文章总结： 本文系统梳理CISSP考试1.2章节评估和应用安全治理原则核心考点，涵盖安全治理定义（高层框架视角）、安全计划四阶段（计划组织/实施/运营维护/监测评估）、行业参考框架（COSO/COBIT/ISO27000等）、6类安全角色职责划分、策略链层级关系（策略-标准-指南-基线-措施）及人员安全管理全周期控制措施。强调安全治理需与业务战略绑定，并提供备考重点提示与实操建议。 综合评分： 94 文章分类： 安全培训,技术标准,安全意识,安全建设,政策法规

---

CISSP重点知识点合集｜D1安全和风险管理（单元一）1.2 评估和应用安全治理原则

原创

耶度 耶度

野猪与安全

2026年4月12日 09:26 广东

在小说阅读器读本章

去阅读

点击蓝字

关注我们

哈喽～备考 CISSP 的小伙伴看过来✅ 今天开启 1.2 核心考点：评估和应用安全治理原则（高频考点，重点掌握！）

全篇干货无废话，建议收藏🌟 后续持续更新 CISSP 全模块重点，陪你高效备考、一次上岸～

D1

安全和风险管理 ：信息安全管理基础

单元一

✅ 1.2 核心考点：评估和应用安全治理原则（高频考点，重点掌握！）

📝 考点 A：信息安全治理的定义（基础必记）

信息安全治理并非单纯的技术层面工作，而是一套完整的信息安全解决方案+紧密关联的管理方法，核心是提供一个全面框架👇

▸ 框架核心作用：

定义安全目标、协调各环节、落地实施、全程监督所有安全相关事宜，立足高层视角，最终保障组织业务持续运行、稳步发展。

💡 考点提示：

考试常考“安全治理≠技术”，核心关键词是「框架、高层视角、业务保障」，避免与单纯的安全技术实施混淆。

CISSP

🔥 考点 B：信息安全治理的重要性（分角色记，易考简答题）

核心意义：

将组织的安全能力与业务战略、任务、使命、目标深度绑定，为业务架构和发展提供支撑，不同角色的关注点截然不同，记准区分👇

👔 管理层视角（决策层，核心是“把控方向、提供保障”）：

• 设定安全策略和战略方向，分配安全活动所需资源

• 指派管理责任，明确安全计划优先级，支持必要的流程变更

• 定义风险评估相关文化，通过内外部审计获取安全保障

• 监督安全投资度量，听取安全项目有效性汇报

💻 安全专家视角（执行层，核心是“落地执行、衔接沟通”）：

• 吃透组织愿景、任务和目标，掌握组织全生命周期的安全问题

• 明确组织内安全相关角色与责任，保障信息安全策略落地

• 确保组织符合相关法律、法规和道德要求

• 与管理层建立有效联动，确保安全目标与业务目标一致

CISSP

📚 考点 C：通过安全计划实现安全目标（核心流程+参考框架）

安全计划是安全策略落地的核心载体，核心是将安全功能与组织战略、目标结合，兼顾商业论证、预算限制和资源稀缺性，记准核心要点👇

✅ 安全计划核心特征：

 • 构成框架：

包含管理、技术、物理类保护机制，以及程序、业务流程和人员（缺一不可，任一模块缺失会影响整体安全架构）。

• 编制方法：

自上而下（必须获得高级管理者的支持和批准，这是计划落地的关键）。

📌 安全计划四阶段（必考流程，记准各阶段核心任务）：

🔄 计划和组织阶段：

建立管理承诺→成立监督指导委员会→评估业务驱动→开发威胁配置文件→风险评估→开发安全框架→确定架构层面解决方案→获得管理层批准

📥 实施阶段：

分配角色职责→开发并落地安全策略→实现安全架构→开发审计监控方案→建立 SLA（服务水平协议）和度量指标

🔧 运营和维护阶段：

遵守流程满足基线要求→开展内外部审计→执行架构要求任务→管理 SLA

📊 监测与评估阶段：

审查分析日志→评估架构目标和 SLA 完成情况→形成报告→开会评审→制定改进计划并融入下一周期

💡 补充：行业常用参考框架（选择题高频考点），分 4 类整理，一目了然👇

🏗️ 企业框架（聚焦企业整体架构）：

• Zachman 框架：

二维模型，以 6 个基础疑问词（什么、如何、哪里、谁、何时、为何）+6 类视角（计划人员、所有者等）交叉，实现企业整体理解。

• TOGAF（开放群组架构框架）：

由美国国防部开发，提供企业信息架构的设计、实施和治理方法，从业务、数据、应用、技术 4 个视角落地业务需求。

• SABSA（舍伍德商业应用安全架构）：

分层模型，从安全视角定义业务需求。

🛡️ 安全控制框架（聚焦控制目标）：

• COSO：

1985 年开发，初衷是应对财务欺诈，COBIT 框架源于此。

• COBIT（信息及相关技术的控制目标）：

由 ISACA 和 ITGI 制定，将 IT 安全目标映射到商业目标，COBIT 5 核心 5 大原则（必记）：

满足利益相关者需求、端到端覆盖、单一集成框架、整合处理法、治理与管理分离

📋 安全管理架构（聚焦 ISMS 建设）：

• ISO/IEC 27000 系列（国际标准，核心子集必记）：

• 27000：概述和词汇

• 27001：ISMS（信息安全管理体系）要求

• 27002：信息安全管理实践措施

• 27003：ISMS 实施指南

