PCI_DSS_v2_Summary_of_Changes_102610_final_ZH-TW

支付卡行業 (PCI) 資料安全標準 2010 年 10 月

概述概述通篇概述概述合規性證明移除的詞彙表之特定參考內容一般不再作為其他詞彙表術語的參考從附錄和單獨創建的文件中移除的合規性證明相應更新了整個文檔的參考和附錄標題概述概述引言和 PCI 資料安全標準概要概述概述 PCI DSS 適用性資訊增加 PCI DSS 在保護持卡人資料方面所起作用的資訊更新了高級概要圖形, 以反映標準要求標題說明 PCI DSS 是合規性評估中使用的評估工具增加有關 PCI SSC 網站可用資源的資訊增加術語帳戶資料, 與 PTS 安全交易和資料讀取 (SRED) 模塊保持一致提供更多持卡人資料和敏感認證資料詳情說明主帳戶號碼 (PAN) 是關係到 PCI DSS 要求適用性的決定性因素移除用於說明其他法規的註腳, 並用更新的段落文本替換更新的段落文本和適用性表格, 用於說明按照 PCI DSS 要求 3.4, 哪些資料元素必須實現不可讀性不存在概述 PCI DSS 與 PA-DSS 的關係增加反映 PA-DSS 內容的新章節說明單獨使用一個 PA-DSS 規定的應用程式不能符合完整的 PCI DSS 規定概述概述 PCI DSS 要求合規性的評估範疇增加虛擬化元件到系統元件的定義說明持卡人資料環境由儲存處理或傳輸持卡人資料的人員程序和技術組成其他指南其他指南其他指南 2010 年 10 月第 2 頁, 共 18 頁

概述概述 PCI DSS 要求合規性的評估範疇概述概述網路區段劃分概述概述無線概述概述第三方 / 外包增加詳細段落来說明 PCI DSS 審查的第一步是識別持卡人資料的所有位置和流量並確保在評估中包括所有這些位置, 以此準確確定評估範疇增加說明, 指出區段劃分可以透過物理或邏輯兩種手段實現對說明該詞含義的一些措辭的次要替換說明重點是 WLAN 而不是 LAN 為實現一致性的次要術語變更概述概述業務場所和系統元件抽樣概述概述合規性報告的說明與內容說明由評估者單獨取樣, 並且必須首先對業務場所取樣, 然後才對每個選定場所中的系統元件取樣說明取樣不會減小持卡人資料環境範疇或降低 PCI DSS 適用性, 不允許對單個 PCI DSS 要求取樣說明評估者使用取樣時必須記錄的特定標準增加標準, 要求評估者每次評估時必須重新驗證取樣基本原理增加評估者標準, 以報告如何驗證評估第 2 部分中 PCI DSS 範疇的準確性更新第 2 部分中取樣基本原理和樣本量驗證的報告詳情, 使其與取樣章節的說明內容一致在第 3 部分中說明所訪問個人的清單應包含他們的組織和包括的主題將評估時限從第 2 部分移至第 4 部分, 並增加內容, 說明時限應表明評估持續時間並明確評估時段將第 5 部分中的 PCI DSS 安全掃描程序變更為核准掃描供應商方案指南增加對第 6 部分中不適用回應的解釋為實現一致性的次要措辭變更概述概述 PCI DSS 合規性完成步驟更新 PCI SSC 網站上的合規性證明參考其他指南其他指南其他指南 2010 年 10 月第 3 頁, 共 18 頁

概述概述詳細的 PCI DSS 要求和安全評估程序 1 1 引言段落增加說明, 指出不適用回應將放在到位欄報告為實現一致性的次要措辭變更增加說明, 指出其他提供防火牆功能的系統元件必須按照要求 1 處理其他指南 1.1.3 1.1.3.a, 1.1.3.b 測試程序將測試程序 1.1.3 分為單獨測試程序 1.1.3.a 至 1.1.3.b 1.1.5 1.1.5 要求 1.2 1.2 要求 1.3 1.3 測試程序增加不安全的服務協定或連接埠的範例更新要求, 以便與測試程序保持一致重組以說明程序目的 1.3.1 1.3.1 1.3.3 1.3.3 1.3.5 1.3.5 1.3.6 1.3.6 測試程序 1.3.7 1.3.7 說明 DMZ 要求的目的, 即限制到提供服務協定和連接埠的系統元件的輸入流量說明網際網路和內部網路之間不允許直接連接說明此要求的目的是只允許授權輸出流量移除連接埠掃描器使用規範, 使測試程序具有更大靈活性說明要求適用於任何的持卡人資料儲存, 不只是資料庫其他指南 2010 年 10 月第 4 頁, 共 18 頁

