CISSP認(rèn)證教材OSG第9版有增加的知識(shí)點(diǎn)，CISSP認(rèn)證的教材新版知識(shí)點(diǎn)可能會(huì)在考試中出現(xiàn)，因此我們?yōu)榇蠹疫M(jìn)行了梳理，CISSP認(rèn)證教材OSG第9版新增(改)知識(shí)點(diǎn)如下。

D1-安全和風(fēng)險(xiǎn)管理

1、增加安全邊界的概念(p13)

安全邊界是具有不同安全要求的任何兩個(gè)區(qū)域、子網(wǎng)或環(huán)境之間的交界線。識(shí)別網(wǎng)絡(luò)和物理 環(huán)境中的安全邊界非常重要。一旦確定了安全邊界，就必須部署機(jī)制來控制跨該邊界的信息 流。

2、糾正應(yīng)盡職責(zé)和應(yīng)盡關(guān)注概念(p23)

糾正了 8th 中的錯(cuò)誤，改為：應(yīng)盡職責(zé)(Due Diligence)是制定計(jì)劃、策略和流程來保護(hù)組 織的利益。應(yīng)盡關(guān)注(Due Care)只是開展一系列活動(dòng)來維持應(yīng)盡職責(zé)的工作。

3、增加供應(yīng)鏈風(fēng)險(xiǎn)管理(p31)

供應(yīng)鏈風(fēng)險(xiǎn)管理 (SCRM) 是確保供應(yīng)鏈中的所有供應(yīng)商或環(huán)節(jié)都是可靠的、值得信賴的、有 信譽(yù)的組織，這些供應(yīng)商組織向其業(yè)務(wù)合作伙伴披露其做法和安全要求的措施。

4、增加了 UBA 和 UEBA(p49)

用戶行為分析 (UBA) 以及用戶和實(shí)體行為分析 (UEBA) 是為了某些特定目標(biāo)或目的來分析 用戶、主體、訪問者、客戶等行為的概念。UEBA 中的 E 將分析擴(kuò)展到包括發(fā)生的實(shí)體活動(dòng)， 這些活動(dòng)不一定與用戶的特定操作直接相關(guān)或綁定，但仍可能與漏洞、偵察、入侵、破壞或 漏洞利用發(fā)生相關(guān)。從 UBA/UEBA 監(jiān)控中收集的信息可用于改進(jìn)人員安全政策、程序、培 訓(xùn)和相關(guān)的安全監(jiān)督計(jì)劃。

5、完整介紹社會(huì)工程學(xué)(p81)

社會(huì)工程學(xué)是一種利用人性和人類行為的攻擊形式。社會(huì)工程攻擊的原則旨在關(guān)注人性的各 個(gè)方面并利用它們，主要包括：權(quán)威(Authority)、恐嚇(Intimidation)、共識(shí)(Consensus)、 稀缺性(Scarcity)、熟悉度(Familiarity)、信任(Trust)、緊迫性 (Urgency)。常見的攻擊形式包括：獲取信息、附加、釣魚、魚叉式釣魚、捕鯨、短信詐騙、電話釣魚、垃圾郵件、 肩窺、發(fā)票詐騙、騙局、模仿和偽裝、尾隨和捎帶、垃圾搜索、身份欺騙、搶注、影響運(yùn)動(dòng)等。

6、完善了 GDPR 的概念(p166)

GDPR 的關(guān)鍵條款包括：合法性、公平性和透明度;用途限制;數(shù)據(jù)最小化;準(zhǔn)確性;安全 性;問責(zé)制。

跨境信息共享的兩個(gè)選擇：

a. 組織可能會(huì)采用一套標(biāo)準(zhǔn)合同條款，這些條款已被批準(zhǔn)用于將信息傳輸?shù)綒W盟以外的情 況;

b. 組織可能會(huì)采用具有約束力的公司規(guī)則來規(guī)范同一公司內(nèi)部單位之間的數(shù)據(jù)傳輸。

關(guān)注中培偉業(yè)，了解更多CISSP相關(guān)信息。