D2-07 5–8 分钟 重要程度:中

安全基线、范围界定与按需定制

安全基线提供最低要求,但不是所有控制都适用于每个系统。Scoping 和 Tailoring 用来让控制适合实际任务。

一、必须记住

  • Security baseline 是最低安全配置或控制要求。
  • Scoping 是审查基线控制并选择适用于系统的控制。
  • Tailoring 是修改基线控制,使其符合组织任务和需求。
  • 外部标准可能定义强制要求,如 PCI DSS、GDPR。
  • 并非所有组织都需要遵守所有标准。

二、核心概念

Scoping

范围界定是从基线控制清单中选择适用于目标系统的控制。例如系统不允许多人同时登录,就不需要并发会话控制。

Tailoring

按需定制是调整控制内容、参数或实现方式,使安全控制适合组织任务、环境和风险。

外部标准

PCI DSS 适用于处理信用卡数据的组织;GDPR 适用于涉及欧盟个人数据处理或跨境传输的组织。

三、CISSP 判断规则

  • 问选择适用控制,优先 Scoping。
  • 问修改控制以符合任务需求,优先 Tailoring。
  • 问信用卡处理合规,优先 PCI DSS。
  • 问欧盟个人数据,优先 GDPR。

四、常见陷阱

  • 基线不是一成不变,仍需范围界定和按需定制。
  • 不处理信用卡交易通常不需要 PCI DSS。
  • 不涉及欧盟个人数据也不一定适用 GDPR。

五、英文关键字

Security baseline (安全基线) Scoping (范围界定) Tailoring (按需定制) PCI DSS (支付卡行业数据安全标准) GDPR (通用数据保护条例) Compliance (合规) Standard (标准) Baseline (基线)

小测验

1. 从基线控制清单中选择适用于目标系统的控制,称为?

Scoping 是范围界定,选择适用于系统的控制。

2. 修改基线控制使其符合组织任务需求,称为?

Tailoring 是按需定制。

3. 处理信用卡数据的组织通常要关注哪个标准?

PCI DSS 定义处理信用卡数据的要求。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成