CISM · Certified Information Security Manager · 終極備考 2026
終極 Study Notes
兩份 Notes 精華合併,無重複、全覆蓋四大 Domain。溫呢份就夠合格。
150考試題目
4h考試時間
450及格 /800
4Domains
30+練習題
20Flashcards
📊 四大 Domain 比重與考點
| Domain | 名稱 | 比重 | 約題數 | 核心考點 |
|---|---|---|---|---|
| D1 | Information Security Governance | 17% | ~25題 | 治理框架、Governance vs Management、CISO匯報、Policy層級、KGI/KPI/KRI |
| D2 | Information Risk Management | 20% | ~30題 | ALE/SLE/ARO公式、4T策略、控制分類、第三方風險、Risk Appetite vs Tolerance |
| D3 | Security Program Development | 33% | ~50題 | BCP/DRP/BIA、RTO/RPO/MTD/WRT、測試類型、備份策略、SDLC、成熟度 |
| D4 | Incident Management | 30% | ~45題 | NIST六步驟、Containment優先、取證、通報時限(GDPR/HIPAA)、PIR |
時間分配建議: D3 > D4 > D2 > D1 · D3+D4合計63%超過一半!
💡 考場實戰技巧
| 技巧 | 說明 |
|---|---|
| 沒有扣分 | 所有題目必須作答,不確定也要選,不能空白 |
| 每題 1.6 分鐘 | 遇難題先標記跳過,完成後再回頭 |
| 先讀關鍵詞 | FIRST / BEST / PRIMARILY / EXCEPT / LEAST — 決定答案方向 |
| 腦部傾倒 | 進場後在白板寫下:ALE公式、NIST六步、MTD≥RTO+WRT |
| 信第一直覺 | 除非發現明顯誤讀,否則不要輕易改答案 |
| 兩相似選項 | 選更偏業務導向、管理層視角的那個 |
| 工作經驗 | 需5年IS工作經驗,其中3年在安全管理崗位,涵蓋至少3個Domain |
🧠 CISM 答題心法 — 十大必勝原則
- 管理者視角 — 永遠以資訊安全管理者(ISM)身份思考,而非技術人員。選偏管理、策略、業務的答案。
- Business Alignment 最高原則 — 安全的存在是為了支援業務,而非阻礙業務。所有決策都要考慮業務影響。
- 先 Assess,後 Act — 遇到新情況、新系統、新問題,第一步永遠是評估(Assessment/BIA/Gap Analysis),而非立即行動。
- Senior Management Support 是基礎 — 高層管理承諾是所有安全計劃成功的最大前提。安全計劃失敗最常見原因 = 缺乏高層支持。
- Human 是最大弱點 — 員工培訓和安全意識比技術控制更根本。人為錯誤是最常見的安全失效原因。
- Third-Party 風險責任不可轉移 — 外包後責任仍在組織,需持續監控,合約必須包含安全要求和審計權。
- BIA 是 BCP/DRP 的基礎 — 沒有 BIA,不能正確確定 RTO、RPO 和優先次序。BIA → BCP → DRP。
- 合規 ≠ 安全 — 合規係最低標準,唔係安全目標。可以合規但不安全。Risk-based approach 優於 Compliance-based。
- Post-Incident Review = 改善,唔係問責 — Blameless Culture,目的係 Lessons Learned,唔係懲罰。
- 關鍵詞決定答案方向 — BEST / FIRST / PRIMARILY / EXCEPT / LEAST 完全改變答案,先識別再作答。
🎯 ISACA 思維模式 vs 一般技術思維
| 情境 | ❌ 技術思維(錯) | ✅ ISACA管理思維(正確) |
|---|---|---|
| 發現新漏洞 | 立即打補丁 | 先評估業務影響和風險,制定修補優先次序 |
| 員工違反安全政策 | 立即技術封鎖 | 了解情況,按程序處理,向管理層匯報 |
| 管理層要求繞過控制 | 直接拒絕 | 評估風險,提供替代方案,文件記錄,獲取書面批准 |
| 採購新系統 | 評估技術規格 | 進行安全評估,確保合同包含安全條款 |
| 發生安全事故 | 立即修復技術問題 | Containment → 評估影響 → 通知管理層 → 按 IRP 處理 |
| 新業務拓展 | 評估 IT 需求 | 進行 BIA 和風險評估,更新安全計劃 |
| 安全預算被削減 | 接受並減少控制 | 向管理層呈現風險,文件記錄,獲取正式批准接受殘餘風險 |
⚡ 考場最後衝刺提醒
- 考試前一晚睡足 7-8 小時,不要臨時抱佛腳
- 帶兩份有效身份證明(含相片的政府證件)
- 提早 30 分鐘到達考場辦理登記
- 進場後在白板「腦部傾倒」:ALE公式、NIST六步、MTD≥RTO+WRT、GDPR=72h、HIPAA=60d
- 每題平均 1.6 分鐘,遇難題先標記跳過
- 沒有扣分,所有題目必須作答
- 先讀題幹找關鍵詞,再看選項,不要被技術性答案迷惑
- 完成後留時間檢查標記的疑難題目
⚠ 關鍵詞答題技巧 — 必讀必記
CISM 考題中,以下關鍵詞會完全改變答案方向,做題前必須先識別這些字。
🎯 BEST
選最符合業務目標、管理層視角的選項。通常選有長遠業務價值,而非技術最強的答案。
1️⃣ FIRST / INITIALLY
選第一步應做的事。通常是「評估/了解情況/BIA」,而非立即行動或實施技術控制。
🎯 PRIMARILY
選最核心的目的。通常是「業務對齊」或「風險管理」,而非次要目標。
⭐ MOST IMPORTANT
選最優先考慮的因素。通常是業務影響、高層支持或業務需求。
❌ EXCEPT / NOT
反向題!選不屬於該類別的選項。要特別小心,容易因慣性而答錯。
⬇ LEAST
選最不有效的做法。同樣是反向題,選最弱、最不合適的選項。
⚡ IMMEDIATE
立即行動,緊急響應。事故場景選 Containment(遏制);其他場景選通知管理層。
📊 MOST LIKELY
選最常見、最合理的情境。避免極端或罕見的答案,選符合常理的選項。
📊 關鍵詞快速參考表
| 關鍵詞 | 答題方向 | 常見正確答案模式 | 常見陷阱 |
|---|---|---|---|
| BEST | 業務導向,管理層視角 | 業務對齊、風險管理、高層支持 | 技術最強但不符業務的答案 |
| FIRST | 第一步,評估優先 | BIA、Risk Assessment、Gap Analysis | 立即實施技術控制 |
| PRIMARILY | 最核心目的 | 業務目標、風險管理 | 次要好處(合規、成本節省) |
| MOST IMPORTANT | 最高優先級 | Management Support、業務影響 | 技術完整性、預算充足 |
| EXCEPT / NOT | 找不屬於的選項 | 選不合適的、不相關的 | 習慣性選正確的,忘記是反向題 |
| LEAST | 找最差的選項 | 選最弱、最不合適的 | 選了最好的選項 |
| IMMEDIATE | 緊急行動 | Containment(事故);通知管理層(其他) | 直接根除或恢復 |
📝 實戰例題解析
「發現勒索軟件,應 FIRST 做什麼?」▼
✅ 答案:Containment(隔離系統)
FIRST = 第一步。事故響應中圍堵永遠優先,阻止蔓延。注意:圍堵前先收集揮發性證據。
「哪個 BEST 衡量安全計劃有效性?」▼
✅ 答案:安全事件數量減少(唔係培訓完成率、唔係防火牆數量)
BEST = 業務影響指標。安全事件減少直接反映對業務的保護效果。
「MTD=24h,WRT=4h,RTO MOST LIKELY 最多是?」▼
✅ 答案:20小時
公式:MTD ≥ RTO + WRT → RTO ≤ 24 - 4 = 20小時。係高頻計算題!
