● 93 entries
合规与框架
- 残余风险在已规划的控制和处置措施实施之后仍然存在的风险,组织必须选择接受、转移或进一步处置。
- 单点故障(SPOF)某个组件单独发生故障即可导致整个系统停摆,破坏可用性、韧性与恢复目标。
- 第三方风险管理(TPRM)对第三方进行识别、评估、签约、持续监控直至退出的端到端管理流程,使其带来的网络、运营与合规风险保持在偏好之内。
- 定量风险分析用数字表达发生可能性与影响的风险分析方法,通常以概率和货币损失分布来支撑数据驱动的决策。
- 定性风险分析采用低/中/高或 1-5 等描述性等级来评估发生可能性与影响,而不使用货币或概率数值的风险分析方法。
- 风险处置依据组织的风险准则,对风险作出修改性的决定与行动,通常包括接受、缓解、转移或规避。
- 风险登记册记录已识别风险的描述、责任人、评分、处置和状态的动态清单,用于跟踪组织在不同时间的风险敞口。
- 风险管理对风险进行识别、分析、评估、处置、监控与沟通的协调过程,以将风险保持在组织既定的容忍度之内。
- 风险偏好由董事会和高层确定的、组织为实现战略目标而愿意追求或承担的风险的总体数量与类型。
- 风险评估风险管理中的结构化活动,针对特定资产识别威胁、脆弱性与影响,并对由此产生的风险进行评级,以支持处置决策。
- 风险容忍度围绕具体目标或风险类别的可接受波动范围,以从风险偏好衍生出的定量或定性限值表达。
- 攻击面(Attack Surface)攻击者可以尝试进入、窃取数据或操控系统的所有点的总和,包括网络、软件、身份、供应链与人员。
- 攻击向量(Attack Vector)攻击者用以获取目标未授权访问的具体路径或技术,如钓鱼、利用某 CVE 漏洞或使用被窃凭据。
- 供应商安全评估在业务合作开始前及合作期间,对第三方供应商的安全控制、策略与实践进行的结构化评估,用以衡量其带来的风险。
- 供应商风险管理TPRM 的子集,聚焦于评估和监督直接供应商,尤其关注其安全、隐私与运营韧性实践。
- 固有风险在任何控制或缓解措施实施之前,某项活动或资产所固有的风险水平,反映对威胁的原始暴露程度。
- 合规通过文档化控制、证据收集和持续评估,满足法律、监管、合同及内部安全要求的实践。
- 靠隐蔽求安全(Security by Obscurity)把保密系统的设计、实现或位置当作主要防御手段,而不是依靠其内在强度的做法。
- 蒙特卡洛风险模拟通过从输入概率分布中抽取上千次随机场景来估计风险的计算方法,生成可能结果的概率分布。
- 欧盟人工智能法案欧盟第 2024/1689 号条例,确立基于风险方法的人工智能统一规则,于 2025 至 2027 年分阶段适用。
- 企业风险管理(ERM)面向全企业的整合性方法,识别、治理和处置战略、财务、运营、合规和网络等各类风险,使之与业务目标一致。
- 萨班斯-奥克斯利法案(SOX)2002 年美国联邦法律,对上市公司施加治理、内部控制和报告要求,以保护投资者利益。
- 数据保护影响评估(DPIA)在开展高风险个人数据处理前,按 GDPR 第 35 条要求进行的结构化评估,用于识别并缓解对个人权利与自由的风险。
- 数据处理协议 (DPA)GDPR 第 28 条要求的具有约束力的合同,在控制者委托处理者代为处理个人数据时签署。
- 网络保险一类专门的保险产品,将网络事件造成的财务影响——包括应急响应、业务中断和法律责任——转移给保险公司承担。
- 威胁态势(Threat Landscape)组织、行业或地区当前面临威胁的全貌:威胁行为者、战术、恶意软件家族、漏洞及其随时间变化的趋势。
- 威胁载体(Threat Vector)威胁行为者借以投递攻击的渠道或手段,常与攻击向量互换使用,但更偏向威胁建模视角。
- 知必要原则(Need-to-Know)只有因职责需要的人员才能获取相关信息的安全原则,即使其拥有相应的访问许可级别。
- 职责分离(SoD)将敏感任务拆分给多名人员或多个系统的控制原则,确保没有任何单一行为者能独立完成该任务。
- 纵深防御(Defense in Depth)通过叠加相互独立的安全控制,使任一控制失效时,其他控制仍能防御、检测或遏制攻击的策略。
- Atomic Red TeamRed Canary 推出的开源测试库,提供细粒度、聚焦的测试用例,模拟单个 MITRE ATT&CK 技术,用以验证检测能力和安全控制。
- CAPECCommon Attack Pattern Enumeration and Classification,由 MITRE 维护的公开攻击模式目录,描述攻击者用以利用已知弱点的常见手法。
