CISSP的“安全和风险管理”领域，指明了一系列的框架、策略、概念、原理、结构和标准，用于建立信息资产保护准则和评估保护的有效性，同时也包括了治理问题、组织行为和安全意识。

信息安全管理，建立了一个全面和主动的安全方案的基础，以确保一个组织的信息资产的保护。当今高度关联、相互依存的环境，要求我们必须了解信息技术和业务目标之间的联系。信息安全管理沟通了组织可接收的风险，由于当前实施的有效并持续作用的安全控制，来减少公司信息资产的风险。

安全管理包括对信息资产的机密性、完整性和可用性的必要保护的管理、技术和物理控制。控制是通过政策、过程、标准、基线的基础来表现的。

信息安全管理实践了风险管理，包括风险评估、风险分析、数据分类和安全意识等工具。信息资产进行分类，通过风险评估，资产相关的威胁和漏洞会被分类，用于减缓风险的适当的保障措施可以被安全专家识别和优先选用。

风险管理减少了信息资产的损失，通过识别、度量和控制不良事件。它包含了全面安全审查，风险分析，安全策略的选择和评估，成本效益分析，管理决策，安全策略识别和实施，以及正在进行的效益审查。

…

主题

机密性、完整性、可用性的概念
安全治理原则
合规性
法律和监管
文件化的安全策略、标识、流程和指南
业务连续性要求
人员安全策略
风险管理理念
威胁建模
整合安全风险因素到采购策略和实践中
安全教育，培训和意识

CIA

机密性
完整性
可用性