进行战略性和批判性思考

战略性和批判性思考是资安专业人员的基本技能。我认为，战略思考意味着从长期和高阶概念的角度进行思考。批判性思考则强调运用分析和逻辑推理来确定必要性和充分性，从而提高有效性。

我已经写了大约两年的CISSP每日一题（QOTD），以推广战略和批判性思考以及深入学习。我并不是要模拟实际考试或鼓励捷径、猛Ｋ或死记。这也是为什麽我每天只会出一个问题，然後推迟分享我建议的答案和说明的原因。我希望这是我的读者研究、思考、分析、推理、讨论、辩论、总结，并从中学习的时候。同时，这也是我从他们的反馈中学习的时候。

法律法规驱动着网络安全市场。组织政策、标准、程序和准则应遵守或与其一致。NIST制定了联邦信息处理标准（FIPS）和符合法律法规的出版物；例如，《联邦信息安全管理法案》（FISMA）等。即使CISSP是强调中立的认证，但CISSP考生仍应“意识到”着名的法规、法令、法律或规范。例如，欧盟GDPR、美国HIPAA，及美国宪法等。此外，美国是网络安全行业的领导者。监於ISC2是一家位於美国的组织，而CISSP是名列DoD 8570.1基准认证中的美国认证，因此我相信CISSP将会以优先满足美国本地市场的需求为主；例如，美国国防部(DoD)，联邦政府部门和机构，以及美国企业。这就是为什麽我们必须阅读NIST指引、FIPS和法律法规的原因。

我通过阅读、实践和分享来学习，因此我花了很多时间来编写我的QOTD并发展自己的论据。读者也可以从我的解释和参考文献中学习。作为安全专家，我们应该尽最大努力进行最精准的沟通。没有引用来源，术语是不一致的，容易成为专业术语或流行语。例如，你会如何定义威胁建模、威胁、威胁场景、威胁格局、风险、风险容忍度、风险评监、攻击向量、攻击面及安全态势等？

最後，我希望我的QOTD得到适当的来源标示。一方面，它表明了对作者和版权的尊重；另一方面，我的QOTD的真正价值来自解释和参考，而不是我的建议答案。

祝您在CISSP旅途中享受徐徐微风，并按计画通过考试！

原始出处：To Think Strategically and Critically