考試基礎
考試心態 & 答題框架
比任何知識點都重要的核心思維——唔建立呢個框架,溫再多都可能答錯
你唔係一個 sysadmin 解決技術問題,你係一個 CISO 層面的管理者,用風險和業務思維做決策。
黃金法則 #1
管理層視角優先
見到技術性答案(安裝防火牆、寫 script、部署工具)幾乎永遠唔係最佳選項。
正確答案通常含有:
- Policy / Framework / Governance
- Risk Assessment / Gap Analysis
- Business Alignment / Objectives
- Stakeholder Communication
- Senior Management Approval
黃金法則 #2
先評估,後行動
題目問「首先做什麼 (FIRST)」,答案幾乎永遠係某種評估:
- BIA — 業務影響分析
- Risk Assessment — 風險評估
- Gap Analysis — 差距分析
- Current State Assessment — 現況評估
永遠先了解現況 → 制定計劃 → 執行
黃金法則 #3
業務優先,安全配合
安全同業務衝突時,業務需求優先(除非直接法律違規)。
安全係 Business Enabler(推動者),唔係障礙。安全計劃唔能單獨存在,必須服務業務目標。
黃金法則 #4
最終責任永遠在 Senior Management
唔論問題點問,最終問責 = Senior Management,唔係 CISO、唔係 IT Manager。
CISO 角色:建議 + 協調 + 執行
唔係:最終決策者
黃金法則 #5
成本效益思維
安全投資唔係越多越好。控制成本必須小於風險降低帶來的效益。
- ALE = 控制投資的上限
- Control Cost < (ALE Before - ALE After)
- Board 語言 = 財務影響,唔係技術術語
黃金法則 #6
合規 ≠ 安全
通過 PCI DSS / ISO 27001 審計唔代表真正安全。
- 合規係最低標準,唔係目標
- 可以合規但不安全
- 安全目標高於合規要求
- Risk-based approach 優於 Compliance-based
關鍵詞解讀表
| 題目關鍵詞 | 暗示方向 | 答題策略 |
|---|---|---|
| FIRST / INITIALLY | 最根本的起點 | 選評估類:BIA、Risk Assessment、Gap Analysis |
| MOST important | 核心優先事項 | 選業務對齊、Management Support |
| BEST approach | 最全面最合適 | 選系統性、框架性答案 |
| PRIMARY purpose | 根本目的 | 選業務目標、風險管理 |
| IMMEDIATE action | 緊急響應 | 事件場景:Containment;其他:通報上級 |
| MOST effective + LEAST risk | 兩個條件同時滿足 | Parallel Test(唔係 Full Interruption) |
| PRIMARILY | 主要/最重要因素 | 排除次要,選核心目的 |
| MOST likely to ensure | 最大保障 | 選管理層批准、Policy、正式框架 |
| KEY factor | 最關鍵單一因素 | Management Support / Senior leadership buy-in |
⚠ 最重要陷阱當你覺得某個答案「太明顯」或「太技術性」,停一停。CISM 唔係測試技術知識,係測試你係咪用管理層思維做決策。技術答案幾乎永遠係陷阱。
Domain 比重
四大 Domain 概覽
| Domain | 名稱 | 比重 | 約題數 | 核心考點 |
|---|---|---|---|---|
| D1 | 信息安全治理 | 17% | ~26題 | 治理框架、問責、Policy、KPI/KRI、安全文化、成熟度 |
| D2 | 信息風險管理 | 20% | ~30題 | 風險公式、4T策略、ALE/SLE/ARO、控制分類、第三方 |
| D3 | 安全計劃開發管理 | 33% | ~50題 | BCP/DRP、BIA、RTO/RPO、測試類型、備份、架構、SDLC |
| D4 | 信息安全事件管理 | 30% | ~45題 | NIST流程、取證、Containment、通報、PIR、攻擊類型 |
重點分配D3+D4 合計 63%,超過一半!備考時間分配建議:D3 > D4 > D2 > D1
CISM 考試格式
考試格式
基本資料
- 題目數量:150題(多選一)
- 考試時間:4小時
- 及格分數:450分 / 800分
- 題型:情景題為主,考管理決策
- 報告分數:200-800,唔係百分比
備考策略
溫習優先次序
- 先建立 管理層思維框架
- 重點攻 D3 BCP/BIA/RTO/RPO
- 熟記 D4 NIST 6步驟順序
- 背 D2 ALE/SLE 公式
- 大量做 Practice Questions
- 針對性練習陷阱題
考試當日
答題技巧
- 先問:「作為 CISO,我係度做咩?」
- 排除明顯技術答案
- 唔確定時選最「保守」的管理選項
- 注意 FIRST / MOST / BEST 等關鍵詞
- 不要花太多時間在單一題目(每題 1.6 分鐘)
Domain 1 · 17%
信息安全治理
Information Security Governance — 建立安全治理的方向、問責和框架
信息安全治理
確保安全活動與業務目標對齊,建立清晰問責機制
17%
1.1 Policy 架構層次(由抽象到具體)
1
Policy(政策)— 最高層
高層次原則聲明,表達 Management 意圖和方向。由高層制定和簽署批准。語言清晰通俗,唔需要技術細節。例:「組織必須保護所有客戶個人資料」。必須有 Senior Management 支持,否則無效。
2
Standard(標準)— 強制
支持 Policy 的具體要求,強制性,全組織統一執行。可量化、可驗證。例:「所有用戶密碼最少 12 位,包含大小寫字母、數字和特殊符號」。
3
Procedure(程序)— 步驟
分步執行指引,告訴員工「如何做」。操作層面,具體詳細。例:「員工離職時的帳戶停用程序(24小時內完成)」。
4
Guideline(指引)— 建議性
建議性最佳實踐,非強制,可彈性應用。例:「選擇密碼的建議方法和技巧」。唔係強制 = 考試陷阱!
