分類
CISSP

系統開發生命週期(SDLC)- 設計隱私

歐洲GDPR設計,這就要求隱私被考慮納入隱私貫穿整個設計過程。(維基百科)隱私影響分析甚至在開始階段進行的前一個工程項目啟動,如圖所示NIST SDLC。
https://ithelp.ithome.com.tw/upload/images/20210426/20132160EbM1u3vwC8.jpg
-NIST SDLC和RMF

威脅建模(Threat Modeling)
在系統工程的背景下,威脅建模可被視為專門的風險管理。由於存在許多威脅建模實踐和方法,人們可能會以多種方式不一致地實施它們。有人認為應在整個工程過程中進行,而大多數人則在設計階段進行。

信任但要驗證(Trust But Verify)
1987年12月8日,羅納德·裡根(Ronald Reagan)總統在INF條約上簽字後,“信任但核實”一詞被翻譯成俄語,並廣為人知。有些人將其與“零信任”相同,但其他人則不同。有人認為今天還不夠,應該用“驗證,驗證,驗證”或“零信任”代替。IMO,信任但驗證與零信任相同。

共同責任(Shared Responsibility)
共享責任是在雲計算中使用的模型,該模型定義了雲客戶與雲服務提供商之間的責任邊界。
https://ithelp.ithome.com.tw/upload/images/20210426/2013216055EuiDO1h9.png
-微軟共同責任模式

參考
設計隱私
威脅模型
信任但要驗證
IS審核基礎知識:信任,但要驗證
信任但核實:軍備控制條約和其他國際協議中的信息生產
信任,但驗證…為您的數據中心保護遠程監控
3家不信任“信任但驗證”的網絡安全公司
“信任但要驗證…”
零信任網絡安全–信任但要驗證!
與其說是“信任,而是要驗證”,不如說是“零信任”
當“信任但不能驗證”還不夠時:零信任世界中的生活
信任但要驗證:為什麼網絡安全對建築承包商很重要
共同責任模式解釋
共同責任模式
雲中的共同責任
吻原理

資料來源: Wentz Wu QOTD-20210303

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品等專業證照。此外,平常除了喜歡透過ITHelp平台及個人部落格分享文章,亦常擔任社群活動主辦者及志工,連結資安同好聯誼及共好學習,並協助對於CISSP有興趣的同學與同好準備認證考試。