- CCPA美国加州消费者隐私法,赋予加州居民对企业所持有的个人信息相关权利。
- CCSPISC2 颁发的云安全认证,覆盖架构、数据保护、平台与基础设施安全、运营以及主流云厂商的法律合规问题。
- CEHEC-Council 颁发的道德黑客认证,系统讲解攻击者使用的工具与技术,涵盖侦察、漏洞利用、Web、无线和云端测试。
- CIA 三元组信息安全的基础模型,将目标归纳为机密性(Confidentiality)、完整性(Integrity)与可用性(Availability)。
- CIS Controls由 Center for Internet Security 维护的优先级排序的最佳实践网络安全控制集,用于防御最常见的网络攻击。
- CISAISACA 颁发的信息系统审计师认证,覆盖审计流程、治理、采购开发、运营与信息资产保护五个领域。
- CISMISACA 颁发的管理层信息安全资格,涵盖治理、风险、项目建设与事件管理四大领域,面向信息安全经理。
- CISSP由 ISC2 颁发的高级、厂商中立的安全认证,覆盖通用知识体系 CBK 的八大领域,并要求至少五年带薪相关工作经验。
- CMMC美国国防部的认证计划,用于核实国防工业基础中的承包商是否具备充分的网络安全控制能力。
- COBITISACA 制定的企业信息与技术治理与管理框架,将业务目标与 IT 目标和控制相连接。
- CompTIA Security+由 CompTIA 颁发的入门级、厂商中立的网络安全认证,涵盖威胁、架构、运营和治理基础,面向初级从业人员。
- CPRA2020 年《加州隐私权法》,对 CCPA 进行修订和扩充,于 2023 年 1 月 1 日全面生效。
- CRISCISACA 颁发的 IT 风险与控制专业认证,涵盖治理、IT 风险评估、风险响应与报告、控制选择四个领域。
- CVE Numbering Authority (CNA)由 CVE 计划授权,在其规定的范围内为漏洞分配 CVE ID 并发布 CVE 记录的组织。
- DORA 条例欧盟第 2022/2554 号《数字运营韧性法案》,自 2025 年 1 月 17 日起适用于金融业。
- DPF欧美数据隐私框架,2023 年 7 月通过的充分性机制,取代《隐私盾》用于跨大西洋个人数据传输。
- DREAD 模型一种定性风险评分模型,从 Damage、Reproducibility、Exploitability、Affected users、Discoverability 五个维度对威胁打分。
- FAIR(信息风险因子分析)一项开放的国际标准,通过将风险分解为损失事件频率与损失量级等因子,在财务维度上量化信息风险与网络风险。
- FedRAMP美国政府项目,统一规范联邦机构所使用云服务的安全评估、授权和持续监控。
- FERPA美国联邦法律,保护学生教育记录的隐私,并赋予家长和符合条件的学生对这些记录的权利。
- FISMA美国联邦法律,要求联邦机构及其承包商对处理政府数据的系统实施基于风险的信息安全计划。
- GDPR(欧盟通用数据保护条例)欧盟通用数据保护条例,规范对位于欧盟和欧洲经济区个人的个人数据处理活动。
- GIAC 认证由 GIAC 颁发、与 SANS Institute 培训紧密配套的一系列基于岗位的网络安全认证,涵盖运营、事件响应、取证与渗透测试等方向。
- Gramm-Leach-Bliley Act (GLBA)美国联邦法律,要求金融机构保护客户信息并说明其信息共享做法。
- HIPAA美国《健康保险流通与责任法》,为可识别个人健康信息的保护设立国家级标准。
- HITRUST以风险与合规为核心的安全框架 HITRUST CSF,广泛用于美国医疗行业以证明对 HIPAA、NIST 等权威来源的对齐。
- ISO/IEC 27001信息安全管理体系(ISMS)要求的国际标准,组织可据此通过正式认证。
- ISO/IEC 27002国际信息安全控制实施指南,为 ISO/IEC 27001 附录 A 中列出的控制提供详细实施建议。
- ITIL由 AXELOS/PeopleCert 发布、全球公认的 IT 服务管理最佳实践框架,贯穿服务价值体系。
- LGPD巴西《通用数据保护法》(第 13.709/2018 号法律),自 2020 年 9 月 18 日起生效,规范公共和私营部门对个人数据的处理。
- MITRE ATT&CK由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
