CISSP考试，有很大分量是管理方面的知识点，但学习CISSP的学员，大部分都是技术出身，往往过于在技术上纠结。CISSP要求你以更高的维度看待组织的安全问题。为了更好的帮助大家从管理者角度来思考CISSP，特此翻译了《How to Think Like A Manager》这份材料，希望对大家学习CISSP提供帮助。

问题1：资产安全

Whichof the following is the most important reason to verify the media sanitizationprocess?

以下哪项是要确认介质净化过程的最重要的原因？

A.Human error 人为错误

B.Adherence to security policy 遵循安全政策

C.Confidentiality 机密性

D.Shredder calibration 粉碎机标定

考试策略和心态

准备好你的考试心态，面对四个看似正确的选择，但只有一个是最合适的答案。把重点放在“最重要的原因”上。

根据问题，自己内心讨论一下：A、B、C、D哪个才是最重要的答案。或者，你也可以换个方式，先找出最不重要的那个答案。这种方法可以消除一个看起来不那么重要的选项，从而增加你答对这道题的机会，同时让你更接近最正确的答案。如果“粉碎机校准”没有“人为错误”这个选项重要，那么D选项可以被消除。

从深层次上说，最不重要的选项是对安全三要素(机密性、完整性或可用性)的影响较小。而最重要的选项则对三要素影响较大。

像管理者一样思考

一个管理者会这样选择：如果不深思熟虑，这不仅会对介质清理过程，而且会对所有其他类型的过程产生最负面的影响。

介质清理的类型：

Clearing清理：使用经过批准的软件或硬件技术，用无意义的东西覆盖和替换介质上的机密数据空间。

Purging清除：通过消磁或固件命令完全覆盖磁盘上的数据，这将导致数据无法以高度可信的程度恢复。

Destruction销毁：物理破坏是真正使数据不可恢复和使介质不能用的唯一方法。销毁方法包括粉碎、粉碎、分解和焚烧。

考试要点：在剩下的所有选择中，寻找一个能起到包罗万象和权威作用的选择。

有时候，把问题变成它真正想让我们知道的东西会有所帮助：

“为什么CISSP考试要我知道检验介质净化后有没有数据残留的最重要原因?”

A. There will always bemistakes 人总会犯点错误

B. Nothing happens without apolicy 没有政策就不用干任何事情

C. Secrets must be keptconfidential  必须保持机密性

D. Proper operation ofshredding devices 粉碎机的正确操作

学习笔记和CISSP理论的练习题之所以复杂，是为了让你为真正的考试做好准备。它对你有好处，真正分解问题和给出的选项。正确回答问题很重要，但更重要的是理解为什么其他选项都是错误的。真正的考试并不在乎你是否能记住加密密码，OSI模型协议号，或者软件开发生命周期的步骤。考试测试你是否能应用这些概念。

问题解析：

A、人为错误

人总是会犯错误。这不是最重要的原因，但这是我们应该验证数据已经完全经过了净化而没有保留任何数据的原因之一。数据管理员在净化数据或任何其他需要人工参与的过程时可能会犯错误。除净化处理后的验证过程外，净化处理前应进行适当的人员培训，以确保有足够的技能和能力。

B、遵守安全政策

由领导团队制定的安全策略包含方向、范围和总体结构，组织将在其中维护、保护和定义信息系统的可接受的风险阈值。政策处理潜在的威胁，以及减轻威胁和从威胁中恢复的战略。如果忽视公司领导层的政策和指示，可能会破坏组织的内部稳定性。这进而可能导致无力应对外部不稳定。必须遵循政策，因为只有这样，一个组织才能在以收入为动力的情况下继续保持组织状态。

政策文档不会详细说明(责任落在支持文档上，如标准、基线、指导方针、过程)，但将作为高层指示，会说明数据是否应该被清理、清除、销毁，或业务需要的任何其他方法。这将取决于系统是否应该在使用后报废，或者是否应该进行净化再使用。

遵守安全政策是检验净化过程的最重要原因，因为它将回答谁，什么，何时和为什么。B是唯一的选择，理想情况下，在政策和任何其他支持性文件(如标准、基线或程序)中包括人为错误的解释、保密性和物理破坏装置的维护。

如果一个组织想要为他们的安全问题提供指导和支持，安全策略是强制性的。

C、机密性

机密性以及完整性和可用性是构建安全性的核心基础之一。即使在执行了各种净化方法之后，硬盘上仍然存在残留数据，这将违反机密性，因此选择C是次佳选择。为什么选择B比选择C更重要？因为这需要来自高级管理层的数据安全政策来启动数据分类过程---将某样东西标记为“机密”。政策本质上决定哪些数据是机密的、敏感的、私有的或其它任何类型。

CISSP核心概念

在CISSP考试或现实生活中，如果没有一个组织内部的政策，任何事情都不会发生。从安全治理的角度来看，策略显示了来自高级管理层的支持。在财务上，这表明该组织愿意拨出必要的资金来支持这项政策。

D、粉碎机校准

硬盘碎纸机只做一件事:把硬盘销毁。它不会分解一部分数据，而是分解所有的数据。与其他三个选择相比，对于包含数据剩余量的硬盘驱动器碎纸机的结果的担心较少。实物销毁的净化处理方法提供了直观和绝对的验证，销毁除了金属碎片没有其他可检查的了。为了增加安全性，可以在销毁的金属碎片中混入另外一种不同的材料，这样可以增加数据恢复重建的难度。选项D是最不重要的理由。

像管理者一样思考

数据在经过碎纸机后是无法恢复的，硬盘也是如此。如果组织想要节省资金和重用介质，物理破坏是不可取的。如果公司不赚钱，也就没有安全可言。需要在想着省钱的同时最大限度地提高安全性。

本公众号技术文章仅供学习交流之用【转载请注明：转载自CISSP Learning】。