舊有章節或要求新增 1.3.8 1.3.8.a 1.3.8.b 說明此要求的目的在於防止私人 IP 位址洩露到網際網路並確保此類向外部實體的洩露已獲授權移除 IP 偽裝及使用網路位址轉換 (NAT) 技術的特定參考, 並增加防止私人 IP 位址披露方法的範例將測試程序分為兩個子程序其他指南 1.4.b 1.4.b 測試程序 2.1 2.1 要求說明員工擁有電腦的使用者不應變更個人防火牆軟體, 以便測試程序與要求保持一致為實現一致性的次要措辭變更 2.1.1 2.1.1.a 2.1.1.e 移除與要求 4.1.1 重疊的內容, 說明此要求的目的是確保變更供應商的預設設定將測試程序 2.1.1 分為單獨測試程序 2.1.1a 至 2.1.1.e 移除 WPA, 因為其本身不再被視作有效加密 2.2 2.2 6.2.b 2.2.b 測試程序 2.2.b 2.2.d 測試程序 2.2.1 2.2.1 要求不存在 2.2.1.b 測試程序將系統強化標準範例從測試標準移至要求, 並增加強化標準的 ISO 來源將內容從之前的測試程序 6.2.b 移至 2.2.b, 確保更新要求 6.2 中識別的系統設定標準漏洞將測試程序 2.2.b 重新編號為 2.2.d 更新要求, 說明每個伺服器一項主要功能和使用虛擬化的目的新的虛擬化技術可選測試程序將測試程序 2.2.1 重新編號為 2.2.1.a 其他指南其他指南 2010 年 10 月第 5 頁, 共 18 頁

舊有章節或要求新增 2.2.2 2.2.2, 2.2.2.a 2.2.2.b 2.2.4 2.2.4.a - 2.2.4.c 2.3 2.3, 2.3.a 2.3.c 說明只可啟用必要和安全的服務協定守護程序等, 並給出有關範例說明針對不安全項目 ( 如服務等 ) 執行的安全功能將測試程序 2.2.2 分為單獨的程序 2.2.2.a 和 2.2.2.b. 測試程序將測試程序 2.2.4 分為單獨的程序 2.2.4.a 至 2.2.4.c 說明必須有效加密將測試程序 2.3 分為單獨的程序 2.3.a 至 2.3.c 3 3 引言段落 3.1 3.1 說明未受保護 PAN 不應使用電子郵件和即時傳訊等終端使用者信息技術發送將此要求改為更一般的要求, 將之前在 3.1 中的測試程序移至新 3.1.1 ( 見下文 ) 不存在 3.1.1, 3.1.1.a 3.1.1.e 將之前的測試程序 3.1 重新編號並分為兩個單獨的測試程序 3.1.1.a 至 3.1.1.d 使要求更詳盡, 與測試程序保持一致新測試程序 3.1.1.e 用以說明評估者應核實儲存資料未超出政策定義的保留要求 3.2 3.2 3.2.1 3.2.1 增加要求備註, 說明允許發卡機構和公司支援發卡處理, 以便在有商業論證時儲存敏感驗證資料, 並安全儲存資料增加新測試程序 3.2, 使支援發卡服務的發卡機構和公司可確認在儲存 SAD 後商業論證是否存在將之前的測試程序 3.2 重新編號為 3.2.b, 並以適用所有其他實體作為引語將包含在芯片中替換為芯片上的相當資料, 以保持一致性 2010 年 10 月第 6 頁, 共 18 頁