「以下哪項 EXCEPT 是 IRP 的組成部分?」▼
✅ 答案:年度安全預算分配(唔係 IRP 的部分)
EXCEPT = 反向題,選不屬於的選項。預算屬於安全治理,不是事件響應計劃。
🏛 Domain 1 — Information Security Governance 17% · ~25題
⚖ Governance vs Management — 必考概念
| Governance(治理) | Management(管理) | |
|---|---|---|
| 關注點 | WHAT / WHY(方向與政策) | HOW / WHEN(執行與監控) |
| 負責人 | Board / 高層管理 / 董事會 | CISO / ISM / 部門經理 |
| 例子 | 制定安全政策、設定風險容忍度 | 執行安全控制、監控合規狀況 |
| 問責性 | Accountability(不可委託) | Responsibility(可委託) |
| 時間視角 | 長遠策略性 | 日常運營性 |
⚠ 必考陷阱:Accountability(問責)不能被委託,只有 Responsibility(執行責任)可以被委託給他人。問「誰最終負責」→ 永遠係 Senior Management / Board,唔係 CISO。
🏢 CISO 匯報層級與角色
Board(董事會)→ CEO / COO → CISO → ISM(資訊安全經理)
⚠ 重要:CISO 應匯報給 CEO / COO / Board,而非 CIO!若 CISO 向 CIO 匯報,安全需求可能被 IT 運營需求壓制,失去獨立性,形成利益衝突。
| 角色 | 主要職責 | 考試重點 |
|---|---|---|
| Board(董事會) | 最終問責,設定風險容忍度,監督治理 | 治理最高層 |
| Senior Management / CEO | 最終安全責任;接受殘餘風險;分配資源 | 最常考!最終責任 |
| CISO | 建議、協調、執行安全計劃;向 Management 彙報 | 顧問角色,唔係最終責任 |
| Data Owner | 數據分類;確定保護需求;批准訪問 | 業務部門,唔係 IT |
| Data Custodian | 技術層面數據保護實施;日常維護 | IT 執行角色 |
| ISM(資訊安全經理) | 執行安全計劃,日常管理 | CISO 的直屬 |
| Steering Committee | 跨部門治理監督;確保安全與業務對齊 | 治理機構,唔係技術顧問 |
📄 政策文件層級(由高至低)
1
Policy(政策)— 強制性
高層次原則性要求(WHAT)。由 Senior Management 制定和簽署批准。語言清晰通俗,無技術細節。例:「所有員工必須保護客戶數據」。Policy 最重要係 Management Support!
2
Standard(標準)— 強制性
具體量化規格(How Much)。支持 Policy 的強制要求,全組織統一執行。例:「密碼最少 12 字元,含大小寫數字符號」。
3
Procedure(程序)— 強制性
逐步操作步驟(HOW)。告訴員工如何執行。例:「離職員工帳戶停用的 Step-by-Step 程序(24小時內完成)」。
4
Guideline(指引)— ⚠ 建議性,非強制!
建議性最佳實踐,可彈性應用。例:「選擇密碼的建議方法和技巧」。考試陷阱:Guideline 唔係強制!Standard 才係強制。
5
Baseline(基線)— 最低標準
最低可接受的安全配置標準。例:「所有系統必須符合 CIS Benchmark Level 1」。
📊 安全策略核心組成元素(Business Case)
| 元素 | 說明 | 為何重要 |
|---|---|---|
| Business Objectives Alignment | 安全策略與業務目標對齊 | 沒有業務支持,安全計劃無法推進 |
| Current State Assessment | 現況評估 / Gap Analysis | 了解現在在哪裡,才能規劃去哪裡 |
| Risk Appetite | 組織願意接受的風險水平 | 由 Board 定義,是所有決策的基礎 |
| Regulatory Requirements | 適用法規(GDPR、PCI DSS 等) | 合規是最低要求,必須滿足 |
| Resource Requirements | 人員、預算、技術需求 | 無資源就無法執行 |
| Roadmap | 實施時間表和里程碑 | 讓 Management 看到計劃可行性 |
| ROI / Business Case | 安全投資回報,用財務語言 | Management 語言是財務,不是技術 |
📈 安全指標三種類型(KGI / KPI / KRI)
| 指標 | 全稱 | 作用 | 時間視角 | 例子 |
|---|---|---|---|---|
| KGI | Key Goal Indicator | 衡量目標達成度 | 過去(回顧) | 年度安全目標完成率、合規認證達成率 |
| KPI | Key Performance Indicator | 衡量現有執行效能 | 當下/過去(回顧) | MTTR、MTTD、合規率、漏洞修補時間 |
| KRI | Key Risk Indicator | 預測未來潛在風險(早期預警) | 未來(前瞻) | 未修補高危漏洞數量、特權帳戶增長率 |
考題口訣:問「哪個指標最能幫助管理層預防未來風險」→ 選 KRI。問「衡量計劃執行效率」→ 選 KPI。問「目標達到了嗎」→ 選 KGI。培訓完成率 = KPI(參與率),唔係培訓效果。
📋 Domain 1 八大任務(ISACA 官方)
- 建立並維護資訊安全治理框架(Governance Framework)
- 制定並維護資訊安全策略(Information Security Strategy)
- 將資訊安全治理整合至企業治理(Corporate Governance)
- 建立並維護資訊安全政策(Security Policies)
- 為安全投資建立業務論證(Business Cases)
- 識別並管理內外部影響因素(Internal & External Influences)
- 獲取高層管理承諾與支持(Senior Management Commitment)
- 定義並溝通角色與職責(Roles & Responsibilities)
🎯 D1 考試必背 12 點
- 最終安全責任 = Senior Management,永遠唔係 CISO
- Accountability(問責)唔能委託,Responsibility(執行)可以委託
- Data Owner = 業務部門;Data Custodian = IT 執行
- CISO 應向 CEO/COO/Board 匯報,而非 CIO(避免利益衝突)
- KGI = 目標達成;KPI = 執行效能(回顧);KRI = 風險預警(前瞻)
- Policy 最重要係有 Management Support(支持和簽署)
- Guideline = 建議性,唔係強制(Standard 才係強制)
- 安全策略必須 align 業務策略,唔係獨立存在
- Risk Appetite 由 Board 定義,唔係 IT 或 CISO
- 安全計劃成功最重要因素 = Senior Management Support
- Steering Committee = 跨部門治理機構,唔係技術顧問
- 培訓效果量度 = 行為改變(Phishing點擊率),唔係完成率
⚖ Domain 2 — Information Risk Management 20% · ~30題
📐 必記公式(全部背熟)