5
Baseline(基線)— 最低標準
最低可接受的安全配置標準,確保基本一致性。例:「所有 Windows 系統必須符合 CIS Benchmark Level 1」。
| Policy 類型 | 目的 | 制定者 | 例子 |
|---|---|---|---|
| Organizational Policy | 整體安全方向聲明 | Board / Senior Mgmt | Information Security Policy |
| Issue-Specific Policy | 針對特定安全議題 | Management | Acceptable Use Policy、Email Policy |
| System-Specific Policy | 特定系統的規則 | System / Data Owner | Firewall Policy、Database Access Policy |
Policy 成功的關鍵Policy 最重要係有 Senior Management 支持和簽署(Management Support),唔係技術細節有幾完整。冇 Management Support 的 Policy = 廢紙。
1.2 角色與問責(高頻考點)
| 角色 | 主要責任 | 例子 | 考試重點 |
|---|---|---|---|
| Board of Directors | 最終治理責任;批准整體風險胃口;監督 Management | 批准安全策略方向 | 治理層,最高層 |
| Senior Management / CEO | 最終安全責任;接受殘餘風險;分配資源 | 批准重大安全投資 | 最常考!最終責任 |
| CISO | 建議、協調、執行安全計劃;向 Management 彙報 | 制定安全策略建議 | 顧問角色,唔是最終責任 |
| Data Owner | 數據分類;確定保護需求;批准訪問 | 業務部門主管 | 業務人員,唔是IT |
| Data Custodian | 技術層面數據保護實施;日常維護 | DBA、系統管理員 | IT執行角色 |
| Data User | 按授權使用數據;遵守安全政策 | 一般員工 | 使用者,最小責任 |
| Security Steering Committee | 跨部門治理監督;確保安全與業務對齊 | IT + 業務 + 法律 + 財務 | 治理機構,唔係技術顧問 |
| Risk Owner | 對特定業務風險負責;批准風險回應決策 | 業務部門主管 | 唔係 IT 或 Security |
1.3 KPI vs KRI(必須分清)
KPI — Key Performance Indicator
- 量度安全計劃的成效
- 回顧性指標(Lagging Indicator)
- 告訴你「過去做得點」
- 例:平均漏洞修補時間
- 例:安全培訓完成率
- 例:每月安全事件數量
- 例:MTTD / MTTR
KRI — Key Risk Indicator
- 提供風險上升的早期預警
- 前瞻性指標(Leading Indicator)
- 告訴你「風險將往哪裡去」
- 例:特權帳戶異常登錄次數
- 例:未修補的高危漏洞數量
- 例:員工安全意識測試失敗率
- 例:第三方供應商未通過審計數量
考試陷阱「培訓完成率」係 KPI(參與率),唔係效果指標。效果指標 = Phishing 點擊率下降、人為錯誤引起事件數量減少。
1.4 安全策略制定流程
1
了解業務目標(最重要第一步)
先問:組織想達到什麼?未來計劃?新產品、新市場、合併收購?安全策略必須配合業務策略,唔能獨立存在。
2
確定風險胃口 (Risk Appetite)
Board 和 Senior Management 願意接受多少風險?保守定激進?風險胃口由業務決策層定義,唔係 IT 或 Security。
3
現況評估 / Gap Analysis
現在係哪裡?目標係哪裡?差距有多大?對比成熟度框架(如 NIST CSF、ISO 27001)評估現況。
4
識別合規要求
GDPR、PCI DSS、HIPAA 等哪些適用?違規後果?合規要求係最低標準,安全目標高於合規。
5
制定策略和路線圖
如何從現狀到目標?優先次序?時間線?資源需求?安全投資回報(ROSI)如何向 Board 呈現?
6
獲得 Management 批准
向 Board / Senior Management 彙報,獲得資源承諾和正式批准。用業務和財務語言,唔係技術術語。
1.5 安全文化與意識培訓
三層次
Awareness → Training → Education
- Awareness:引起關注(海報、提示郵件)。目標:讓員工知道安全的重要性
- Training:教授具體技能(課程、演練)。目標:讓員工懂得如何做
- Education:深入理解(認證、學位)。目標:培養安全專業人才
效果評估
如何量度培訓效果?
- Phishing simulation 點擊率趨勢(唔係完成率)
- 人為錯誤引起的事件數量
- 前後知識測試分數比較
- 員工主動報告可疑事件率
- 政策違規事件數量
培訓完成率 ≠ 效果(係參與率)
安全文化
真正的安全文化
- 員工自發遵守安全政策
- 管理層以身作則
- 安全係所有人的責任
- 員工主動舉報安全問題
- 安全融入日常業務決策
- 不存在「唔係我負責」心態
成熟度模型
安全計劃成熟度
- Level 1 Initial:臨時、混亂,無文件
- Level 2 Managed:有部分文件和流程
- Level 3 Defined:標準化跨組織流程
- Level 4 Quantitative:可量化管理
- Level 5 Optimizing:持續改善
參考:CMMI、ISO 21827
1.6 治理框架對比
| 框架 | 焦點 | CISM 考點 |
|---|---|---|
| COBIT 2019 | IT 治理和管理,業務目標對齊 | IT 治理框架首選;40個管理目標 |
| ISO/IEC 27001 | ISMS 建立,PDCA 循環 | 可認證;Annex A 93項控制 |
| NIST CSF 2.0 | 網絡安全風險管理 | 6大功能:Govern-Identify-Protect-Detect-Respond-Recover |
| ITIL | IT 服務管理 | 服務導向,補充安全治理 |
🎯 D1 考試必背 12 點
- 最終安全責任 = Senior Management,永遠唔係 CISO
- Data Owner = 業務部門,負責分類;Data Custodian = IT,負責執行
- Steering Committee = 跨部門治理機構,唔係技術顧問
- KPI = 回顧成效(Lagging);KRI = 前瞻預警(Leading)
- Policy 最重要係有 Management Support(支持和簽署),唔係技術細節
- Policy → Standard → Procedure → Guideline:由強制到建議,由抽象到具體
- 安全文化 = 行為自發改變,唔係強制服從
- 安全策略必須 align 業務策略,唔係獨立存在
- Guideline = 建議性,唔係強制(Standard 才是強制)
- 安全計劃成功最重要因素 = Senior Management Support
