CISSP認證教材OSG第9版有增加的知識點，CISSP認證的教材新版知識點可能會在考試中出現，因此我們為大家進行了梳理，CISSP認證教材OSG第9版新增(改)知識點如下。

D1-安全和風險管理

1、增加安全邊界的概念(p13)

安全邊界是具有不同安全要求的任何兩個區域、子網或環境之間的交界線。識別網絡和物理 環境中的安全邊界非常重要。一旦確定了安全邊界，就必須部署機制來控制跨該邊界的信息 流。

2、糾正應盡職責和應盡關注概念(p23)

糾正了 8th 中的錯誤，改為：應盡職責(Due Diligence)是制定計劃、策略和流程來保護組 織的利益。應盡關注(Due Care)只是開展一系列活動來維持應盡職責的工作。

3、增加供應鏈風險管理(p31)

供應鏈風險管理 (SCRM) 是確保供應鏈中的所有供應商或環節都是可靠的、值得信賴的、有 信譽的組織，這些供應商組織向其業務合作伙伴披露其做法和安全要求的措施。

4、增加了 UBA 和 UEBA(p49)

用戶行為分析 (UBA) 以及用戶和實體行為分析 (UEBA) 是為了某些特定目標或目的來分析 用戶、主體、訪問者、客戶等行為的概念。UEBA 中的 E 將分析擴展到包括發生的實體活動， 這些活動不一定與用戶的特定操作直接相關或綁定，但仍可能與漏洞、偵察、入侵、破壞或 漏洞利用發生相關。從 UBA/UEBA 監控中收集的信息可用于改進人員安全政策、程序、培 訓和相關的安全監督計劃。

5、完整介紹社會工程學(p81)

社會工程學是一種利用人性和人類行為的攻擊形式。社會工程攻擊的原則旨在關注人性的各 個方面并利用它們，主要包括：權威(Authority)、恐嚇(Intimidation)、共識(Consensus)、 稀缺性(Scarcity)、熟悉度(Familiarity)、信任(Trust)、緊迫性 (Urgency)。常見的攻擊形式包括：獲取信息、附加、釣魚、魚叉式釣魚、捕鯨、短信詐騙、電話釣魚、垃圾郵件、 肩窺、發票詐騙、騙局、模仿和偽裝、尾隨和捎帶、垃圾搜索、身份欺騙、搶注、影響運動等。

6、完善了 GDPR 的概念(p166)

GDPR 的關鍵條款包括：合法性、公平性和透明度;用途限制;數據最小化;準確性;安全 性;問責制。

跨境信息共享的兩個選擇：

a. 組織可能會采用一套標準合同條款，這些條款已被批準用于將信息傳輸到歐盟以外的情 況;

b. 組織可能會采用具有約束力的公司規則來規范同一公司內部單位之間的數據傳輸。

關注中培偉業，了解更多CISSP相關信息。