Risk = Threat × Vulnerability × Impact(風險 = 威脅 × 漏洞 × 影響)
SLE = Asset Value × EF(單次損失 = 資產價值 × 暴露因子 0-100%)
ALE = SLE × ARO(年度預期損失 = 單次損失 × 年度發生率)
ROI of Control = (ALE_before − ALE_after − Cost_of_Control) ÷ Cost_of_Control × 100%
Residual Risk = Inherent Risk − Risk Reduction from Controls
計算例子:
伺服器 Asset Value = $200,000 | EF = 30% | ARO = 0.5次/年
SLE = $200,000 × 30% = $60,000
ALE = $60,000 × 0.5 = $30,000(控制投資上限)
若控制成本 $5,000,控制後 ALE = $3,000
ROI = ($30,000 − $3,000 − $5,000) ÷ $5,000 = 440%(值得投資)
伺服器 Asset Value = $200,000 | EF = 30% | ARO = 0.5次/年
SLE = $200,000 × 30% = $60,000
ALE = $60,000 × 0.5 = $30,000(控制投資上限)
若控制成本 $5,000,控制後 ALE = $3,000
ROI = ($30,000 − $3,000 − $5,000) ÷ $5,000 = 440%(值得投資)
🛡 四大風險處理選項(4T)
| 選項 | 說明 | 適用條件 | 例子 |
|---|---|---|---|
| Treat / Mitigate(減輕) | 實施控制降低風險 | 風險較高,有效控制存在且成本合理 | 安裝防火牆、加密數據 |
| Transfer(轉移) | 轉移財務損失給第三方 | 風險難消除,可外包財務後果 | 購買網絡保險、外包服務 |
| Tolerate / Accept(接受) | 接受殘餘風險 | 控制成本 > 風險損失,或風險低於容忍度 | 接受低概率低影響事件 |
| Terminate / Avoid(迴避) | 停止高風險活動 | 風險極高,無法接受,業務可放棄 | 放棄高風險業務項目 |
⚠ Transfer 注意:保險/外包只能轉移財務損失,無法轉移法律責任!供應商出事,組織仍須對客戶和監管機構負最終責任。Accept 殘餘風險必須由 Senior Management 正式批准並記錄。
📊 定量 vs 定性風險評估
Qualitative(定性)
- 主觀評分(高/中/低矩陣)
- 快速,適用資料不足時
- 主觀性強,難以比較
- 輸出:Risk Heat Map
- 適合:初步評估、小型組織
Quantitative(定量)
- 數字計算(ALE, SLE, ARO)
- 客觀,可計算 ROI,財務語言
- 需大量歷史數據,耗時
- 輸出:具體金額(ALE)
- 適合:財務決策、大型組織
考試陷阱:定量唔一定比定性好!選擇取決於可用數據質量。數據不足時,定性分析反而更合適。
🔧 控制分類(雙維度)
| 功能分類 | 時序 | 說明 | 例子 |
|---|---|---|---|
| Preventive(預防) | 事前 | 阻止事件發生 | 防火牆、加密、訪問控制、背景調查 |
| Detective(偵測) | 事中 | 偵測事件發生 | IDS/IPS、SIEM、日誌審計、CCTV |
| Corrective(糾正) | 事後 | 修復損害 | 備份恢復、Patch Management |
| Deterrent(威懾) | 事前 | 威懾潛在攻擊者 | 警告標誌、可見攝像頭、法律聲明 |
| Compensating(補償) | 任何 | 補償主控制不足 | 無法修補系統時加強監控 |
| Recovery(恢復) | 事後 | 事後恢復正常 | DRP、BCP、HA 架構 |
| 實施分類 | 例子 |
|---|---|
| Administrative / Managerial | 政策、程序、培訓、背景調查、職責分離 |
| Technical / Logical | 防火牆、加密、MFA、IDS、訪問控制系統 |
| Physical / Environmental | 門禁卡、保險箱、CCTV、消防系統、UPS |
🔍 風險相關核心概念
| 概念 | 定義 | 考試重點 |
|---|---|---|
| Risk Appetite | 管理層願意接受的風險水平(主動決策) | 由 Board 定義,是策略決策 |
| Risk Tolerance | 風險可接受的操作偏差範圍(操作邊界) | Appetite 的具體操作限制 |
| Inherent Risk | 控制前的原始風險水平 | Inherent > Residual |
| Residual Risk | 控制後的剩餘風險 | 必須由 Senior Management 正式接受 |
| Control Risk | 控制措施本身失效的風險 | Security Team 管理 |
🔗 第三方風險管理
核心原則:外判工作,唔外判責任!組織對客戶和監管機構的法律責任唔能轉移,即使供應商數據洩露,組織仍須負最終責任。
| 管控手段 | 說明 |
|---|---|
| 合約條款 | SLA、安全要求、Right to Audit(審計權)、通報義務 |
| Due Diligence | 合作前盡職調查(財務穩定性、安全成熟度、合規認證) |
| 持續監控 | 定期安全評估、SOC 2 報告審查 |
| BAA(HIPAA)/ DPA(GDPR) | 處理受保護數據時必須簽署的協議 |
| Fourth-Party Risk | 供應商的供應商(子供應商)帶來的風險 |
🎯 D2 考試必背 10 點
- ALE = SLE × ARO;SLE = Asset Value × EF(必背公式)
- 接受 Residual Risk = Senior Management 正式批准並記錄
- 外判工作,唔外判責任(極高頻考點)
- Risk Appetite 由 Board 定義,Tolerance 係操作邊界
- 控制成本 < ALE 降低量(成本效益原則)
- 定量唔一定比定性好,視乎數據質量
- 風險評估係持續循環,唔係一次性項目
- Compensating Control = 主控制不可行時的替代措施
- Risk Register 係動態文件,需定期更新
- Transfer 風險(保險)只係轉移財務損失,唔消除風險本身
🛠 Domain 3 — Security Program Development & Management 33% · ~50題 ⭐最重
⚠ D3 佔33%,約50題!BCP、BIA、RTO/RPO/MTD/WRT、測試類型、備份策略係高頻必考,必須深入掌握。
🔄 BCP vs DRP vs IRP — 必考三角
| 計劃 | 重點 | 觸發條件 | 負責人 | 範圍 |
|---|---|---|---|---|
| BCP | 業務整體持續運作 | 重大中斷事件 | 業務主管 / BCM | 最廣:人員、流程、設施、IT |
| DRP | IT 系統和數據恢復 | 災難性 IT 故障 | IT 部門 / ISM | IT 系統(DRP ⊂ BCP) |
| IRP | 安全事故的技術響應 | 任何安全事件 | CSIRT / ISM | IT 安全事件(IRP ⊂ BCP) |
BIA → BCP → DRP(必須先做 BIA,才能制定 BCP 和 DRP!)