- Risk Appetite = Board 定義,唔係 IT 或 CISO
- 培訓效果量度 = 行為改變,唔係完成率
Domain 1 練習
D1 信息安全治理 — 練習題
Domain 2 · 20%
信息風險管理
Information Risk Management — 識別、評估、回應風險的系統性框架
信息風險管理
系統性識別、評估和管理信息安全風險
20%
2.1 核心風險概念
風險基本公式
Risk = Threat × Vulnerability × Impact
Threat(威脅):可能造成損害的事件或行為者(黑客、天災、員工失誤)
Vulnerability(漏洞):系統或流程中可被威脅利用的弱點
Impact(影響):事件發生後造成的損害程度
實際計算常用:Risk = Likelihood × Impact
| 風險類型 | 定義 | 例子 | 誰負責? |
|---|---|---|---|
| Inherent Risk | 原始風險,未實施任何控制時的風險水平 | 舊系統未修補漏洞的原始風險 | 識別:Security Team |
| Residual Risk | 實施所有控制後剩餘的風險 | 安裝防火牆後仍存在的風險 | 接受:Senior Management |
| Control Risk | 控制措施本身失效的風險 | 防火牆配置錯誤的風險 | 管理:Security Team |
| 風險回應策略 (4T) | 含義 | 適用情況 | 例子 |
|---|---|---|---|
| Treat / Mitigate | 實施控制降低風險 | 風險可接受地降低,成本合理 | 安裝防火牆、實施加密 |
| Transfer | 轉移財務損失 | 風險難以消除,可以外包財務後果 | 購買網絡保險、外判高風險業務 |
| Tolerate / Accept | 接受殘餘風險 | 控制成本 > 風險帶來的損失 | 接受舊系統的已知小風險 |
| Terminate / Avoid | 停止引起風險的活動 | 風險太高,無法有效控制 | 停止高風險業務流程 |
重要原則Transfer(保險)= 轉移財務損失,唔消除風險本身。Accept(接受)殘餘風險必須由 Senior Management 正式批准並記錄,唔係隨便接受。
2.2 定量分析公式(必背)
定量風險分析核心公式
ALE = SLE × ARO
SLE (Single Loss Expectancy) = Asset Value × EF
EF = Exposure Factor(0-100%,威脅對資產造成損害的百分比)
ARO (Annual Rate of Occurrence):預計每年發生次數(0.1 = 每10年一次)
ALE (Annual Loss Expectancy):年度預期損失 = 控制投資的上限
實際例子:
伺服器 Asset Value = $200,000 | EF = 40% | ARO = 0.5次/年
SLE = $200,000 × 40% = $80,000 | ALE = $80,000 × 0.5 = $40,000
→ 安全控制成本不應超過 $40,000(否則唔值得做)
控制效益評估:
Value of Control = ALE(Before) - ALE(After) - Annual Cost of Control
若 Value of Control > 0,值得實施;若 < 0,唔建議實施
定性分析 (Qualitative)
- 用 High / Medium / Low 評級
- 快捷,需要較少數據
- 主觀性較強,難以重複
- Heat Map 係常見呈現方式
- 適合:數據不足、新系統、快速評估
- 結果較難向 Board 彙報財務影響
定量分析 (Quantitative)
- 用具體數字(ALE、SLE)
- 客觀,可重複,可比較
- 需要大量可靠歷史數據
- 計算複雜,耗時較長
- 適合:成熟系統、關鍵資產
- 結果易向 Board 彙報(財務語言)
考試陷阱定量唔一定比定性好。選擇取決於可用數據質量。數據唔可靠時,定性反而更合適。
2.3 控制分類(雙維度)
| 功能分類 | 目的 | 時序 | 例子 |
|---|---|---|---|
| Preventive(預防) | 防止事件發生 | 事前 | 防火牆、加密、訪問控制、背景調查 |
| Detective(偵測) | 偵測事件發生 | 事中 | IDS/IPS、日誌審計、SIEM、CCTV |
| Corrective(糾正) | 修復損害 | 事後 | 備份恢復、Patch Management、事件修復 |
| Deterrent(威懾) | 威懾潛在攻擊者 | 事前 | 警告標誌、可見攝像頭、法律聲明 |
| Compensating(補償) | 補償主控制不足 | 任何 | 無法修補系統時加強監控 |
| Recovery(恢復) | 事後恢復正常 | 事後 | DRP、BCP、HA 架構 |
| 實施分類 | 例子 | 考試重點 |
|---|---|---|
| Administrative / Managerial(行政管理) | 政策、程序、培訓、背景調查、職責分離 | Policy 係行政控制 |
| Technical / Logical(技術邏輯) | 防火牆、加密、MFA、IDS、訪問控制系統 | 最常見控制類型 |
| Physical / Environmental(實體環境) | 門禁卡、保險箱、CCTV、消防系統、UPS | 實體層面 |
2.4 第三方風險管理
核心原則
外判 ≠ 外判責任
外判操作可以,但對客戶和監管機構的法律責任唔能轉移。供應商數據洩露,你的組織仍需問責。這係 CISM 極高頻考點。
管控手段
第三方風險控制
- 合約條款:SLA、安全要求、審計權、通報義務
- Due Diligence:合作前盡職調查
- 持續監控:定期安全評估
- Right to Audit:合約保留審計權
- SOC 2 報告:第三方安全認證
風險評估
第三方風險評估重點
- 供應商財務穩定性
- 安全控制成熟度
- 業務連續性能力
- 合規認證(ISO 27001、SOC 2)
- 事件歷史記錄
- Fourth-party(子供應商)風險
合約工具
第三方合約要素
- SLA:服務級別協議(可用性、響應時間)
- NDA:保密協議
- BAA:HIPAA 要求(PHI 處理)
- DPA:數據處理協議(GDPR)
- MSA:主服務協議
2.5 風險評估流程
1
資產識別和分類
盤點所有信息資產:系統、數據、人員、流程。Data Owner 負責分類,按重要性和敏感度排序。建立 Asset Inventory。
2
威脅識別
外部黑客、內部威脅、天然災害、技術故障、供應商風險、人為錯誤。使用威脅情報源(Threat Intelligence)。
3
漏洞識別
未修補漏洞、配置錯誤、缺乏控制、人員培訓不足、流程缺陷。漏洞掃描、滲透測試、審計。
4
風險評估
計算可能性和影響,生成 Risk Register。定量或定性,視乎數據可用性。Risk = Likelihood × Impact。
5
選擇回應策略
4T:Treat / Transfer / Tolerate / Terminate。成本效益原則:控制成本 < 風險降低量。向 Management 彙報。
6
持續監控(最重要!)