3.2.1 3.2.3 3.2.1 3.2.3 測試程序 3.4 3.4 要求 3.4.d 3.4.d 測試程序 3.4.1.c 3.4.1.c 測試程序 3.5 3.5 要求 3.5.1 3.5.1 測試程序說明測試程序可用作檢查資料來源, 包括但不限於以下內容說明該要求僅適用於 PAN 移除最小帳戶資訊的備註, 因為這已在該要求和 PCI DSS 適用性表中說明說明是否要求使用雜湊或截斷使 PAN 不可讀增加備註, 識別在同一環境中雜湊和截斷 PAN 的風險, 同時必須有額外安全控制以確保最初的 PAN 資料不可讀刪除補償性控制使用的備註 ( 由於補償性控制可適用於大多數 PCI DSS 要求 ) 說明 PAN 應被設為不可讀或移除, 而不是已被處理或移除, 因為處理與移除意思重複說明應確認磁碟是否不用於加密可移動媒體, 如果是, 那麼將需要使用其他方法說明必須防止任何用於保護持卡人資料安全的密鑰免遭洩露和濫用增加備註, 說明如果使用密鑰, 此要求如何應用於密鑰加密密鑰更新測試程序, 要求保持一致 3.5.2 3.5.2, 3.5.2.a 3.5.2.b 增加測試程序, 與要求保持一致 3.6 3.6 將測試程序備註移至要求中在測試程序 3.6.b 中說明服務提供商應按照 3.6.1 至 3.6.8 子要求向客戶提供包括傳輸儲存更新客戶密鑰 ( 不只是儲存 ) 在內的密鑰管理指南刪除子要求中有關確保這些密鑰傳輸安全的備註 2010 年 10 月第 7 頁, 共 18 頁

3.6.4 3.6.4 3.6.5 3.6.5 3.6.6 3.6.6 3.6.8 3.6.8 將至少每年一次必須變更密鑰改為密鑰週期到期後必須變更密鑰增加行業最佳實務指南變更措辭, 說明如果密鑰完整性減弱, 則必須淘汰或替代密鑰, 並提供有關範例增加備註, 說明如果要保留已被淘汰或替代的密鑰, 他們必須僅出於解密或驗證目的被安全封存和保留增加測試程序, 確認如果保留已被淘汰或替代的密鑰, 它們不可用於加密操作說明知識分割和雙層控制僅適用於手動純文本加密密鑰管理操作增加備註, 提供密鑰管理操作範例說明密鑰管理人應正式確認其密鑰管理職責而不是僅簽一張表格 4.1 4.1, 4.1.a 4.1.e 將 SSH 作為一個安全協定範例, 移除測試程序範例將測試程序 4.1 分為單獨的兩個測試程序 4.1.a 至 4.1.e. 在測試程序 4.1.b 中說明不只是 SSL/TLS, 而是所有傳輸都必須有受信任的密鑰和 / 或證書在程序 4.1.c 中說明必須執行協定, 以使用安全設定 4.1.1 4.1.1 要求 4.2 4.2 5.2 5.2 更新有關自 2010 年 6 月 30 日起使用 WEP 的備註變更措辭, 說明未受保護 ( 而不是未加密 ) PAN 絕不應該透過終端使用者傳訊技術發送說明防毒機制應該要生成稽核記錄, 而不只是能夠生成此類記錄 2010 年 10 月第 8 頁, 共 18 頁

6.1 6.1 要求說明此要求的目的是保護系統元件和軟體免因已知漏洞受損 6.2 6.2 6.3 6.3, 6.3.a 6.3.d 在識別漏洞的基礎上, 增加程序應包括按危險程度對漏洞分級方面的內容提供如何指定危險分級的指南備註 :6.2.a 中定義的漏洞分級在 2012 年 6 月 30 日前將被視作最佳慣例, 之後則成為一項要求增加可確保開發慣例適用的軟體應用程式將 6.3.a 分為單獨的兩個測試程序 6.3.a 至 6.3.d 不斷演變的要求 6.3.1 不存在 6.3.2 6.3.5 6.4.1 6.4.4 6.3.6 6.3.7 6.3.1 6.3.2 6.3.7 6.3.2 移除, 因為之前在 6.3.1 中的漏洞測試已在 6.5.1 至 6.5.9 中說明將移至 6.4, 並說明要求的目的是測試和開發環境, 而不只是開發環境由於合併和 / 或移動之前的要求, 所以需要重新編號從備註移除循環引用 6.4 6.4 將測試程序 ( 之前的 6.3.7.a 和 6.3.7.b) 合併為單一程序 6.3.2.a, 並將內部和網頁應用程式合併到單一程序移除網路應用程式和 OWASP 指南的特定參考, 以合併評估範疇中的應用程式安全編碼要求, 包括非網路應用程式將之前的測試程序 6.3.7.c 重新編號為 6.3.2.b. 說明適用於變更控制流程和程序匯入之前測試程序 6.3. 的內容, 以與之前匯入的測試程序 6.3.2 6.3.5 保持一致 2010 年 10 月第 9 頁, 共 18 頁