記憶法:BCP = 整個業務能否繼續?(最廣)DRP = IT 系統能否恢復?(BCP 的子集)IRP = 安全事故如何響應?
📍 BIA — 業務影響分析(BCP 最重要的第一步)
BIA 係 BCP 的靈魂。冇 BIA,你唔知道保護什麼、恢復什麼、按什麼優先次序恢復。
| 術語 | 全稱 | 含義 | 決定什麼 |
|---|---|---|---|
| RTO | Recovery Time Objective | 系統必須恢復運作的目標時間(停機時間) | DR 站點類型(RTO越短→越需要Hot Site) |
| RPO | Recovery Point Objective | 可接受的最大數據損失時間點 | 備份頻率(RPO=1h → 每小時備份) |
| MTD | Maximum Tolerable Downtime | 業務可忍受的最長停機時間(硬性上限) | MTD ≥ RTO + WRT |
| WRT | Work Recovery Time | 恢復工作所需時間(驗證、測試、重啟) | 計算 RTO 上限 |
🧠 關鍵公式與記憶法
MTD ≥ RTO + WRT(硬性上限)
例題:MTD = 24h,WRT = 4h → RTO ≤ 24 - 4 = 20小時
RTO:「我最多可以停機幾耐?」→ 越短 → 越需要 Hot Site
RPO:「我最多可以丟失幾多數據?」→ 決定備份頻率
RTO短+RPO短 = Hot Site + 實時備份(成本最高)
RTO:「我最多可以停機幾耐?」→ 越短 → 越需要 Hot Site
RPO:「我最多可以丟失幾多數據?」→ 決定備份頻率
RTO短+RPO短 = Hot Site + 實時備份(成本最高)
🧪 BCP/DR 測試類型(超高頻考點)
| 測試類型 | 方法 | 侵入度 | 特點 |
|---|---|---|---|
| Document Review | 審查計劃文件完整性 | 最低 | 零風險,快速,但不能驗證實際執行 |
| Tabletop Exercise | 關鍵人員討論情景,口頭演練 | 低 | 最常用;發現程序缺陷;不測試真實系統 |
| Walkthrough | 逐步審閱和演練 | 中低 | 比Tabletop更詳細;仍不涉及真實系統 |
| Simulation | 模擬真實場景,不切換系統 | 中 | 接近真實;不中斷業務 |
| Parallel Test ⭐ | 同時運行主系統和備用系統 | 中高 | 最有效 + 最低業務風險;驗證 DR 能力不停主業務 |
| Full Interruption | 完全切換至備用系統,停止主系統 | 最高 | 最全面最真實;但主業務中斷風險最高 |
⭐ 最高頻考題:「最有效且最低業務風險」= Parallel Test(唔係 Full Interruption)
「效果最全面」= Full Interruption(但風險最高)
「最常用、最實際」= Tabletop Exercise
「效果最全面」= Full Interruption(但風險最高)
「最常用、最實際」= Tabletop Exercise
🏢 恢復站點類型
| 站點類型 | 準備狀態 | RTO | 成本 | 適用 |
|---|---|---|---|---|
| Hot Site | 完全鏡像,即時可用,數據實時同步 | 分鐘級 | 最高 | 關鍵任務系統,RTO < 4小時 |
| Warm Site | 基礎設施就緒,需要恢復數據 | 數小時至一天 | 中等 | 重要系統,RTO 4-24小時 |
| Cold Site | 空間和基礎電力,無設備 | 數天至數周 | 最低 | 非關鍵系統,RTO > 24小時 |
| Mobile Site | 可移動預配置設備車輛 | 數小時 | 中等 | 地理分散、靈活部署 |
| Cloud DR | 雲端備份恢復,彈性擴展 | 視乎配置 | 按使用付費 | 現代組織,降低資本支出 |
| Reciprocal Agreement ✗ | 與合作公司互換使用設施 | 不確定 | 最低但不可靠 | 最不可靠,不建議 |
Reciprocal Agreement 陷阱:當你需要用對方時,對方可能正面對同一場災難;容量可能不足以支持兩家公司。「最不可靠的 DR 方案」= Reciprocal Agreement。
💾 備份策略
| 備份類型 | 備份內容 | 空間 | 備份速度 | 恢復速度 | 恢復需要 |
|---|---|---|---|---|---|
| Full Backup | 所有數據完整備份 | 最大 | 最慢 | 最快 | 只需最新 Full |
| Differential | 自上次 Full 以來的所有變更 | 中等 | 中等 | 中等 | Full + 最新 Differential |
| Incremental | 自上次任何備份以來的變更 | 最小 | 最快 | 最慢 | Full + 所有 Incremental |
🧠 備份口訣
Full=大慢快 · Diff=中中中 · Inc=小快慢
3-2-1 法則:3份副本 + 2種不同媒介 + 1份離線異地儲存
Incremental恢復最慢:需要 Full + 全部 Incremental 一起拼圖
Incremental恢復最慢:需要 Full + 全部 Incremental 一起拼圖
📂 資產分類四個級別
| 級別 | 名稱 | 說明 | 例子 |
|---|---|---|---|
| 🔴 | Restricted(限制) | 最高機密,洩露造成嚴重損害 | 國家機密、核心商業機密、密碼 |