風險評估係持續循環,唔係一次性項目。觸發點:業務變更、新威脅、重大事件、定期審查(年度)。
🎯 D2 考試必背 10 點
- ALE = SLE × ARO;SLE = Asset Value × EF(背熟公式)
- 接受 Residual Risk = Senior Management 正式批准並記錄
- 外判工作,唔外判責任(極高頻考點)
- Risk Appetite 由 Board / Senior Management 定義,唔係 IT
- 控制成本 < ALE 的降低量(成本效益原則)
- 定量唔一定比定性好,視乎數據質量
- 風險評估係持續循環,唔係一次性項目
- Compensating Control = 主控制不可行時的替代措施
- Risk Register 係動態文件,需定期更新
- Transfer 風險(保險)只係轉移財務損失,唔消除風險本身
Domain 2 練習
D2 風險管理 — 練習題
Domain 3 · 33% — 最重
信息安全計劃開發和管理
Information Security Program Development & Management — 比重最高,BCP/DRP/BIA 係核心
信息安全計劃開發和管理
建立、實施和管理全面的安全計劃,包括業務連續性
33%
⚠ 最重要 DomainD3 佔 33%,約50題!BCP、BIA、RTO/RPO、測試類型、備份策略係高頻必考,要特別深入掌握。
3.1 BCP vs DRP(必須分清)
BCP — Business Continuity Plan
- 確保整個業務在危機中持續運作
- 範圍:人員、場所、流程、IT 全部
- Strategic 戰略層面
- Senior Management 主導
- 包含 DRP 作為子集
- 問題:「業務如何繼續?」
- 觸發:任何業務中斷事件
DRP — Disaster Recovery Plan
- 確保 IT 系統和數據在事故後恢復
- 範圍:IT 基礎設施、系統、數據
- Technical 技術層面
- IT 團隊主導
- 係 BCP 的子集
- 問題:「系統如何恢復?」
- 觸發:IT 系統故障
考試陷阱BCP 和 DRP 唔係同一件事。BCP 更廣,包含 DRP。問「業務層面」選 BCP;問「IT 系統」選 DRP。BCP 的第一步永遠係 BIA。
3.2 BIA — 業務影響分析(BCP 最重要的第一步)
BIA 係 BCP 的靈魂。冇 BIA,你唔知道保護什麼、恢復什麼、按什麼優先次序恢復。
BIA 分析內容
BIA 識別什麼?
- Critical Business Functions:哪些流程停止就影響生死存亡
- Dependencies:這些功能依賴什麼(IT、人員、供應商)
- MTD:最長可接受停機時間
- RTO/RPO:恢復時間和數據損失目標
- Financial Impact:每小時停機損失
- 優先次序:按業務重要性排序
關鍵指標
RTO / RPO / MTD
- MTD:Maximum Tolerable Downtime,超過就可能永久無法恢復。MTD ≥ RTO
- RTO:Recovery Time Objective,系統必須恢復的時間目標
- RPO:Recovery Point Objective,最大可接受數據損失(決定備份頻率)
- MTTR:Mean Time to Repair
- MTBF:Mean Time Between Failures
🧠 RTO vs RPO 記憶法
RTO = 幾耐恢復(時間)|RPO = 幾多數據損失(數據)
RTO:「我最多可以停機幾耐?」→ 決定 DR 站點類型(越短 → 越需要 Hot Site)
RPO:「我最多可以丟失幾多數據?」→ 決定備份頻率(RPO=1小時 → 每小時備份一次)
RTO短 + RPO短 = 成本最高(Hot Site + 實時備份)
RTO長 + RPO長 = 成本最低(Cold Site + 每日備份)
MTD ≥ RTO(MTD係上限,RTO係目標,目標必須在上限之內)
RPO:「我最多可以丟失幾多數據?」→ 決定備份頻率(RPO=1小時 → 每小時備份一次)
RTO短 + RPO短 = 成本最高(Hot Site + 實時備份)
RTO長 + RPO長 = 成本最低(Cold Site + 每日備份)
MTD ≥ RTO(MTD係上限,RTO係目標,目標必須在上限之內)
3.3 BCP 測試類型(超高頻考點)
| 測試類型 | 方法 | 侵入度 | 優點 | 缺點 |
|---|---|---|---|---|
| Document Review | 審查計劃文件完整性 | 最低 | 零風險,快速 | 唔能驗證實際執行 |
| Tabletop Exercise | 關鍵人員討論情景,口頭演練 | 低 | 發現程序缺陷,培訓員工 | 唔涉及真實系統 |
| Walkthrough | 逐步審閱和演練 | 中低 | 更細緻的流程驗證 | 仍唔涉及真實系統 |
| Simulation | 模擬真實場景,不切換系統 | 中 | 接近真實,不中斷業務 | 不能完全驗證技術恢復 |
| Parallel Test ⭐ | 同時運行主系統和備用系統 | 中高 | 真實驗證,主業務不中斷 | 成本較高,需雙倍資源 |
| Full Interruption | 完全切換至備用系統 | 最高 | 最真實、最全面驗證 | 業務中斷風險,成本最高 |
⭐ 最高頻考題「最有效且最低業務風險」= Parallel Test(唔係 Full Interruption)
「效果最全面」= Full Interruption(但風險最高)
「最常用,最實際」= Tabletop Exercise
「效果最全面」= Full Interruption(但風險最高)
「最常用,最實際」= Tabletop Exercise
3.4 恢復站點類型
| 站點類型 | 準備狀態 | RTO | 成本 | 適用情況 |
|---|---|---|---|---|
| Hot Site | 完全鏡像,即時可用,數據實時同步 | 分鐘級 | 最高 | 關鍵任務系統,RTO < 4小時 |
| Warm Site | 基礎設施就緒,需要恢復數據 | 數小時至一天 | 中等 | 重要系統,RTO 4-24小時 |
| Cold Site | 空間和基礎電力,無設備 | 數天至數周 | 最低 | 非關鍵系統,RTO > 24小時 |
| Mobile Site | 可移動預配置設備車輛 | 數小時 | 中等 | 地理分散、靈活部署 |
| Cloud DR | 雲端備份恢復,彈性擴展 | 視乎配置 | 按使用付費 | 現代組織,降低資本支出 |
| Reciprocal Agreement ✗ | 與合作公司互換使用設施 | 不確定 | 最低但不可靠 | 不建議,最不可靠 |
Reciprocal Agreement 陷阱看似最省錢,但最不可靠。問題:當你需要用對方時,對方可能正面對同一場災難;或容量不足以支持兩家公司。考試「最不可靠 DR 方案」= Reciprocal Agreement。
3.5 備份策略
| 備份類型 | 備份內容 | 空間 | 備份速度 | 恢復速度 | 恢復需要 |
