1、增加安全边界的概念(p13)
安全边界是具有不同安全要求的任何两个区域、子网或环境之间的交界线。识别网络和物理环境中的安全边界非常重要。一旦确定了安全边界,就必须部署机制来控制跨该边界的信息流。
2、纠正应尽职责和应尽关注概念(p23)
纠正了8th中的错误,改为:应尽职责(Due Diligence)是制定计划、策略和流程来保护组织的利益。应尽关注(Due Care)只是开展一系列活动来维持应尽职责的工作。
3、增加供应链风险管理(p31)
供应链风险管理 (SCRM) 是确保供应链中的所有供应商或环节都是可靠的、值得信赖的、有信誉的组织,这些供应商组织向其业务合作伙伴披露其做法和安全要求的措施。
4、增加了UBA和UEBA(p49)
用户行为分析 (UBA) 以及用户和实体行为分析 (UEBA) 是为了某些特定目标或目的来分析用户、主体、访问者、客户等行为的概念。UEBA 中的E将分析扩展到包括发生的实体活动,这些活动不一定与用户的特定操作直接相关或绑定,但仍可能与漏洞、侦察、入侵、破坏或漏洞利用发生相关。从 UBA/UEBA 监控中收集的信息可用于改进人员安全政策、程序、培训和相关的安全监督计划。
5、完整介绍社会工程学(p81)
社会工程学是一种利用人性和人类行为的攻击形式。社会工程攻击的原则旨在关注人性的各个方面并利用它们,主要包括:权威(Authority)、恐吓(Intimidation)、共识(Consensus)、 稀缺性(Scarcity)、熟悉度(Familiarity)、信任(Trust)、紧迫性 (Urgency)。 常见的攻击形式包括:获取信息、附加、钓鱼、鱼叉式钓鱼、捕鲸、短信诈骗、电话钓鱼、垃圾邮件、肩窥、 发票诈骗、骗局、模仿和伪装、尾随和捎带、垃圾搜索、身份欺骗、抢注、影响运动等。
6、完善了GDPR的概念(p166)
GDPR的关键条款包括:合法性、公平性和透明度;用途限制;数据最小化;准确性;安全性;问责制。
跨境信息共享的两个选择:
a. 组织可能会采用一套标准合同条款,这些条款已被批准用于将信息传输到欧盟以外的情况;
b. 组织可能会采用具有约束力的公司规则来规范同一公司内部单位之间的数据传输。
1186
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
