戰略性和批判性思考是資安專業人員的基本技能。我認為，戰略思考意味著從長期和高階概念的角度進行思考。批判性思考則強調運用分析和邏輯推理來確定必要性和充分性，從而提高有效性。

我已經寫了大約兩年的CISSP每日一題（QOTD），以推廣戰略和批判性思考以及深入學習。我並不是要模擬實際考試或鼓勵捷徑、猛Ｋ或死記。這也是為什麼我每天只會出一個問題，然後推遲分享我建議的答案和說明的原因。我希望這是我的讀者研究、思考、分析、推理、討論、辯論、總結，並從中學習的時候。同時，這也是我從他們的反饋中學習的時候。

法律法規驅動著網絡安全市場。組織政策、標準、程序和準則應遵守或與其一致。NIST制定了聯邦信息處理標準（FIPS）和符合法律法規的出版物；例如，《聯邦信息安全管理法案》（FISMA）等。即使CISSP是強調中立的認證，但CISSP考生仍應“意識到”著名的法規、法令、法律或規範。例如，歐盟GDPR、美國HIPAA，及美國憲法等。此外，美國是網絡安全行業的領導者。鑑於ISC2是一家位於美國的組織，而CISSP是名列DoD 8570.1基準認證中的美國認證，因此我相信CISSP將會以優先滿足美國本地市場的需求為主；例如，美國國防部(DoD)，聯邦政府部門和機構，以及美國企業。這就是為什麼我們必須閱讀NIST指引、FIPS和法律法規的原因。

我通過閱讀、實踐和分享來學習，因此我花了很多時間來編寫我的QOTD並發展自己的論據。讀者也可以從我的解釋和參考文獻中學習。作為安全專家，我們應該盡最大努力進行最精準的溝通。沒有引用來源，術語是不一致的，容易成為專業術語或流行語。例如，你會如何定義威脅建模、威脅、威脅場景、威脅格局、風險、風險容忍度、風險評鑑、攻擊向量、攻擊面及安全態勢等？

最後，我希望我的QOTD得到適當的來源標示。一方面，它表明了對作者和版權的尊重；另一方面，我的QOTD的真正價值來自解釋和參考，而不是我的建議答案。

祝您在CISSP旅途中享受徐徐微風，並按計畫通過考試！

原始出處：To Think Strategically and Critically