CISSP的CBK在14年的時(shí)候，進(jìn)了一個(gè)比較大的一個(gè)變化，從以前的十個(gè)知識(shí)域變成了八個(gè)知識(shí)域，把原來的知識(shí)點(diǎn)重新進(jìn)行了組合，比方說把BCP的需求的那一部分搬到安全與風(fēng)險(xiǎn)管理這一個(gè)章節(jié)。

CISSP CBK的重新劃分，有其內(nèi)在的邏輯的，這個(gè)邏輯到底是什么呢?如果說我們把這個(gè)邏輯我們搞清楚的話，就更有利于我們從一個(gè)整體上去把握。我重新對它一個(gè)排序，這樣這個(gè)排序排在最前面的是安全風(fēng)險(xiǎn)管理，排在最后的是安全評估與測試這里中間的這個(gè)環(huán)節(jié)我就不一一去說了，這八個(gè)知識(shí)域的思維視角我們到底以怎樣去看他?

1. 安全與風(fēng)險(xiǎn)管理-頂層思維

我們首先來看到，安全與風(fēng)險(xiǎn)管理它實(shí)際上是頂層思維。這里講的是說如何去發(fā)現(xiàn)歸納總結(jié)企業(yè)自身安全需求上，需求決定一切，需求一般來自與業(yè)務(wù)的安全需求，合規(guī)需求，業(yè)務(wù)連續(xù)性續(xù)期，風(fēng)險(xiǎn)評估的結(jié)果等。如果說你不知道你的問題，你的需求在哪里，你所謂的安全防護(hù)都是扯淡。第二個(gè)就你有了需求之后，要去滿足需求，接下來就是所謂的安全規(guī)劃，安全頂層設(shè)計(jì)，包括安全組織的設(shè)置，定義安全角色、明確安全策略目標(biāo)等。這就是所謂的什么安全與風(fēng)險(xiǎn)管理，它是一個(gè)頂層思維。

2. 資產(chǎn)安全-業(yè)務(wù)思維

資產(chǎn)到底需要怎樣等級(jí)或強(qiáng)度的安全防護(hù)呢，如何判定。這需要安全專業(yè)人員要有業(yè)務(wù)思維，我們一定要站在業(yè)務(wù)的角度去看，安全到底在里面起什么作用?我們看互聯(lián)網(wǎng)公司，他們的信息安全基本上走在行業(yè)的前列。這一點(diǎn)是毋庸置疑的，就是因?yàn)樗陌踩鷺I(yè)務(wù)綁得非常的緊密。電子商務(wù)正是如此，云計(jì)算平臺(tái)也是如此。業(yè)務(wù)思維能夠幫助我們更好的去理解安全對于業(yè)務(wù)的這種價(jià)值作用，也就是說進(jìn)一步明確我們的安全保護(hù)的對象。企業(yè)業(yè)務(wù)有關(guān)鍵業(yè)務(wù)和輔助業(yè)務(wù)之分，這也是我們?yōu)槭裁匆奄Y產(chǎn)分個(gè)三六九等去區(qū)別對待的原因。同時(shí)企業(yè)在安全投入的資源也是有限的，區(qū)分對待也是必然。

3. 安全架構(gòu)與工程(身份與訪問管理、通信與網(wǎng)絡(luò)安全、軟件開發(fā)安全)-設(shè)計(jì)思維

明白了要是保護(hù)的對象，接下來要去設(shè)計(jì)你整個(gè)安全防護(hù)體系。就是安全工程與架構(gòu)，身份與訪問管理，通信與網(wǎng)絡(luò)安全以及軟件開發(fā)安全等四個(gè)知識(shí)域的內(nèi)容。如何去設(shè)計(jì)一種安全的機(jī)制，去保障這些資產(chǎn)獲得適當(dāng)?shù)谋Ｗo(hù)。安全工程與架構(gòu)，安全模型和防護(hù)機(jī)制的選擇;身份與訪問管理主要是圍繞著身份和權(quán)限去展開的;通信與網(wǎng)絡(luò)安全主要講述網(wǎng)絡(luò)分層、協(xié)議的安全和設(shè)備的安全;軟件開發(fā)安全是從安全的內(nèi)生長的角度來看的，系統(tǒng)自身具備的基本的安全措施，比如登錄身份驗(yàn)證，防SQL注入等。

4. 安全運(yùn)營-運(yùn)營思維

安全設(shè)計(jì)弄完，相關(guān)系統(tǒng)和機(jī)制的部署。接下來就是安全的運(yùn)營，這就比方說你安全制度有了，安全設(shè)備有了，你要去保證你的這些安全制度能夠被有效執(zhí)行，你的安全設(shè)備要會(huì)用和用好。它是持續(xù)的保障安全。

5. 安全的評估與測試-第三方思維

安全工作到底做得如何，不能自說自話，除了是否發(fā)生安全事件的終極檢驗(yàn)之外，需要及時(shí)的第三方的客觀評價(jià)。另外，企業(yè)利益很多時(shí)候涉及第三方的利益。比方說集團(tuán)公司總部會(huì)關(guān)心下面的分子公司的安全，物流關(guān)心供應(yīng)鏈安全;監(jiān)管部門要依法履行安全檢查評估與測評之職責(zé)，用第三方的思維來看這個(gè)事情。更客觀的驗(yàn)證測試安全的有效性。

最后簡單總結(jié)一下：

對于整個(gè)CISSP來說，這八個(gè)知識(shí)域我們可以從頂層思維，業(yè)務(wù)思維、設(shè)計(jì)思維、運(yùn)營思維和第三方的思維這樣的視角來看整個(gè)安全知識(shí)體系。后續(xù)的進(jìn)一步安全思維模型的講解和刻意練習(xí)，幫助大家建立結(jié)構(gòu)化、系統(tǒng)的安全認(rèn)知體系。