6.3.4 6.4.3 測試程序移除措辭或在使用前進行處理以闡明目的 6.4 6.4.a 6.4.b 6.4.5, 6.4.5.a 6.4.5.b 更新之前的要求 6.4, 與之前的測試程序 6.4.a 6.4.b 保持一致, 說明安全修補程式和軟體修改 6.4.1 6.4.4 6.4.5.1 6.4.5.4 重新編號, 與匯入的 ( 之前為 6.3.2 6.3.5) 保持一致 6.4.1 6.4.5.1 測試程序 6.4.2 6.4.5.2 說明測試程序中必須有影響記錄, 這樣才可與現有要求保持一致在中說明需要授權方而不是管理方認可 6.4.3 6.4.5.3, 6.4.5.3.a 6.4.5.3.b 說明之前的 6.4.3 的目的是進行功能性測試以確定該變更不會對系統安全性有負面影響之前的要求 6.3.1 合併到新測試程序 6.4.5.3.b, 說明以 6.5 作為參考的自訂程式碼變更測試 6.5 6.5 說明安全編碼和漏洞預防適用於評估範疇中所有客戶開發的應用程式, 而不只是網路應用程式移除 OWASP 依賴性並包括其他業界範例 SANS CWE 和 CERT 6.5.1 6.5.10 6.5.1 6.5.9 將之前的漏洞 6.5.1 6.5.10 更新, 同時與之前的要求 6.3.1 合併, 以反映目前的 CWE CERT 和 OWASP 指南標識 6.5.7 6.5.9 為專門的網路應用程式漏洞不存在 6.5.6 增加新的, 說明要求 6.2 中識別的高危漏洞不斷演變的要求 2010 年 10 月第 10 頁, 共 18 頁

註 : 按照要求 6.2 中的定義分級的漏洞在 2012 年 6 月 30 日之前被視作最佳實務, 之後則成為一項要求 7.1.3 7.1.3 7.2.3 7.2.3 8 8 引言段落 8.2 8.2 要求說明要求授權方對核准進行記錄, 而不只是管理方簽字的一張表格將備註從測試程序移至要求增加備註, 說明有關唯一使用者 ID 和安全驗證控制可應用於在一個銷售點應用程式內的使用者賬戶, 其只能一次存取一個卡號以便於單次交易 ( 例如出納賬戶 ), 與 PA-DSS 要求 3.2 保持一致增加說明和範例驗證方法 8.3 8.3 8.5 8.5 說明雙因素驗證範例, 包括帶有權杖的遠端認證撥接使用者服務和支持強效驗證的其他技術增加備註, 說明雙因素驗證的目的增加術語識別 8.5.2, 8.5.7, 8.5.8, 8.5.13 8.5.2, 8.5.7, 8.5.8, 8.5.13 增加術語驗證, 這使公司獲得更多的靈活性, 可使用密碼之外的其他驗證機制 8.5.3 8.5.3 包括密碼重設, 要求唯一值並在首次使用後立即變更 8.5.6 8.5.6, 8.5.6.a 8.5.6.b 說明供應商進行的存取更新要求, 與測試程序保持一致將測試程序 8.5.6 分為單獨的兩個程序 8.5.6.a 至 8.5.6.b. 2010 年 10 月第 11 頁, 共 18 頁

8.5.9 8.5.13 8.5.9 8.5.13 測試程序從服務提供商的角度說明非消費者使用者的密碼管理要求對於每個要求, 將單個測試程序分開, 以便區分服務提供商的程序 8.5.16, 8.5.16.a 8.5.16, 8.5.16.a 8.5.16.d 說明對直接存取或查詢資料庫的限制適用於使用者存取將測試程序 8.5.16.a 分為單獨的兩個測試程序 8.5.16.a 至 8.5.16.d. 9 9 引言段落增加現場工作人員訪客和媒體等術語及其定義, 用於整個要求新術語現場工作人員替換了舊術語員工, 並賦予新定義以說明範圍的目的 9.1.1 9.1.1.a 9.1.1.c 測試程序將之前的測試程序 9.1.1 分為單獨的兩個測試程序 9.1.1.a 至 9.1.1.c. 在測試程序中變更為攝像機和 / 或控制機制, 因為攝像機是可以與存取控制機制一起使用的存取監控機制 9.1.2 9.1.2 9.1.3 9.1.3 將員工替換為現場工作人員增加實體可存取區域範例增加網路 / 通訊硬體和電信線路至限制實體存取項目清單這些之前包括在要求 9.6 中 9.2, 9.2.a 9.2, 9.2.a 9.2.b 將員工替換為現場工作人員將測試程序 9.2.a 分為單獨的兩個程序 9.2.a 至 9.2.b. 9.2.b 9.2.c 測試程序說明應確認訪客識別證是否易於識別現場工作人員 9.3 9.3 測試程序說明測試程序適用於訪客控制, 與要求保持一致 2010 年 10 月第 12 頁, 共 18 頁