| 🟠 | Confidential(機密) | 敏感業務資訊,僅限授權人員 | 財務數據、客戶個人資料、合約 |
| 🟡 | Internal(內部) | 一般內部資訊,不對外公開 | 內部政策、員工手冊 |
| 🟢 | Public(公開) | 可公開發布的資訊 | 公司網站、公開年報、行銷材料 |
注意:資產分類由資產擁有者(Asset/Data Owner)負責,而非 IT 部門或安全團隊。
🔄 安全計劃五大生命周期
1
Planning(規劃)
了解業務需求、定義範圍、獲取高層支持、資源規劃、BIA
2
Design(設計)
資產分類、控制選擇、政策制定、框架對齊、Threat Modeling
3
Implementation(實施)
部署技術控制、員工培訓、流程整合、供應商管理
4
Operation & Maintenance
日常監控、事件響應、合規審查、漏洞管理、Patch Management
5
Continuous Improvement
定期評估、更新政策、應對新威脅、成熟度提升
🎓 安全意識、培訓與教育(三層次)
| 層次 | 對象 | 目標 | 形式 | 衡量方式 |
|---|---|---|---|---|
| Awareness(意識) | 所有員工 | 知道安全的重要性 | 海報、提示郵件、視頻 | Phishing點擊率↓、事件報告↑ |
| Training(培訓) | 特定崗位 | 掌握具體安全技能 | 課程、演練、工作坊 | 前後知識測試、行為改變 |
| Education(教育) | 安全專業人員 | 深入理解、職業發展 | 認證課程、學位 | 認證取得、能力評估 |
⚠ 考試陷阱:培訓完成率 = 參與指標(KPI),唔係效果指標!效果指標 = Phishing點擊率下降、人為錯誤引起事件減少。
📈 安全計劃成熟度模型
| Level | 名稱 | 特徵 | 下一步 |
|---|---|---|---|
| 1 | Initial(初始) | 臨時、混亂、無文件、英雄主義 | 文件化基本流程 |
| 2 | Repeatable(可重複) | 有基本流程但不一致,依賴個人記憶 | 標準化跨組織流程 |
| 3 | Defined(定義) | 標準化流程,全組織一致執行 | 量化管理指標 |
| 4 | Quantitative(量化) | 可量化管理,數據驅動決策 | 持續優化 |
| 5 | Optimizing(優化) | 持續改善,以創新應對新威脅 | 維持領先 |
🎯 D3 考試必背 12 點
- BIA 係 BCP 的第一步,唔做 BIA 就唔知保護和恢復什麼
- BCP ⊃ DRP ⊃ IRP,BCP 範圍最廣
- RTO = 停機時間目標;RPO = 數據損失目標;MTD = 最長停機上限
- MTD ≥ RTO + WRT(必背公式!)
- 「最有效 + 最低風險」= Parallel Test;「最有效」= Full Interruption
- Tabletop Exercise 係最常用的 BCP 測試
- Reciprocal Agreement = 最不可靠的 DR 方案
- Incremental = 省空間、快備份、但恢復最慢(Full + 所有Inc)
- Full Backup = 大空間、慢備份、恢復最快(一個檔案搞定)
- 資產分類由 Asset/Data Owner 決定,唔係 IT
- 合規 ≠ 安全,合規係最低標準
- 培訓效果量度 = 行為改變(Phishing點擊率),唔係完成率
🚨 Domain 4 — Incident Management 30% · ~45題
🔄 事件響應六步驟(NIST SP 800-61)— 必記順序
1
Preparation(準備)
建立 IRP、訓練 CSIRT、準備工具、制定通訊計劃、定期演練。準備越充分,響應越有效。
2
Detection & Analysis(偵測分析)
警報分類、確定範圍、評估嚴重性、確認是否為真實事故。Triage 優先排序。
3
Containment(遏制)— ⚠ 第一優先!
短期圍堵:即時隔離受影響系統,阻止蔓延。先收集揮發性證據(記憶體)再隔離!
長期圍堵:業務可繼續運作的持久措施。
4
Eradication(根除)
消除威脅根源(惡意軟件、後門)、修補漏洞、強化控制。根除完成後才能恢復!
5
Recovery(恢復)
恢復系統至正常運作。從乾淨備份恢復。持續監控確認威脅完全移除。漸進式恢復。
6
Lessons Learned(汲取教訓)
事件後 24-48 小時內進行 PIR。分析根本原因。改善 IRP 和政策。Blameless 文化,唔係問責!
🧠 NIST 順序口訣
準 → 偵 → 圍 → 根 → 恢 → 學
核心原則:圍堵永遠先於根除,根除永遠先於恢復。唔可以跳步驟(除非 Management 知情批准)。
⏱ 通報時限(必背)
| 法規/情況 | 通報對象 | 時限 | 觸發條件 |
|---|---|---|---|
| GDPR | 監管機構(DPA) | 72小時 | 個人數據洩露 |
| HIPAA | 受影響個人 | 60天 | PHI 洩露(500人以上同時通報 HHS) |
| 法律部門 | 內部法律顧問 | 盡早 | 有任何法律責任可能性 |
| CSIRT | 內部響應團隊 | 即時 | 發現事件後立即 |
| Senior Management | C-Suite | 依嚴重性,重大事件即時 | 業務影響重大事件 |
| 媒體 / 公眾 | 公關 | 謹慎,通常最後 | 需公開披露時 |
必背:GDPR = 72小時;HIPAA = 60天。兩者常在考試中混淆!