- MITRE D3FEND由 MITRE 维护的网络安全防御对策知识图谱,描述防御技术及其作用的数字工件,是 MITRE ATT&CK 的防御侧补充。
- NIS2 指令欧盟第 2022/2555 号指令,提高了欧盟范围内基本实体和重要实体的网络安全基线要求和事件报告义务。
- NIST 风险管理框架NIST 在 SP 800-37 中定义的七步流程,用于将安全、隐私和供应链风险管理整合到系统生命周期中。
- NIST 网络安全框架由美国国家标准与技术研究院发布的自愿性、基于风险的框架,将网络安全目标分为六大核心功能。
- NIST SP 800-171NIST 发布的标准,规定非联邦组织在存储或处理受控非保密信息(CUI)时必须满足的安全要求。
- NIST SP 800-30NIST 特别出版物,提供对信息系统及其支撑业务进行风险评估的方法指南。
- NIST SP 800-37NIST 风险管理框架,定义了一套覆盖系统全生命周期、用于管理安全与隐私风险的七步流程。
- NIST SP 800-53NIST 发布的安全与隐私控制综合目录,适用于美国联邦信息系统及众多私营部门采用者。
- NIST SP 800-61NIST 发布的《计算机安全事件处置指南》,描述政府与行业事件响应团队普遍采用的四阶段生命周期。
- OCTAVE 方法由卡内基梅隆大学 SEI 提出的信息安全风险评估方法,聚焦关键资产层面的组织与运营风险。
- OSCPOffensive Security 颁发的实操型攻击安全认证,需要在 24 小时的监考实战考试中攻陷实验网络。
- OSSTMM由 ISECOM 维护的开源、同行评审的安全测试方法,定义了跨五个通道、科学且可重复的运营安全度量。
- OWASP 移动 Top 10OWASP 发布的意识文档,列出 iOS、Android 等平台移动应用最关键的安全风险。
- OWASP API 安全 Top 10OWASP 发布的意识文档,列出影响 Web API 的最关键安全风险,作为通用 OWASP Top 10 的补充。
- OWASP ASVSOWASP 应用安全验证标准,提供一套可测试的安全需求清单,用于设计、构建并验证 Web 应用与 API。
- OWASP Dependency-CheckOWASP 提供的开源软件成分分析工具,通过 CPE 与 CVE 数据匹配项目依赖,报告已知漏洞。
- OWASP MASVSOWASP 移动应用安全验证标准,为 iOS 与 Android 移动应用提供可测试的安全需求基线。
- OWASP SAMMOWASP 软件保障成熟度模型,用于持续衡量和改进组织安全软件开发实践的框架。
- OWASP Top 10OWASP 发布的安全意识文件,列出 Web 应用最关键的安全风险,基于真实漏洞数据定期更新。
- OWASP WSTGOWASP Web 安全测试指南,内容详尽的开源手册,描述如何针对最常见的 Web 应用安全弱点进行测试。
- OWASP ZAPZed Attack Proxy,源自 OWASP、目前由 Checkmarx 与 ZAP 社区共同维护的开源 Web 应用安全测试工具。
- PASTA 威胁建模Process for Attack Simulation and Threat Analysis,以风险为中心、七阶段的威胁建模方法,将技术威胁与业务影响对齐。
- PCI DSS适用于存储、处理或传输支付卡数据的组织的全球信息安全标准,由 PCI 安全标准委员会维护。
- PIPEDA加拿大联邦私营部门隐私法,规范组织在商业活动中收集、使用和披露个人信息的方式。
- PTES社区构建的渗透测试方法论,将一次项目划分为七个阶段,从前期沟通直至报告与修复建议。
- SANS Top 25由 MITRE 与 SANS Institute 共同维护并每年发布的列表,基于真实 CVE 数据列出最危险的软件弱点。
- SCC标准合同条款是由欧盟委员会批准的合同模板,为将个人数据传输到欧洲经济区(EEA)以外提供符合 GDPR 的保障措施。
- SOC 2由 AICPA 制定的鉴证标准,由独立审计师依据 Trust Services Criteria 评估服务型组织的控制措施。
- STRIDE 模型Microsoft 提出的威胁分类框架,将软件威胁归类为 Spoofing、Tampering、Repudiation、Information Disclosure、Denial of Service 与 Elevation of Privilege。
- Trike一种开源威胁建模方法,采用以需求为导向、基于风险的视角,围绕参与者、资产及其允许的操作展开。