CISSP认证考试的难度体现于,它并非仅仅考查知识点,还要考察你对于安全问题的实质性理解。众多人处于“题目读懂了,然而选项看起来都正确”的阶段而受阻,这常常是由于没有把握出题人的逻辑所致。下面我挑选了几类具有代表性的试题,从解题的思路方面进行剖析。
资产估值选哪个最靠谱
对于这类题,通常情况下,会给到你几个数字,分别是原始采购价,还有账面净值,另外就是重置成本,最后还有数据丢失之后的业务损失预估。好多人,会在不经意间就选择“重置成本”,然而,这恰恰就是一个陷阱。在CISSP这样一个特定的语境当中,资产价值并不是依据它购买时所花费的金额来判定的,而是要看倘若它不存在了,会给公司造成多么大的损失。所以,正确的答案常常是那个与“业务影响”有着关联的选项,比如说恢复期间的生产利润损失。
访问控制模型怎么区分
题干描绘出一个场景,经理依据员工岗位职责,手动对文件服务器的访问权限进行了配置。向你询问这属于什么模型。在这种时候,要是你单单记住“自主”与“强制”的字面含义,就极易选错。关键之处在于“谁做主”。要是权限是由系统依据标签加以强制执行的,那就属于是MAC;要是是数据所有者自行确定的,那便是DAC。题干当中是“经理手动配置”,这是基于“岗位职责”的授权,属于非自主的集中管理,所对应的是基于角色的访问控制。
软件开发安全考什么
就比如说询问在软件开发的需求阶段当中,哪一个安全活动是最为重要的。存在着四个可供选择的项目:代码审计、渗透测试、威胁建模、安全配置检查。这一道题目所考查的正是软件开发生命周期里面“安全左移”的理念。需求阶段的时候还没有代码,代码审计以及渗透测试都是不适用的。威胁建模恰好是在这个阶段进行开展的,借助于分析系统架构以及数据流,从而提前识别潜在的威胁。选择它吧,因为其他的几个在时间线上都是比较靠后的。
风险评估的计算题
对于解题之时,题目会给出资产价值、暴露因子、年度发生率这些数字,以此让你来计算ALE。那公式本身并非是难的,然而容易于“单一损失期望”以及“年度损失期望”的换算方面出现错误。SLE是由AV乘以EF获取 ,而ALE则是SLE乘以ARO。在做题之际,要先将数字对号入座 ,资产价值为100万 ,火灾风险暴露因子是30% ,如此一来SLE便是30万。要是历史数据表明这种火灾每10年发生一回 ,ARO就是0.1 ,最终ALE是3万。千万不要被题目里无关的成本数字所干扰。
法律和法规的适用性
这边有个场景,是一家处理欧盟用户数据的美国小公司,在问最该遵守哪条法规,选项有本地的数据保护法和通用数据保护条例,也就是GDPR,这道题考查的是法律的域外效力,只要公司业务涉及收集以及处理欧盟公民的个人数据,不管它处于什么地方,都必定要遵守通用数据保护条例,公司规模的大小并非豁免的理由,除非是完全契合“家庭事务例外”等特定的条款,所以答案显得很明确,为通用数据保护条例呢。
你于备考之际遇见过尤为纠结的题目类型吗 欢迎于评论区去分享你的困惑 大家共同展开讨论予以避坑 觉着内容有着用处记得点个赞并分享给考友。
主题测试文章,只做测试使用。发布者:qinglinet,转转请注明出处:https://www.qlw.net/%e4%bf%a1%e6%81%af%e5%ae%89%e5%85%a8%e7%b1%bb/cissp%e5%9b%bd%e9%99%85%e6%b3%a8%e5%86%8c%e4%bf%a1%e6%81%af%e5%ae%89%e5%85%a8%e4%b8%93%e5%ae%b6/cissp%e8%80%83%e8%af%95%e8%af%95%e9%a2%98%e8%a7%a3%e6%9e%90%ef%bc%9a%e8%b5%84%e4%ba%a7%e4%bc%b0%e5%80%bc%e4%b8%8e%e8%ae%bf%e9%97%ae%e6%8e%a7%e5%88%b6%e6%a8%a1%e5%9e%8b%e8%a7%a3%e9%a2%98%e6%80%9d.html