🔍 數字取證
| 原則 | 說明 |
|---|---|
| Chain of Custody(證據保管鏈) | 記錄誰收集什麼、何時、如何。確保證據在法律程序中可被採納。鏈斷裂 = 證據可能在法庭被推翻 |
| 揮發性優先 | 按揮發性由高到低:CPU緩存/記憶體 → 網絡連接 → 執行進程 → 臨時文件 → 硬碟 |
| 唔修改原始證據 | 使用 Write Blocker 複製,只在副本上工作。Hash驗證完整性(MD5/SHA-256) |
⚠ 關機 = 永久失去記憶體數據!必須先收集揮發性證據,才能關機或隔離系統。
🚨 常見攻擊類型與響應
| 攻擊類型 | 特徵 | 響應重點 |
|---|---|---|
| APT | 長期潛伏(月/年)、針對特定目標、高度複雜 | 深度取證,找出所有後門;謹慎 Containment |
| Ransomware | 加密數據勒索,快速蔓延 | 即時隔離;從備份恢復;不建議付贖金 |
| Phishing / Spear Phishing | 社交工程;Spear = 針對特定人員 | 即時更改憑據;調查蔓延範圍;培訓 |
| Insider Threat | 內部人員(惡意或疏忽) | 審計日誌;Least Privilege;HR 介入 |
| DDoS | 大量請求癱瘓服務 | 流量清洗;切換 IP;聯絡 ISP;CDN |
| Supply Chain Attack | 通過供應商或軟件更新滲透 | 供應商風險評估;軟件完整性驗證 |
| Zero-Day | 未知漏洞,暫無補丁 | Compensating Controls;加強監控;虛擬修補 |
📋 事件定義和分層
| 術語 | 定義 | 例子 | 需要響應? |
|---|---|---|---|
| Event(事件) | 任何可觀察的系統狀態,中性 | 用戶登錄成功、防火牆攔截請求 | 不一定 |
| Alert(警報) | 需要關注的事件,可能是誤報 | IDS 觸發警報 | 需要調查 |
| Incident(事故) | 違反安全政策或威脅 CIA | 惡意軟件感染、未授權訪問 | 必須響應 |
| Breach(違規) | 已確認的未授權數據訪問或洩露 | 客戶個人數據被盜 | 響應 + 通報義務 |
🎯 D4 考試必背 10 點
- 事件響應第一步 = Containment(遏制),唔係根除、唔係恢復
- 遏制前先收集揮發性證據(記憶體),關機 = 永久失去
- NIST 順序唔可以跳步:遏制 → 根除 → 恢復
- Chain of Custody = 確保證據在法律程序中可用
- GDPR = 72小時通報監管機構(個人數據洩露)
- HIPAA = 60天通報受影響個人
- 法律部門要盡早介入,有法律責任可能性就立即通知
- PIR 目的 = 改善,唔係問責;Blameless 文化
- 不建議付 Ransomware 贖金(唔保證恢復,鼓勵更多攻擊)
- CISO 溝通風險,Management 做最終決定
🔄 易混淆概念完整對照表
| 概念 A | 概念 B | 關鍵區別 |
|---|---|---|
| Risk Appetite | Risk Tolerance | Appetite = 管理層願意接受的風險水平(主動策略決策);Tolerance = 可接受偏差範圍(操作邊界) |
| Threat(威脅) | Vulnerability(漏洞) | Threat = 潛在危害的來源(黑客、自然災害);Vulnerability = 系統的弱點(未修補漏洞) |
| Governance(治理) | Management(管理) | Governance = 方向/政策(WHAT/WHY);Management = 執行/監控(HOW/WHEN) |
| Accountability | Responsibility | Accountability = 最終問責(不可委託);Responsibility = 執行責任(可委託) |
| BCP | DRP | BCP = 業務整體持續運作(人員、流程、設施);DRP = IT 系統恢復(DRP ⊂ BCP) |
| IRP | BCP | IRP = 安全事故的技術響應(IRP ⊂ BCP);BCP = 重大中斷時的業務持續 |
| Inherent Risk | Residual Risk | Inherent = 控制前的原始風險;Residual = 控制後的剩餘風險(需SM正式接受) |
| KGI | KPI | KGI = 目標達成度(有沒達到目標);KPI = 執行效能(做得多好) |
| KPI | KRI | KPI = 量度現有執行效能(回顧性 Lagging);KRI = 預測未來潛在風險(前瞻 Leading) |
| RTO | RPO | RTO = 系統必須恢復運作的時間目標;RPO = 可接受的數據損失時間點(決定備份頻率) |
| MTD | RTO | MTD = 最長可容忍停機時間(硬性上限);RTO = 恢復目標(MTD ≥ RTO + WRT) |
| Policy | Standard | Policy = 高層次原則性要求(WHAT,強制);Standard = 具體量化規格(HOW MUCH,強制) |
| Standard | Guideline | Standard = 強制性具體要求;Guideline = 建議性最佳實踐(非強制!) |
| Data Owner | Data Custodian | Owner = 資產分類和保護決策(業務部門);Custodian = 技術性保管和實施(IT 部門) |
| Hot Site | Cold Site | Hot = 即時可用,成本最高;Cold = 需全面安裝,成本最低;Warm = 介乎兩者 |
| Full Backup | Incremental Backup | Full = 全部數據,恢復最快,空間最大;Incremental = 只備份變更,備份最快但恢復最慢 |
| Mitigate(減輕) | Avoid(迴避) | Mitigate = 降低風險但繼續活動;Avoid = 停止高風險活動 |
| Transfer(轉移) | Accept(接受) | Transfer = 轉移給第三方(保險/外包),責任仍在;Accept = 接受風險,不採取行動 |
| Parallel Test | Full Interruption | Parallel = 最有效+最低風險(主業務不停);Full Interruption = 最全面但主業務中斷 |
| Quantitative | Qualitative | Quantitative = 數字計算(ALE),需大量數據;Qualitative = 主觀評分(高/中/低),快速靈活 |
| CISO 匯報 CEO | CISO 匯報 CIO | 匯報 CEO = 正確,保持獨立性;匯報 CIO = 錯誤,安全需求被 IT 運營壓制 |
🪤 18 大常見錯誤陷阱清單
| # | 陷阱 | 錯誤想法 | 正確理解 |
|---|---|---|---|
| 01 | CISO 最終負責 | 「CISO 係安全負責人,所以最終負責」 | 最終問責永遠係 Senior Management,CISO 係顧問和執行 |
| 02 | 第一步就實施技術控制 | 「有問題馬上安裝防火牆」 | 第一步永遠係評估(BIA、Risk Assessment、Gap Analysis) |
| 03 | 事件響應先根除 | 「先消滅病毒,再隔離系統」 | Containment(遏制)永遠係第一步,先止血再根除 |
| 04 | 外判 = 外判責任 | 「供應商出事,係佢哋的責任」 | 外判工作,唔外判責任,法律責任仍在你的組織 |
