Sto studiando per l'esame CCSP e sono confuso con alcune delle terminologie tra Struttura normativa dell'organizzazione e quadro normativo per le applicazioni .
Il materiale di formazione li definisce come:
Organization normative framework: An organization-wide framework where all application security best practices recognized by the organization are stored.
Application normative framework: A set of application security controls and application security processes that apply to a particular application, based on its contexts, specifications, and it's development & operational processes (a.k.a application lifecycle).
Ho capito che il framework normativo dell'applicazione è limitato ai soli controlli di sicurezza per un'applicazione ONE ... e che rientra nel quadro normativo dell'organizzazione ... Ma è tutto ciò che è l'ONF? L'ONF è solo un secchio con secchi più piccoli? Ho la sensazione non confermata che l'ONF ha molto di più e potrebbe contenere altre informazioni non correlate alla sicurezza dell'applicazione.
Ho chiesto a Mr Google di questo ed è difficile trovare una fonte autorevole (senza pagare $$$ per la specifica ISO 27034).