|---|---|---|---|---|---|
| Full Backup | 所有數據完整備份 | 最大 | 最慢 | 最快 | 只需最新 Full |
| Differential | 自上次 Full 以來的所有變更 | 中等 | 中等 | 中等 | Full + 最新 Differential |
| Incremental | 自上次任何備份以來的變更 | 最小 | 最快 | 最慢 | Full + 所有 Incremental |
🧠 備份記憶口訣
Full=大慢快|Diff=中中中|Inc=小快慢
Full:空間大,備份慢,恢復快(一個檔案搞定)
Incremental:空間小,備份快,恢復慢(要拼圖:Full + 每個 Incremental)
Differential:中間值,恢復需要 Full + 最新 Differential
3-2-1 備份法則:3份副本 + 2種不同媒介 + 1份離線異地儲存
Incremental:空間小,備份快,恢復慢(要拼圖:Full + 每個 Incremental)
Differential:中間值,恢復需要 Full + 最新 Differential
3-2-1 備份法則:3份副本 + 2種不同媒介 + 1份離線異地儲存
3.6 安全架構與設計原則
縱深防禦
Defence in Depth
- 多層次安全控制組合使用
- 任何一層失效,其他層繼續保護
- Administrative + Technical + Physical 三類結合
- 唔依賴任何單一控制
- 攻擊者必須突破多層才能成功
設計原則
安全設計核心原則
- Least Privilege:最小權限
- Separation of Duties:職責分離,防單人濫權
- Need to Know:按需知道
- Fail Safe:失效時默認安全狀態
- Zero Trust:從不信任,永遠驗證
- Defense in Depth:多層防護
雲端模型
雲端共享責任
- IaaS:客戶負責 OS、應用、數據安全
- PaaS:客戶負責應用和數據安全
- SaaS:客戶負責數據安全和訪問管理
- 雲端 ≠ 安全外包完畢
- Shared Responsibility Model 明確責任邊界
合規管理
Compliance 重點
- 識別適用法規(GDPR、PCI DSS 等)
- 建立合規矩陣追蹤要求
- 定期合規審計(內部和第三方)
- 合規係最低標準,唔係安全目標
- 可以合規但不安全(Compliance ≠ Security)
Zero Trust
Zero Trust 架構
- 原則:Never Trust, Always Verify
- 唔因網絡位置而隱性信任
- 每次訪問都需要驗證和授權
- Micro-segmentation 細分網絡
- 適合:遠程工作、雲端環境
IAM 訪問管理
Identity & Access Management
- Authentication(認證):你係誰?
- Authorization(授權):你可以做什麼?
- MFA:多因素認證(推薦)
- SSO:單一登錄(方便但風險集中)
- PAM:特權訪問管理
3.7 SDLC 安全整合(Shift Left)
1
Requirements(需求)— 最重要!Shift Left
安全要求在需求階段定義。越早介入,修復成本越低。修復成本:需求階段 < 設計 < 開發 < 測試 < 生產。
2
Design(設計)
Threat Modeling(威脅建模)、安全架構設計、選擇安全框架和庫。識別潛在安全問題的最佳時機。
3
Development(開發)
Secure Coding Standards、Code Review、靜態分析(SAST)。避免常見漏洞(OWASP Top 10)。
4
Testing(測試)
動態分析(DAST)、滲透測試、安全功能測試、漏洞掃描。Penetration Testing 模擬真實攻擊。
5
Deployment(部署)
安全配置審查、Change Management、部署審批。確保生產環境配置符合安全基線。
6
Maintenance(維護)
持續漏洞管理、Patch Management、安全監控、定期滲透測試。生命週期最長的階段。
Shift Left 原則安全整合越早越便宜。生產環境修復一個漏洞的成本係需求階段的 30倍。早期 Threat Modeling = 最高效益的安全投資。
🎯 D3 考試必背 12 點
- BIA 係 BCP 的第一步,唔做 BIA 就唔知保護和恢復什麼
- BCP 包含 DRP,BCP 範圍更廣(業務 vs IT)
- RTO = 停機時間目標;RPO = 數據損失目標(兩者唔好混淆)
- MTD ≥ RTO(MTD 係上限,RTO 係目標)
- 「最有效 + 最低風險」= Parallel Test;「最有效」= Full Interruption
- Tabletop Exercise 係最常用的 BCP 測試
- Reciprocal Agreement = 最不可靠的 DR 方案
- Incremental = 省空間快備份,但恢復最慢
- Full Backup = 大空間慢備份,恢復最快
- Shift Left = 安全在需求設計階段介入,越早越便宜
- 合規 ≠ 安全,合規係最低標準,唔係目標
- Zero Trust:Never Trust, Always Verify,唔因網絡位置信任
Domain 3 練習
D3 安全計劃管理 — 練習題
Domain 4 · 30%
信息安全事件管理
Information Security Incident Management — 偵測、響應、恢復、改善的完整生命週期
信息安全事件管理
有效應對安全事件,降低損害,持續改善響應能力
30%
4.1 事件定義和分層
| 術語 | 定義 | 例子 | 需要響應? |
|---|---|---|---|
| Event(事件) | 任何可觀察的系統或網絡狀態,中性 | 用戶登錄成功、防火牆攔截請求 | 不一定 |
| Alert(警報) | 需要關注的事件,可能是誤報 | IDS 觸發警報 | 需要調查 |
| Incident(事故) | 違反安全政策或威脅 CIA 三元組 | 惡意軟件感染、未授權訪問 | 必須響應 |
| Breach(違規) | 已確認的未授權數據訪問或洩露 | 客戶個人數據被盜 | 響應 + 通報義務 |
4.2 NIST 事件響應生命週期 (SP 800-61) — 極高頻
1
Preparation(準備)
建立政策、程序、工具。組建和培訓 CSIRT。定義事件分類標準。定期測試 IRP。準備越充分,響應越有效。
2
Detection & Analysis(偵測和分析)
識別事件,確定類型、範圍和嚴重性。Triage 優先排序。收集初步信息。通報 CSIRT 和相關人員。
3
Containment(圍堵)— 第一優先!
短期圍堵:即時隔離受影響系統,阻止蔓延。
長期圍堵:業務可繼續運作的持久措施。
圍堵前先保留揮發性證據(記憶體等)!
4
Eradication(根除)
移除惡意軟件、攻擊者後門。修補漏洞,改善配置。識別並消除根本原因。根除完成後才能恢復!
