合规与框架 术语

30 terms

• 合规

  通过文档化控制、证据收集和持续评估,满足法律、监管、合同及内部安全要求的实践。

• NIST 网络安全框架

  由美国国家标准与技术研究院发布的自愿性、基于风险的框架,将网络安全目标分为六大核心功能。

• NIST SP 800-53

  NIST 发布的安全与隐私控制综合目录,适用于美国联邦信息系统及众多私营部门采用者。

• NIST SP 800-171

  NIST 发布的标准,规定非联邦组织在存储或处理受控非保密信息(CUI)时必须满足的安全要求。

• ISO/IEC 27001

  信息安全管理体系(ISMS)要求的国际标准,组织可据此通过正式认证。

• ISO/IEC 27002

  国际信息安全控制实施指南,为 ISO/IEC 27001 附录 A 中列出的控制提供详细实施建议。

• CIS Controls

  由 Center for Internet Security 维护的优先级排序的最佳实践网络安全控制集,用于防御最常见的网络攻击。

• MITRE ATT&CK

  由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。

• MITRE D3FEND

  由 MITRE 维护的网络安全防御对策知识图谱,描述防御技术及其作用的数字工件,是 MITRE ATT&CK 的防御侧补充。

• PCI DSS

  适用于存储、处理或传输支付卡数据的组织的全球信息安全标准,由 PCI 安全标准委员会维护。

• GDPR(欧盟通用数据保护条例)

  欧盟通用数据保护条例,规范对位于欧盟和欧洲经济区个人的个人数据处理活动。

• CCPA

  美国加州消费者隐私法,赋予加州居民对企业所持有的个人信息相关权利。

• HIPAA

  美国《健康保险流通与责任法》,为可识别个人健康信息的保护设立国家级标准。

• 萨班斯-奥克斯利法案(SOX)

  2002 年美国联邦法律,对上市公司施加治理、内部控制和报告要求,以保护投资者利益。

• 格雷姆-里奇-比利雷法案(GLBA)

  美国联邦法律,要求金融机构保护客户非公开个人信息的安全性与机密性。

• FERPA

  FERPA — definition coming soon.

• FISMA

  FISMA — definition coming soon.

• FedRAMP

  FedRAMP — definition coming soon.

• CMMC

  CMMC — definition coming soon.

• SOC 2

  SOC 2 — definition coming soon.

• COBIT

  COBIT — definition coming soon.

• ITIL

  ITIL — definition coming soon.

• OWASP Top 10

  OWASP Top 10 — definition coming soon.

• SANS Top 25

  SANS Top 25 — definition coming soon.

• CVE Numbering Authority (CNA)

  CVE Numbering Authority (CNA) — definition coming soon.

• Trike

  Trike — definition coming soon.

• DREAD Model

  DREAD Model — definition coming soon.

• STRIDE Model

  STRIDE Model — definition coming soon.

• NIST Risk Management Framework

  NIST Risk Management Framework — definition coming soon.

• Data Protection Impact Assessment

  Data Protection Impact Assessment — definition coming soon.