国际认证

CISSP认证教材OSG第9版新增(改)知识点:D1-安全和风险管理

2023-04-17 16:50:11 | 来源:企业IT培训

CISSP认证教材OSG第9版有增加的知识点,CISSP认证的教材新版知识点可能会在考试中出现,因此我们为大家进行了梳理,CISSP认证教材OSG第9版新增(改)知识点如下。

D1-安全和风险管理

1、增加安全边界的概念(p13)

安全边界是具有不同安全要求的任何两个区域、子网或环境之间的交界线。识别网络和物理 环境中的安全边界非常重要。一旦确定了安全边界,就必须部署机制来控制跨该边界的信息 流。

2、纠正应尽职责和应尽关注概念(p23)

纠正了 8th 中的错误,改为:应尽职责(Due Diligence)是制定计划、策略和流程来保护组 织的利益。应尽关注(Due Care)只是开展一系列活动来维持应尽职责的工作。

3、增加供应链风险管理(p31)

供应链风险管理 (SCRM) 是确保供应链中的所有供应商或环节都是可靠的、值得信赖的、有 信誉的组织,这些供应商组织向其业务合作伙伴披露其做法和安全要求的措施。

4、增加了 UBA 和 UEBA(p49)

用户行为分析 (UBA) 以及用户和实体行为分析 (UEBA) 是为了某些特定目标或目的来分析 用户、主体、访问者、客户等行为的概念。UEBA 中的 E 将分析扩展到包括发生的实体活动, 这些活动不一定与用户的特定操作直接相关或绑定,但仍可能与漏洞、侦察、入侵、破坏或 漏洞利用发生相关。从 UBA/UEBA 监控中收集的信息可用于改进人员安全政策、程序、培 训和相关的安全监督计划。

5、完整介绍社会工程学(p81)

社会工程学是一种利用人性和人类行为的攻击形式。社会工程攻击的原则旨在关注人性的各 个方面并利用它们,主要包括:权威(Authority)、恐吓(Intimidation)、共识(Consensus)、 稀缺性(Scarcity)、熟悉度(Familiarity)、信任(Trust)、紧迫性 (Urgency)。常见的攻击形式包括:获取信息、附加、钓鱼、鱼叉式钓鱼、捕鲸、短信诈骗、电话钓鱼、垃圾邮件、 肩窥、发票诈骗、骗局、模仿和伪装、尾随和捎带、垃圾搜索、身份欺骗、抢注、影响运动等。

6、完善了 GDPR 的概念(p166)

GDPR 的关键条款包括:合法性、公平性和透明度;用途限制;数据最小化;准确性;安全 性;问责制。

跨境信息共享的两个选择:

a. 组织可能会采用一套标准合同条款,这些条款已被批准用于将信息传输到欧盟以外的情 况;

b. 组织可能会采用具有约束力的公司规则来规范同一公司内部单位之间的数据传输。

关注中培伟业,了解更多CISSP相关信息。