| 05 | 合規 = 安全 | 「通過 PCI DSS 審計就安全了」 | 合規係最低標準,唔係安全目標 |
| 06 | Full Interruption 最佳 | 「Full Interruption 最徹底,所以最好」 | 「最有效 + 最低業務風險」= Parallel Test |
| 07 | Reciprocal Agreement 省錢好 | 「互換協議成本最低,係好選擇」 | Reciprocal Agreement 係最不可靠的 DR 方案 |
| 08 | Incremental 備份恢復快 | 「Incremental 省空間,所以好用」 | Incremental 恢復最慢(需要 Full + 所有 Incremental) |
| 09 | 定量分析一定更好 | 「有數字就更準確,所以定量更好」 | 數據不足時定性更合適,視乎情況 |
| 10 | PIR 係問責機制 | 「PIR 要找出誰出錯,誰負責」 | PIR 目的係改善,唔係問責。Blameless 文化 |
| 11 | RTO = RPO | 「RTO 同 RPO 都係恢復時間」 | RTO = 停機時間;RPO = 數據損失(完全唔同!) |
| 12 | KPI 用來預警風險 | 「KPI 可以預警風險上升」 | KRI 係預警(Leading);KPI 係成效(Lagging) |
| 13 | BCP = DRP | 「BCP 同 DRP 係同一件事」 | BCP ⊃ DRP,BCP 更廣(業務);DRP 係 IT 系統 |
| 14 | 關機前唔需要取證 | 「快點關機隔離,安全第一」 | 關機前必須先收集揮發性證據(記憶體) |
| 15 | 培訓完成率 = 培訓效果 | 「100% 員工完成培訓,效果很好」 | 完成率係參與指標,唔係效果指標 |
| 16 | Data Owner = IT 人員 | 「Data Owner 係 DBA 或 IT Manager」 | Data Owner = 業務部門;Data Custodian = IT |
| 17 | Guideline 係強制的 | 「Guideline 要強制遵守」 | Guideline 係建議性,Standard 才係強制 |
| 18 | Accountability 可委託 | 「可以把問責責任委託給 CISO」 | Accountability 不可委託!只有 Responsibility 可委託 |
📚 核心安全框架全覽
| 框架/標準 | 來源 | 核心內容 | CISM 相關 | 可認證 |
|---|---|---|---|---|
| ISO/IEC 27001 | ISO | ISMS 建立標準,PDCA 循環,Annex A 93項控制 | D1, D3 | ✅ |
| ISO/IEC 27002 | ISO | 安全控制實施指南(27001 的實施指引) | D3 | ❌ |
| NIST CSF 2.0 | NIST(美國) | Govern-Identify-Protect-Detect-Respond-Recover | D1, D2, D4 | ❌ |
| NIST SP 800-53 | NIST(美國) | 聯邦政府資訊系統安全控制目錄(1000+控制) | D3 | ❌ |
| COBIT 2019 | ISACA | IT 治理和管理框架,40個管理目標,5大原則 | D1 | ❌ |
| CIS Controls v8 | CIS | 18個關鍵安全控制,優先次序清晰,中小企業友好 | D3 | ❌ |
| PCI DSS v4.0 | PCI SSC | 12項要求,支付卡數據保護 | D2, D3 | ✅ QSA |
| SOC 2 | AICPA | Trust Services Criteria:Security、Availability等5項 | D2, D3 | Type I/II |
🔍 NIST CSF 2.0 六大功能
| 功能 | 目的 | 主要活動 |
|---|---|---|
| Govern(治理) | 建立網絡安全治理(CSF 2.0 新增) | 政策、角色、監督、風險管理策略 |
| Identify(識別) | 了解組織環境和風險 | 資產管理、業務環境、風險評估 |
| Protect(保護) | 實施保護措施 | 訪問控制、培訓、數據安全、技術保護 |
| Detect(偵測) | 識別安全事件 | 異常檢測、持續監控 |
| Respond(響應) | 採取行動應對事件 | 響應計劃、溝通、分析、緩解 |
| Recover(恢復) | 恢復受影響服務 | 恢復計劃、改善、溝通 |
📖 重要法規要點
| 法規 | 關鍵要點 | 通報時限 | 罰款 |
|---|---|---|---|
| GDPR | EU 個人數據保護;DPO 要求;數據主體權利(訪問、刪除、可攜帶) | 72小時(向監管機構) | 最高 €2000萬 或全球營業額 4% |
| HIPAA | 美國醫療數據保護;PHI 保護;BAA 要求 | 60天(向受影響個人) | 視嚴重性而定 |
| PCI DSS v4.0 | 12項要求;持卡人數據保護;QSA 年度審計 | N/A(合規持續性) | 罰款+撤銷信用卡處理資格 |
| SOC 2 Type II | 一段時期(6-12個月)的運作有效性;比 Type I 更有價值 | N/A | N/A |
ISO 27001 PDCA:Plan(建立ISMS)→ Do(實施控制)→ Check(監控審查)→ Act(持續改進)
📖 CISM 完整術語庫
ALE
Annual Loss Expectancy:年度預期損失 = SLE × ARO。控制投資上限。
APT
Advanced Persistent Threat:長期潛伏、針對特定目標的複雜攻擊。
ARO
Annual Rate of Occurrence:年度事件發生率(0.5 = 每兩年一次)。
BCP
Business Continuity Plan:業務整體持續運作計劃(包含 DRP 和 IRP)。
BIA
Business Impact Analysis:業務影響分析。BCP/DRP 的第一步。識別 RTO/RPO/MTD。
CASB
Cloud Access Security Broker:監控和控制雲端服務使用的安全工具。
Chain of Custody
證據保管鏈:確保數字證據在法律程序中可被採納的完整記錄。
CISO
Chief Information Security Officer:顧問和執行角色,應向 CEO/COO/Board 匯報,而非 CIO。
CMM
Capability Maturity Model:能力成熟度模型(Level 1-5)。
COBIT
Control Objectives for IT:ISACA 的 IT 治理和管理框架,5大原則,40個管理目標。
Cold Site
冷站點:僅有空間和基礎設施,無設備。RTO 最長,成本最低。
Compensating Control
補償控制:主控制無法實施時的替代措施。
CSIRT
Computer Security Incident Response Team:跨部門事件響應團隊。
Data Custodian
數據保管人:IT 部門,負責技術保護實施。執行角色,非決策者。
Data Owner
數據所有者:業務部門,負責數據分類和保護需求決策。
DPO
Data Protection Officer:GDPR 要求某些組織任命的獨立數據保護官。
DRP
Disaster Recovery Plan:IT 系統災難恢復計劃,係 BCP 的子集。
EF
Exposure Factor(0-100%):威脅對資產造成損害的百分比。用於計算 SLE。
