CISSP認證教材OSG第9版有增加的知識點，CISSP認證的教材新版知識點可能會在考試中出現(xiàn)，因此我們?yōu)榇蠹疫M行了梳理，CISSP認證教材OSG第9版新增(改)知識點如下。

D1-安全和風險管理

1、增加安全邊界的概念(p13)

安全邊界是具有不同安全要求的任何兩個區(qū)域、子網(wǎng)或環(huán)境之間的交界線。識別網(wǎng)絡和物理 環(huán)境中的安全邊界非常重要。一旦確定了安全邊界，就必須部署機制來控制跨該邊界的信息 流。

2、糾正應盡職責和應盡關注概念(p23)

糾正了 8th 中的錯誤，改為：應盡職責(Due Diligence)是制定計劃、策略和流程來保護組 織的利益。應盡關注(Due Care)只是開展一系列活動來維持應盡職責的工作。

3、增加供應鏈風險管理(p31)

供應鏈風險管理 (SCRM) 是確保供應鏈中的所有供應商或環(huán)節(jié)都是可靠的、值得信賴的、有 信譽的組織，這些供應商組織向其業(yè)務合作伙伴披露其做法和安全要求的措施。

4、增加了 UBA 和 UEBA(p49)

用戶行為分析 (UBA) 以及用戶和實體行為分析 (UEBA) 是為了某些特定目標或目的來分析 用戶、主體、訪問者、客戶等行為的概念。UEBA 中的 E 將分析擴展到包括發(fā)生的實體活動， 這些活動不一定與用戶的特定操作直接相關或綁定，但仍可能與漏洞、偵察、入侵、破壞或 漏洞利用發(fā)生相關。從 UBA/UEBA 監(jiān)控中收集的信息可用于改進人員安全政策、程序、培 訓和相關的安全監(jiān)督計劃。

5、完整介紹社會工程學(p81)

社會工程學是一種利用人性和人類行為的攻擊形式。社會工程攻擊的原則旨在關注人性的各 個方面并利用它們，主要包括：權(quán)威(Authority)、恐嚇(Intimidation)、共識(Consensus)、 稀缺性(Scarcity)、熟悉度(Familiarity)、信任(Trust)、緊迫性 (Urgency)。常見的攻擊形式包括：獲取信息、附加、釣魚、魚叉式釣魚、捕鯨、短信詐騙、電話釣魚、垃圾郵件、 肩窺、發(fā)票詐騙、騙局、模仿和偽裝、尾隨和捎帶、垃圾搜索、身份欺騙、搶注、影響運動等。

6、完善了 GDPR 的概念(p166)

GDPR 的關鍵條款包括：合法性、公平性和透明度;用途限制;數(shù)據(jù)最小化;準確性;安全 性;問責制。

跨境信息共享的兩個選擇：

a. 組織可能會采用一套標準合同條款，這些條款已被批準用于將信息傳輸?shù)綒W盟以外的情 況;

b. 組織可能會采用具有約束力的公司規(guī)則來規(guī)范同一公司內(nèi)部單位之間的數(shù)據(jù)傳輸。

關注中培偉業(yè)，了解更多CISSP相關信息。