CISSP
本章节核心考点:
数据治理、数据策略、数据质量等 5 个数据相关概念(定义+细节);信息资产生命周期 4 大阶段(核心动作+安全重点)。
建议重点突破“数据质量 QA 与 QC 的区别”“信息资产生命周期 4 个阶段的安全重点”“数据治理的 6 大原则”,这些是选择题、简答题高频考点,也是后续资产安全模块的基础,务必扎实掌握!
补充提示:资产安全是 CISSP 八大核心知识域之一,占比约 10%,1.1 作为基础考点,直接影响后续资产分类、保护等知识点的理解,建议结合实际场景强化记忆。
✨ 关注我,持续更新 CISSP 全模块重点知识点,每一篇都是纯干货,备考不迷路!
留言区可打卡学习,说说你 1.1 考点掌握得怎么样啦👇
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:野猪与安全 耶度 耶度《CISSP 重点知识点合集|D2 安全风险管理(单元一)2.1 风险和风险管理》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论