GDPR
General Data Protection Regulation:EU 數據保護法規。個人數據洩露後 72小時通報監管機構。
Hot Site
熱站點:完全鏡像,即時可用,數據實時同步。RTO 最短,成本最高。
Inherent Risk
固有風險:未實施任何控制時的原始風險水平。Inherent > Residual。
IRP
Incident Response Plan:安全事件響應計劃,係 BCP 的子集。
KGI
Key Goal Indicator:量度目標達成度的回顧性指標(例:年度安全目標完成率)。
KPI
Key Performance Indicator:量度現有執行效能的回顧性(Lagging)指標。
KRI
Key Risk Indicator:提供風險上升早期預警的前瞻性(Leading)指標。
Least Privilege
最小權限:只給完成工作所需的最小訪問權限。
MTBF
Mean Time Between Failures:平均故障間隔時間,越長越好。
MTD
Maximum Tolerable Downtime:最大可容忍停機時間(硬性上限)。MTD ≥ RTO + WRT。
MTTD
Mean Time to Detect:平均偵測時間,越短越好。
MTTR
Mean Time to Repair:平均修復時間,越短越好。
Parallel Test
並行測試:同時運行主系統和備用系統。最有效+最低業務風險的 DR 測試。
PIR
Post-Incident Review:事後審查。Blameless 文化,目的是改善,唔係問責。
RACI
Responsible, Accountable, Consulted, Informed:責任分配矩陣。
Reciprocal Agreement
互惠協議:與另一組織互換使用 DR 設施。最不可靠的 DR 方案,不建議。
Residual Risk
殘餘風險:實施控制後的剩餘風險。必須由 Senior Management 正式接受並記錄。
Risk Appetite
風險胃口:管理層願意為業務目標承受的風險量。由 Board 定義,主動決策。
Risk Register
風險登記冊:記錄風險、評估結果、應對策略的動態文件,需定期更新。
Risk Tolerance
風險容忍度:Risk Appetite 的操作邊界(可接受的偏差範圍)。
RPO
Recovery Point Objective:最大可接受數據損失(決定備份頻率)。
RTO
Recovery Time Objective:系統必須恢復運作的時間目標(決定 DR 站點類型)。
Separation of Duties
職責分離:敏感任務需要多人配合,防止單人濫用權力。
SLE
Single Loss Expectancy:單次損失預期 = Asset Value × EF。
SOC 2 Type II
服務組織控制報告:評估一段時期(6-12個月)的安全控制運作有效性。比 Type I 更有價值。
Tabletop Exercise
桌面演練:最常用的 BCP 測試,低侵入性,口頭演練情景。
Warm Site
溫站點:基礎設施就緒但需數據恢復。介乎 Hot 和 Cold 之間。
WRT
Work Recovery Time:恢復工作所需時間(驗證、測試)。MTD ≥ RTO + WRT。
Zero Trust
零信任:「Never Trust, Always Verify」,不因網絡位置隱性信任任何請求。
📇 Flashcards — 點擊翻轉查看答案
🧪 綜合練習題 — 模擬真實 CISM 考試風格
點擊選項即時查看答案與解析。完成全部題目後顯示總分。
📅 12 週備考時間表
| 週次 | 重點 | 每日目標 | 完成標準 |
|---|---|---|---|
| 第 1-2 週 | 考試結構、官方考綱、四大 Domain 概覽、心態建立 | 1-2 小時 | 能說出四大 Domain 名稱、比重和核心考點 |
| 第 3-4 週 | 深入 D1(Governance vs Management、CISO匯報、Policy層級、KGI/KPI/KRI) | 1.5-2 小時 | 能解釋 Governance vs Management 區別,Accountability vs Responsibility |
| 第 5-6 週 | 深入 D2(風險公式、四種處理選項、控制類型、第三方風險) | 1.5-2 小時 | 能計算 ALE,解釋四種風險處理,Risk Appetite vs Tolerance |
| 第 7-8 週 | 深入 D3(BCP/DRP/BIA、RTO/RPO/MTD/WRT、測試類型、備份策略、成熟度) | 2 小時 | 能計算 RTO 上限(MTD-WRT),區分六種測試類型 |
| 第 9-10 週 | 深入 D4(NIST六步驟、取證、通報時限、PIR、攻擊類型) | 2 小時 | 能背出 NIST 六步驟順序,GDPR=72h vs HIPAA=60d |
| 第 11 週 | 大量練習題,分析錯題,針對弱項強化 | 30-50 題 | 練習題正確率達 75% 以上 |
| 第 12 週 | 模擬全真考試、複習陷阱清單、術語總複習 | 1 次模擬考 | 模擬考分數達 450 以上(56%) |
✅ 溫習打卡清單(20 個里程碑)
- 閱讀官方 CISM Exam Content Outline(免費下載自 ISACA 網站)
- D1:Governance vs Management 和 Accountability vs Responsibility 理解
- D1:政策層級(Policy → Standard → Procedure → Guideline)熟記
- D1:CISO 匯報結構(應向 CEO/COO/Board,而非 CIO)和 KGI/KPI/KRI 理解
- D2:風險公式(ALE / SLE / ARO / EF / ROI)記熟,能計算
- D2:四種風險處理選項(Mitigate/Transfer/Accept/Avoid)理解,Transfer≠消除責任
- D2:控制功能類型(Preventive/Detective/Corrective/Deterrent/Compensating/Recovery)熟記
- D2:Risk Appetite vs Risk Tolerance,Inherent Risk vs Residual Risk 清楚
- D3:BCP/DRP/IRP 的區別和關係(BCP ⊃ DRP ⊃ IRP),BIA 是第一步
- D3:RTO/RPO/MTD/WRT 的含義和公式(MTD ≥ RTO + WRT),能計算 RTO 上限
- D3:六種 DR 測試方法(Tabletop 至 Full Interruption),Parallel Test = 最有效+最低風險
- D3:備份策略(Full/Differential/Incremental),口訣:Full=大慢快,Inc=小快慢
- D4:事故響應六步驟(Preparation至Lessons Learned),圍堵(Containment)永遠第一
- D4:揮發性證據收集順序,關機前必須先收集記憶體
- D4:GDPR=72小時 vs HIPAA=60天,通報時限必背
- 易混淆概念:Governance/Management、Accountability/Responsibility、BCP/DRP/IRP
- 陷阱清單:18個常見錯誤,每個都過一遍
- 關鍵詞答題技巧:BEST/FIRST/EXCEPT/LEAST/PRIMARILY 的答題方向
- 完成所有練習題,正確率達 75% 以上
- 完成一次模擬考試,分數達 450/800 以上