5
Recovery(恢復)
系統恢復正常運作。從乾淨備份恢復。持續監控確認威脅完全移除。漸進式恢復,先關鍵系統。
6
Lessons Learned(事後分析)
事件後 24-48 小時內進行 PIR。分析根本原因(Root Cause)。識別改善措施。更新 IRP 和政策。文化上要 Blameless(唔係問責)。
🧠 NIST 順序口訣
準 → 偵 → 圍 → 根 → 恢 → 學
準備 → 偵測分析 → 圍堵(最重要!)→ 根除 → 恢復 → 學習改善
核心原則:圍堵永遠先於根除,根除永遠先於恢復。唔可以跳步驟(除非 Management 知情並批准)。
核心原則:圍堵永遠先於根除,根除永遠先於恢復。唔可以跳步驟(除非 Management 知情並批准)。
4.3 Containment 深度分析
圍堵決策
隔離 vs 業務連續
真實衝突:圍堵需要隔離,可能中斷業務。
CISM 答案邏輯:
- 先圍堵,阻止損害蔓延
- 同時評估業務影響
- 向 Management 溝通風險
- 讓 Management 做知情決策
揮發性證據
圍堵前的取證步驟
按揮發性由高到低(關機前必須收集):
- CPU 緩存、記憶體(最快消失)
- 網絡連接狀態、路由表
- 執行中的進程清單
- 開啟的文件、臨時文件
- 硬碟數據(最穩定,最後)
關機 = 永久失去記憶體數據!
Management 衝突
Management 施壓跳過步驟
情景:Management 要求跳過根除直接恢復業務。
正確做法:
- 清楚溝通跳步的風險
- 讓 Management 做知情決策
- 記錄決定(問責保護)
- 若決定恢復,加強監控
CISO 建議,Management 決定。
4.4 數字取證
Chain of Custody
證據保管鏈
- 記錄誰收集什麼、何時、如何
- 確保證據在法律程序中可用
- 使用 Write Blocker 複製原始證據
- Hash 驗證完整性(MD5、SHA-256)
- 每次交接都要簽名確認
- 鏈斷裂 = 證據可能在法庭被推翻
取證原則
數字取證基本原則
- 唔修改原始證據
- 只在副本上工作
- 記錄所有取證步驟
- 保持客觀,跟隨證據
- 保持正確的 Chain of Custody
- 考慮法律和隱私要求
4.5 事件通報架構
| 通報層級 | 時機 | 要點 |
|---|---|---|
| 即時 — CSIRT 啟動 | 發現事件後立即 | 確認事件,啟動響應程序 |
| 內部 — 直屬上司 | 事件確認後 | 事件概況、初步影響評估 |
| 管理層 — C-Suite | 依嚴重性,重大事件即時 | 業務影響、建議行動 |
| 法律部門 | 有法律責任可能時,盡早 | 保護特權溝通、合規義務 |
| 監管機構 (GDPR) | 72小時內(個人數據洩露) | 按法規要求的通報內容 |
| 監管機構 (HIPAA) | 60天內 | PHI 洩露通報 |
| 受影響個人 | 法律要求或必要時 | 洩露詳情、自我保護建議 |
| 媒體 / 公眾 | 謹慎,通常最後 | 公關協同,管理聲譽 |
通報時限必背GDPR = 72小時(個人數據洩露,向監管機構)
HIPAA = 60天(PHI 洩露,向受影響個人)
法律部門 = 盡早(有法律責任可能就立即介入)
HIPAA = 60天(PHI 洩露,向受影響個人)
法律部門 = 盡早(有法律責任可能就立即介入)
4.6 常見攻擊類型
| 攻擊類型 | 特徵 | 響應重點 |
|---|---|---|
| APT | 高度複雜、長期潛伏(月/年)、針對特定目標 | 深度取證,找出所有後門;謹慎 Containment |
| Ransomware | 加密數據勒索,快速蔓延 | 即時隔離;從備份恢復;不建議付贖金 |
| Phishing / Spear Phishing | 社交工程;Spear = 針對特定人員 | 即時更改憑據;調查蔓延範圍;培訓 |
| Insider Threat | 內部人員(惡意或疏忽) | 審計日誌;Least Privilege;HR 介入 |
| DDoS | 大量請求癱瘓服務 | 流量清洗;切換 IP;聯絡 ISP;CDN |
| Supply Chain Attack | 通過供應商或軟件更新滲透 | 供應商風險評估;軟件完整性驗證 |
| Zero-Day | 未知漏洞,暫無補丁 | Compensating Controls;加強監控;虛擬修補 |
| Social Engineering | 欺騙人類而非攻擊技術 | 培訓和意識;驗證程序;舉報機制 |
4.7 PIR — Post-Incident Review
PIR 目的
為什麼做 PIR?
- 分析事件根本原因(Root Cause)
- 識別 Detection Gap
- 識別 Response Gap
- 改善 IRP 和程序文件
- 更新培訓和控制措施
- 文化:Blameless,唔係問責!
