说明:“考点拾遗”系列基于日常为学员和网友做的答疑整理,主要涉及教材中没有完全覆盖到的知识点。

关于SDLC软件开发生命周期(也作系统开发生命周期)的描述,在CBK、OSG、AIO几本常用教材中的描述居然都不一样,坑啊~~

CBK当中也说“There are many SDLC models available with different names for each phase, though they execute roughly the same steps in logical order. 存在很多SDLC模型,它们的各个阶段有不同的名称,尽管它们以逻辑顺序执行大致相同的步骤。”

不过CBK中所描述的5个阶段与NIST SP 800-64所定义的5个阶段基本吻合,并且从OPT和考古痕迹来看,考试中用的就是这一套。

SDLC阶段

各阶段的典型安全活动

CBK定义

NIST定义

Initiation
   启动(初始)

Initiation  and Design
   启动和设计
  • 机构确定对新的或修订的系统的需求,并记录其目的。
  • 安全规划,首先确定在系统开发阶段要执行的关键安全活动。
  • 对将要处理、传输或存储的信息进行安全需求评估,所有利益相关者应对安全考虑事项有共同的理解。
  • 确定系统授权官员(AO),即最终负责验收签字,允许系统上线的人。
  • 在这个阶段理解安全需求对于安全的有效集成至关重要。

Development
   开发

Development/Acquisition
   开发/采购
  • 系统开发人员应执行初始的功能和安全测试,准备初始的系统和安全文档,并建立系统的安全体系结构。
  • 选择适当安全控制和保障要求,满足最低安全要求。
  • 制定系统安全计划(SSP),描述已经或将要如何为系统提供安全控制。
  • 获得用于提供支持的资产和服务。

Deployment  &  delivery
   部署和交付

Implementation
   实施
  • 系统所有者负责配置和启用系统安全功能,并对系统进行安全控制评估(SCA)。
  • 审查和验证SCA结果,记录行动计划和里程碑列表。
  • 系统所有者签署ATO(Authorization  to Operate授权运行决定)
  • 系统授权官员(AO)审查最终的SA&A(System Assessment and  Authorization系统评估和授权)包,并决定是否授权系统运行。

注意,A&A(Assessment and  Authorization评估和授权,新)等同于C&A(certification  & accreditation认证与认可,旧),两种说法在当前考试中都有可能出现!

Operations  &  maintenance
   运营和维护

Operations  & Maintenance
   运营和维护
  • 系统生命周期中最长的阶段。
  • 定期审查和评估安全控制措施,以确保它们继续有效运行,并满足预期的安全目标。
  • 配置管理和变更管理。
  • ISCM信息安全持续监控。
  • 监控和评估中发现的弱点,需要由系统所有者加以解决,并在系统的操作和维护项目计划和预算中进行规划。

注意,SDLC可以随着用户需求的发展而迭代,所以像变更管理这样的关键过程可能会启动另一轮开发活动!

Disposal
   处置(废弃)

Disposal/Retirement
   处置(废弃)/退役
  • 系统所有者必须制定计划,安全合法地归档和/或废弃系统信息、硬件和软件,并可能将信息和资源转移到新系统。
  • 归档信息时,组织应考虑未来检索的需求和方法。
  • 废弃资产时需遵循保留和净化策略。

CISSP考点拾遗——SDLC(1)相关推荐

  1. CISSP考点拾遗——软件保障SwA

    说明:"考点拾遗"系列基于日常为学员和网友做的答疑整理,主要涉及教材中没有完全覆盖到的知识点. Software assurance is the level of confide ...

  2. CISSP考点拾遗——分割隧道与全隧道

    说明:"考点拾遗"系列基于日常为学员和网友做的答疑整理,主要涉及教材中没有完全覆盖到的知识点. 分割隧道Split Tunnel和全隧道Full Tunnel是VPN的两种配置. ...

  3. CISSP考点拾遗——BCP/DRP演练层次问题

    说明:"考点拾遗"系列基于日常为学员和网友做的答疑整理,主要涉及教材中没有完全覆盖到的知识点. 这部分各个教材用词略有差别,应对考试应以CBK为准. 这部分考试坑点多,注意我加粗的 ...

