D2-07 5–8 分钟 重要程度:中
安全基线、范围界定与按需定制
安全基线提供最低要求,但不是所有控制都适用于每个系统。Scoping 和 Tailoring 用来让控制适合实际任务。
一、必须记住
- Security baseline 是最低安全配置或控制要求。
- Scoping 是审查基线控制并选择适用于系统的控制。
- Tailoring 是修改基线控制,使其符合组织任务和需求。
- 外部标准可能定义强制要求,如 PCI DSS、GDPR。
- 并非所有组织都需要遵守所有标准。
二、核心概念
Scoping
范围界定是从基线控制清单中选择适用于目标系统的控制。例如系统不允许多人同时登录,就不需要并发会话控制。
Tailoring
按需定制是调整控制内容、参数或实现方式,使安全控制适合组织任务、环境和风险。
外部标准
PCI DSS 适用于处理信用卡数据的组织;GDPR 适用于涉及欧盟个人数据处理或跨境传输的组织。
三、CISSP 判断规则
- 问选择适用控制,优先 Scoping。
- 问修改控制以符合任务需求,优先 Tailoring。
- 问信用卡处理合规,优先 PCI DSS。
- 问欧盟个人数据,优先 GDPR。
四、常见陷阱
- 基线不是一成不变,仍需范围界定和按需定制。
- 不处理信用卡交易通常不需要 PCI DSS。
- 不涉及欧盟个人数据也不一定适用 GDPR。
五、英文关键字
Security baseline (安全基线) 定义:最低安全配置或控制要求。 Scoping (范围界定) 定义:从基线控制清单中选择适用于系统的控制。 Tailoring (按需定制) 定义:调整控制内容,使其适合组织任务和风险。 PCI DSS (支付卡行业数据安全标准) 定义:处理信用卡数据的组织需要关注。 GDPR (通用数据保护条例) 定义:欧盟个人数据保护法规。 Compliance (合规) 定义:符合法律、法规、合同和标准要求。 Standard (标准) 定义:强制性统一要求。 Baseline (基线) 定义:最低安全要求。
小测验
1. 从基线控制清单中选择适用于目标系统的控制,称为?
Scoping 是范围界定,选择适用于系统的控制。
2. 修改基线控制使其符合组织任务需求,称为?
Tailoring 是按需定制。
3. 处理信用卡数据的组织通常要关注哪个标准?
PCI DSS 定义处理信用卡数据的要求。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成