PIR 如何做
PIR 時機和流程
- 事件後 24-48 小時內進行
- 相關人員:CSIRT、業務、IT、法律
- 5 Whys 或 Fishbone 分析根本原因
- 產出:改善行動清單(負責人 + 時間線)
- Management Review 和批准
效益指標
事件管理量度
- MTTD:偵測時間越短越好
- MTTR:響應時間越短越好
- 透過每次 PIR 不斷縮短兩者
- MTTD + MTTR = 黃金效益指標
🎯 D4 考試必背 10 點
- 事件響應第一步 = Containment(圍堵),唔係根除、唔係恢復
- 圍堵前先收集揮發性證據(記憶體),關機 = 永久失去
- NIST 順序唔可以跳步:圍堵 → 根除 → 恢復
- Chain of Custody = 確保證據在法律程序中可用
- GDPR = 72小時通報監管機構(個人數據洩露)
- 法律部門要盡早介入,有法律責任可能性就立即通知
- PIR 目的 = 改善,唔係問責;文化要 Blameless
- MTTD + MTTR = 量度事件管理效益的黃金指標
- 不建議付 Ransomware 贖金(唔保證恢復,鼓勵更多攻擊)
- CISO 溝通風險,Management 做最終決定
Domain 4 練習
D4 事件管理 — 練習題
參考資料
框架和標準對比
| 框架/標準 | 核心內容 | 適用場景 | 可認證 |
|---|---|---|---|
| ISO/IEC 27001 | ISMS 建立標準,PDCA 循環,Annex A 93項控制 | 正式 ISMS 建立,全球第三方認證 | ✅ 可認證 |
| ISO/IEC 27002 | 安全控制實施指南,支持 27001 | 具體控制措施的參考 | ❌ |
| NIST CSF 2.0 | Govern-Identify-Protect-Detect-Respond-Recover | 靈活的網絡安全風險管理框架 | ❌ |
| NIST SP 800-53 | 美國政府系統安全控制目錄(1000+控制) | 美國聯邦機構,政府合規 | ❌ |
| COBIT 2019 | IT 治理和管理框架,40個管理目標 | IT 治理、業務與 IT 對齊 | ❌ |
| CIS Controls v8 | 18個關鍵安全控制,優先次序清晰 | 實際控制實施,中小企業友好 | ❌ |
| PCI DSS v4.0 | 12項要求,支付卡數據保護 | 處理信用卡數據的組織 | ✅ QSA 審計 |
| SOC 2 | Trust Services Criteria:安全、可用性等5項 | 服務組織向客戶證明安全 | Type I/II 報告 |
ISO 27001 PDCA 循環
Plan(計劃)
建立 ISMS
定義範圍和政策。進行風險評估,選擇控制措施。制定 Statement of Applicability (SoA)。
Do(執行)
實施 ISMS
實施選定的控制措施。員工培訓和意識計劃。文件化程序和記錄。
Check(檢查)
監控和審查
監控 ISMS 效果。內部審計。Management Review。量度目標達成情況。
Act(改善)
持續改進
解決不符合項。糾正和預防行動。持續改善 ISMS 效果。進入下一個 Plan 循環。
NIST CSF 2.0 六大功能
| 功能 | 目的 | 主要活動 |
|---|---|---|
| Govern(治理) | 建立網絡安全治理(CSF 2.0 新增) | 政策、角色、監督、風險管理策略 |
| Identify(識別) | 了解組織環境和風險 | 資產管理、業務環境、風險評估 |
| Protect(保護) | 實施保護措施 | 訪問控制、培訓、數據安全、技術保護 |
| Detect(偵測) | 識別安全事件 | 異常檢測、持續監控、偵測流程 |
| Respond(響應) | 採取行動應對事件 | 響應計劃、溝通、分析、緩解 |
| Recover(恢復) | 恢復受影響服務 | 恢復計劃、改善、溝通 |
法規合規
重要法規要點
GDPR
General Data Protection Regulation
- 通報義務:72小時內通報監管機構
- 數據主體權利:訪問、更正、刪除、可攜帶性
- 合法處理基礎:同意、合同、法律義務等6種
- DPO:某些情況強制要求
- 罰款:最高 €2000萬 或全球年營業額 4%
- 適用範圍:全球,只要處理 EU 居民數據
PCI DSS v4.0
Payment Card Industry DSS
- 12項要求(分6個目標)
- 建立和維護安全網絡
- 保護持卡人數據(加密)
- 維護漏洞管理計劃
- 強大訪問控制(Need to Know、MFA)
- 定期監控和測試
- QSA 每年審計或自我評估
HIPAA
Health Insurance Portability & Accountability
- 保護 PHI (Protected Health Information)
- Privacy Rule:限制 PHI 使用和披露
- Security Rule:保護電子 PHI
- Breach Notification:60天內通報
- BAA:第三方處理 PHI 必須簽署
SOC 2
Service Organization Control 2
- 5項 Trust Services Criteria:Security、Availability、Processing Integrity、Confidentiality、Privacy
- Type I:特定時間點的設計有效性
- Type II:一段時期(6-12個月)的運作有效性
- Type II 比 Type I 更有價值
通報時限對比(必背)
GDPR:72小時(向監管機構;個人數據洩露)
HIPAA:60天(向受影響個人;500人以上同時向 HHS 通報)
內部通報:即時(盡快告知直屬上司和 CSIRT)
HIPAA:60天(向受影響個人;500人以上同時向 HHS 通報)
內部通報:即時(盡快告知直屬上司和 CSIRT)
考試陷阱
常見錯誤陷阱清單
識得陷阱,正確率即時提升——每個都係真實失分點
| # | 陷阱描述 | 錯誤想法 | 正確理解 |
|---|---|---|---|
| 01 | CISO 最終負責 | 「CISO 係安全負責人,所以最終負責」 | 最終問責永遠係 Senior Management,CISO 係顧問和執行 |
| 02 | 第一步就實施技術控制 | 「有問題馬上安裝防火牆/加密」 | 第一步永遠係評估(BIA、Risk Assessment、Gap Analysis) |
| 03 | 事件響應先根除 | 「先消滅病毒,再隔離系統」 | Containment(圍堵)永遠係第一步,先止血再根除 |
| 04 | 外判 = 外判責任 | 「供應商出事,係佢哋的責任」 | 外判工作,唔外判責任,法律責任仍在你的組織 |
| 05 | 合規 = 安全 | 「通過 PCI DSS 審計就安全了」 | 合規係最低標準,唔係安全目標 |
| 06 | Full Interruption 最佳 | 「Full Interruption 最徹底,所以最好」 | 「最有效 + 最低業務風險」= Parallel Test |
| 07 | Reciprocal Agreement 省錢好 | 「互換協議成本最低,係好選擇」 | Reciprocal Agreement 係最不可靠的 DR 方案 |
| 08 | Incremental 備份恢復快 | 「Incremental 省空間,所以好用」 | Incremental 恢復最慢(需要 Full + 所有 Incremental) |
| 09 | 定量分析一定更好 | 「有數字就更準確,所以定量更好」 | 數據不足時定性更合適 |
| 10 | PIR 係問責機制 | 「PIR 要找出誰出錯,誰負責」 | PIR 目的係改善,唔係問責。文化要 Blameless |