  4. CISSP考点拾遗——GDPR的跨境传输要求

    说明:"考点拾遗"系列基于日常为学员和网友做的答疑整理,主要涉及教材中没有完全覆盖到的知识点. GDPR涉及数据跨境这块,有三种情况,如下: 1.基于充分性认定的传送 如果欧盟委员 ...

  5. CISSP考点拾遗——公开测试Overt Testing和隐蔽测试Covert Testing

    这是一个找遍CISSP三个主要教材(CBK.OSG.AIO)都不见但考试会考到的内容(*^_^*)y 本文中内容主要出自NIST SP 800-115 信息安全测试和评估技术指南TECHNICAL G ...

  6. CISSP考点拾遗——介质净化

    一.不同安全级别和净化后去向的介质净化要求: Clear:应用逻辑技术清除所有用户可寻址存储位置的数据,以防范简单的非侵入式数据恢复技术:通常通过标准读写命令作用于存储设备,例如通过用新值覆写或使用菜 ...

  7. 2023年CISSP考点及预约时间参考

    CISSP考试知多点 考试形式:机考 题目类型:250道单项选择题(题目来自ISC2的题库每次考试题目都会变化) 满分1000分,通过成绩700分(250道题目中有25道用于调查目的,不记分但并不明确 ...

  8. 学习:EtherCAT总线三种同步模式分析

    EtherCAT总线三种同步模式分析 一. 分布式时钟作用 使所有EtherCAT设备使用相同的系统时间,从而控制各设备任务的同步执行. 二. 名词解析 1. 现场总线高速数据传递:即主站周期的向从站 ...

  9. 发送到谷歌邮箱的邮件在哪找_如何让Google表格为您发送个性化电子邮件

    发送到谷歌邮箱的邮件在哪找 Have you ever needed to send an email out to a group of people and wanted to personali ...

最新文章

  1. 【怎样写代码】工厂三兄弟之工厂方法模式(五):工厂方法模式扩展
  2. Oracle 10g如何对用户姓名,按首字母排序、查询
  3. Istio分层架构?80%的人有误解
  4. [BZOJ1799][Ahoi2009]self 同类分布(数位dp)
  5. leetcode1249. 移除无效的括号(栈)
  6. php dao类设计,DAO数据访问对象设计 - GoFrame官网 - 类似PHP-Laravel, Java-SpringBoot的Go企业级开发框架...
  7. Sonarqube 中文插件专栏
  8. 实测解决:SpringBoot 中 Invalid character found in the request target 异常
  9. IOC(控制反转)的理解
  10. 33款创意的二维码名片设计作品欣赏
  11. 序列号Serial Number管理
  12. 古代小说鉴赏辞典 - 郭子仪
  13. 前后端利用accessToken与refreshToken无感刷新
  14. python实验报告代写_python 代写python作业、Directory代写python实验、python编程作业帮做 、代做python程序设计...
  15. R语言使用order函数对dataframe数据进行排序、基于单个字段(变量)进行降序排序(DESCENDING)
  16. 11,SFDC 管理员篇 - 报表和数据的可视化
  17. Apollo API网关 阿波罗
  18. FFmpeg+OpenCV 读取摄像头
  19. 小程序(十)签到业务流程分析
  20. wps 流程图 跨页_流程图跨页(wps流程图怎么制作)

热门文章

  1. FPGAi2c总线调试M24LC04B
  2. vos3000如何检查落地网关配置正常,路由分析
  3. 写一个可以一键统一调整word文档格式的程序
  4. pion实现录制WebRTC流
  5. [openwrt] [WIFI] 修改默认的SSID和密码
  6. 笔记本计算机待机后显示器,笔记本电脑休眠后一直黑屏怎么回事_笔记本休眠后屏幕一直黑屏无法唤醒如何解决-win7之家...
  7. 视频教程-沐风老师3DMAX室内建模挤出法详解-3Dmax
  8. 坐标转换(像素转换米)
  9. 戏说CAD开发 最简单角度看CAD软件
  10. 抖音投放怎么收费?抖音投放展现方式有哪些