• 27004：衡量指南与指标框架

• 27005：风险管理指南

🔄 过程管理开发（聚焦流程成熟度）：

• ITIL：

用于 IT 服务管理的标准化流程。

• CMMI（能力成熟度模型集成）：

评估组织流程成熟度的工具。

CISSP

👥 考点 D：组织中安全角色、责任及评价（易考分类题）

明确组织内 6 类核心安全角色的职责，区分“决策层、执行层、操作层”，避免混淆，同时掌握职责评价标准👇

✅ 6 类核心安全角色及职责（重点记区分点）：

👑 高级管理层（决策层）：

最终负责安全维护，签署所有安全策略，对安全解决方案成败负责，委派责任给安全专家。

💻 安全专家（执行层）：

落实管理层指示，制定/实施安全策略，是执行者而非决策者（例：信息安全官、CIRT 成员）。

📂 数据所有者（管理层）：

高层管理者，负责信息分类和数据保护最终责任，委派任务给数据监管者。

🔒 数据监管者（执行层）：

实施安全策略，为数据提供 CIA 三元组保护，完成上层委派任务。

👤 用户（操作层）：

拥有系统访问权限，了解并遵守安全策略和操作流程。

📋 审计人员（监督层）：

测试/认证安全策略落地情况，出具合规性和有效性报告，为管理层提供决策依据

📌 职责评价标准（2 个核心概念，必记区分）：

✅ 应尽职责（Due Diligence）：

调查了解企业风险，指派人员缓解风险，并持续更新。

✅ 应尽关注（Due Care）：

制定安全策略、流程和标准，采取措施保护信息资产。

CISSP

📝 考点 E：安全策略、标准、指南、基线和措施（核心“策略链”，必考）

安全策略（policies）一般由层次性的“策略链”组成，这包括信息策略（policy）、标准（standards）、指南（guidelines）、基线（baselines）和措施（procedures），其中：👇

🔥 核心特征：

安全策略需贴合业务目标、符合法律法规、可修订、可落地，全员可查阅，定期审核更新，避免“束之高阁”。

📜 策略/方针（policy）：

是由高级管理层（或董事会）发布的关于安全一般性声明，代表着管理层对信息安全承担责任的一种承诺，一旦发布，组织全员必须遵守。

📏 标准（standards）：

标准是一种强制性的活动、动作和规则，能有效支撑策略该如何实施。

💡 指南（guidelines）：

当没有特定或强制标准来要求相关人员执行时，指南就能作为一种推荐的方式来提供参考。

📊 基线（baselines）：

一旦标准已经被建立，而且策略得以很好的实施，那么这时我们就能形成一个一致的参考点，这个参考点为我们的系统提供了必要的设置和保护级别。

基线还被用于定义企业所需要的最低保护级别。

🔧 措施（procedures）：

详细分步骤任务，说明如何将策略、标准、指南落地到实际是为了达到特定目的而应当执行的详细的、分步骤的任务。措施一般说明了如何将策略、标准和指南应用到实际操作环境中。

如下图所示：策略是战略目标，是长期的；而标准、指南和措施是战术目标，一般是中短期的：

⚠️ 关键提醒：

在许多企业里，我们制定了安全策略、标准、指南、基线和措施，并把它们写到了文档中，但最终这些文档最终放到了文件服务器中，而不被共享、解释或者使用。

    为了让这些文档能够有效，我们必须让企业中所有的人员通过培训和教育，了解这些文档涉及哪些安全问题，以及必须加以实现和实施。为了保证安全策略得以实施和保持，我们就需要审查相关人员是否尽职尽责，做到了“应尽职责”或“应尽关注”。

CISSP

👥 考点 F：人员安全管理（降低内部风险，易考场景题）

核心是通过全生命周期安全控制，降低内部人员带来的安全风险，分 3 个阶段落实👇

🔖 入职阶段：

开展背景调查 + 签署保密协议（NDA），从源头规避风险

🔄 在职阶段（核心措施，必记）：

职责分离（Separation of duties）

工作轮换（Job rotation）

强制度假（Mandatory vacation）

须知原则（Need to Know）

最小特权原则（The Principle Of Least Privilege）

保密协议（NDA）

非竞争协议（Non-Complete Agreement）

全程监控（Monitoring）

🔚 离职阶段：

制定专项措施，规范解雇流程，规避离职人员带来的信息泄露等风险

备考小贴士

CISSP

本章节核心考点：

1.2 的安全治理定义、角色职责、安全计划四阶段、行业参考框架、“策略链”及人员安全管理。

建议结合实例记忆，重点区分“角色职责”“框架差异”“策略链层级”，避免死记硬背，后续会结合真题例题，帮大家巩固这些知识点哦～

✨ 关注我，持续更新 CISSP 全模块重点知识点，备考不迷路！

留言区可打卡学习，说说你当前备考到哪个模块啦👇

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：野猪与安全 耶度 耶度《CISSP重点知识点合集｜D1安全和风险管理（单元一）1.2 评估和应用安全治理原则》