| 11 | RTO = RPO | 「RTO 同 RPO 都係恢復時間」 | RTO = 停機時間;RPO = 數據損失(完全不同!) |
| 12 | KPI 用來預警風險 | 「KPI 可以預警風險上升」 | KRI 係預警(Leading);KPI 係成效(Lagging) |
| 13 | BCP = DRP | 「BCP 同 DRP 係同一件事」 | BCP 包含 DRP。BCP 係業務整體;DRP 係 IT 系統 |
| 14 | 關機前唔需要取證 | 「快點關機隔離,安全第一」 | 關機前必須先收集揮發性證據(記憶體) |
| 15 | 培訓完成率 = 培訓效果 | 「100% 員工完成培訓,效果很好」 | 完成率係參與指標,唔係效果指標 |
| 16 | Data Owner = IT 人員 | 「Data Owner 係 DBA 或 IT Manager」 | Data Owner = 業務部門(負責分類);Data Custodian = IT(負責技術保護) |
| 17 | Guideline 係強制的 | 「Guideline 要強制遵守」 | Guideline 係建議性的,唔係強制;Standard 才係強制 |
| 18 | Transfer 可以消除風險 | 「買了保險,風險就消除了」 | Transfer 只係轉移財務損失,風險本身仍然存在 |
記憶工具
📇 Flashcards — 核心概念
點擊卡片翻轉查看答案,左右切換題目
綜合練習
🎯 綜合練習題 — 全 Domain
混合四大 Domain 的高頻考點,模擬真實考試環境
詞彙參考
CISM 核心詞彙表
所有重要術語的精準定義,快速查閱
ALE (Annual Loss Expectancy)
年度預期損失 = SLE × ARO。決定安全控制投資的最高上限。
APT (Advanced Persistent Threat)
高級持續性威脅。長期、隱蔽、針對特定目標的複雜攻擊,通常由國家或高水平組織發動。
ARO (Annual Rate of Occurrence)
年度發生率。預計某威脅每年發生的次數(0.1 = 每10年一次)。
BCP (Business Continuity Plan)
業務連續性計劃。確保整個業務(人員、場所、流程、IT)在危機中持續運作。包含 DRP。
BIA (Business Impact Analysis)
業務影響分析。識別關鍵業務功能、停機財務影響和 RTO/RPO 要求。BCP 的第一步。
Chain of Custody
證據保管鏈。記錄數字證據的收集、傳遞、分析過程,確保法律程序中的可用性。
CISO
首席信息安全官。顧問和執行角色,負責建議、協調、執行安全計劃。最終責任在 Senior Management。
COBIT
信息及相關技術控制目標。IT 治理和管理框架,確保業務目標與 IT 對齊。2019版有40個管理目標。
Cold Site
冷站點。僅有空間和基礎設施,無設備的 DR 站點。RTO 最長,成本最低。
Compensating Control
補償性控制。當主控制無法實施時的替代措施。例:無法修補系統時加強監控。
CSIRT
計算機安全事件響應團隊。跨部門(IT、法律、公關、業務)協調響應安全事件。
Data Custodian
數據保管人。IT 部門,負責技術層面的數據保護實施和維護。執行角色,唔是決策者。
Data Owner
數據所有者。業務部門,負責數據分類和確定保護需求。唔負責技術實施(那是 Custodian)。
Defence in Depth
縱深防禦。多層安全控制組合,任何一層失效,其他層繼續提供保護。
DPO (Data Protection Officer)
數據保護官。GDPR 要求某些組織任命的獨立人員,負責數據保護合規。
DRP (Disaster Recovery Plan)
災難恢復計劃。確保 IT 系統在事故後恢復的技術計劃,係 BCP 的子集。
EF (Exposure Factor)
暴露因子(0-100%)。特定威脅對資產造成損害的百分比。用於計算 SLE。
Full Interruption Test
完全中斷測試。BCP 測試中侵入度最高,完全切換至備用系統。最全面但風險最高。
GDPR
歐盟通用數據保護條例。個人數據洩露後 72小時內通報監管機構。罰款高達全球年營業額 4%。
Hot Site
熱站點。完全鏡像的備用系統,即時可用,數據實時同步。RTO 最短,成本最高。
Inherent Risk
固有風險。未實施任何控制時的原始風險水平。Inherent Risk > Residual Risk。
IRP (Incident Response Plan)
事件響應計劃。描述如何偵測、遏制、根除和恢復安全事件的正式文件。
KPI (Key Performance Indicator)
關鍵績效指標。量度安全計劃成效的回顧性(Lagging)指標。
KRI (Key Risk Indicator)
關鍵風險指標。提供風險上升早期預警的前瞻性(Leading)指標。
Least Privilege
最小權限原則。用戶或系統只獲得完成工作所需的最小訪問權限。
MTBF (Mean Time Between Failures)
平均故障間隔時間。量度系統可靠性,越長越好。
MTTD (Mean Time to Detect)
平均偵測時間。從事件發生到被偵測的平均時間。越短越好。
MTTR (Mean Time to Repair)
平均修復時間。從事件偵測到完全解決的平均時間。越短越好。
MTD (Maximum Tolerable Downtime)
最大可容忍停機時間。超過此時間業務可能無法恢復。MTD ≥ RTO。
NIST CSF
NIST 網絡安全框架 2.0。六大功能:Govern, Identify, Protect, Detect, Respond, Recover。
Parallel Test
並行測試。同時運行主系統和備用系統,驗證 DR 能力而不中斷正常業務。最有效+最低風險。
PCI DSS
支付卡行業數據安全標準。12項要求,保護持卡人數據,需 QSA 年度審計。
PIR (Post-Incident Review)
事後審查。事件後分析根本原因並識別改善措施。文化要 Blameless,唔係問責。
Reciprocal Agreement
互惠協議。與另一組織互換使用 DR 設施。最不可靠的 DR 方案,不建議。
Residual Risk
殘餘風險。實施所有控制後剩餘的風險。必須由 Senior Management 正式接受並記錄。
Risk Appetite
風險胃口。組織願意為達成業務目標而承受的整體風險量。由 Board 定義,唔係 IT。
Risk Register
風險登記冊。記錄識別的風險、評估結果、應對策略和負責人的動態文件,需定期更新。
RPO (Recovery Point Objective)
恢復點目標。最大可接受數據損失(以時間衡量)。決定備份頻率。
RTO (Recovery Time Objective)
恢復時間目標。系統必須恢復運作的時間目標。決定 DR 站點類型。
Separation of Duties
職責分離。敏感任務需要多人配合,防止單人濫用權力(如財務審批)。
SLE (Single Loss Expectancy)
單次損失預期 = Asset Value × EF。一次事件造成的預期損失金額。
SOC 2 Type II
服務組織控制報告。評估一段時期內(6-12個月)安全控制的運作有效性。比 Type I 更有價值。
Tabletop Exercise
桌面演練。關鍵人員討論情景口頭演練 BCP/IRP 的低侵入測試方法。最常用。
Warm Site
溫站點。基礎設施就緒但需要數據恢復的 DR 站點。介乎 Hot 和 Cold 之間。
Zero Trust
零信任架構。「從不信任,永遠驗證」。不因網絡位置而隱性信任任何請求。
💪 最後提醒CISM 考的係管理層決策,唔係技術細節。每條題都問自己:「我係 CISO,面對 Board 和業務,我會點做?」記住業務優先、風險為本、管理視角。加油,Pass CISM!🏆