9.3.1 9.3.1 測試程序說明從試圖獲得存取到確保不讓訪客在未經陪護的情況下實體存取這些區域的程序 9.3.2 9.3.2 9.3.2.a 9.3.2.b 將員工替換為現場工作人員將測試程序 9.3.2 分為單獨的兩個程序 9.3.2.a 至 9.3.2.b 說明測試程序 9.3.2.a 用於確認是否使用訪客識別證, 以及訪客是否可與員工區分開 9.4 9.4 9.5 9.5.a 9.5.b 測試程序 9.6 9.6 將員工替換為現場工作人員將測試程序 9.5 分為單獨的兩個程序 9.5.a 至 9.5.b 說明測試程序 9.5.a 旨在觀察儲存區域的實體安全性將紙質和電子媒體替換為引言段落中定義的所有媒體將網路通訊硬體電信線路移至測試程序 9.1.3. 9.7-9.9 9.7-9.9. 將包含持卡人資料的媒體參考替換為媒體, 因為該詞已在引言段落中定義 9.7.1 9.7.1 說明此要求旨在確定媒體資料的敏感性 10.4 10.4, 10.4.1 10.4.3 說明此要求的目的是使用時間同步技術使系統時鐘和時間同步, 並確保正確獲取分配和儲存時間將整個 10.4 的時間同步和 NTP 變更為時間同步技術, 並說明 NTP 是時間同步技術的範例將之前的測試程序 10.4.a 至 10.4.c 分為新的子 10.4.1 至 10.4.3 ( 見下文 ) 2010 年 10 月第 13 頁, 共 18 頁

10.4 10.4.1 10.4 10.4.2 10.4.c 10.4.3 10.7.b 10.7.b 測試程序 11.1 11.1 之前測試程序 10.4.b 的新子要求, 旨在確保關鍵系統擁有正確和持續的時間將之前測試程序 10.4.b 重新組織進新的測試程序 10.4.1.a 和 10.4.1.b 中, 旨在包括時間獲取和分配的方式新的子 10.4.2.a 和 10.4.2.b, 用以說明時間資料受到保護並且時間設置變更經過授權將之前的 10.4.c 重新組織進新的子要求, 確保接受的時間是業界認可的資源說明測試應確認稽核記錄流程到位, 以立即儲存記錄資料, 而不是應立即準備以分析記錄資料說明流程應到位以每季度檢測一次未授權無線存取點增加靈活性, 使用的方法可包括無線網路掃描對系統元件和基礎結構的物理 / 邏輯檢測網路存取控制 (NAC) 或無線 IDS/IPS, 以及其他任意一種方法, 只要這些方法足以檢測和識別任何未授權的裝置即可其他指南 11.1.a 11.1.c 11.1.a 11.1.e 測試程序將之前的測試程序 11.1.a 分為單獨的兩個程序 11.1.a 和 11.1.c 增加新的測試程序 11.1.b, 用來測試所使用方法是否足以檢測未授權無線存取點將之前的測試程序 11.1.b 重新編號為 11.1.d, 並說明如果使用自動監測, 適用產生人員警示的設定將之前的測試程序 11.1.c 重新編號為 11.1.e 11.2 11.2, 11.2.1 11.2.3 將之前的內部和外部掃描要求 11.2 分割並重新編號為單獨的子 11.2.1 至 11.2.3 將備註從測試程序 11.2.b 移至要求 11.2, 說明必須確認四個內部和外部掃描 2010 年 10 月第 14 頁, 共 18 頁

舊有章節或要求新增 11.2.a 11.2.1.a 11.2.1.c 11.2.b 11.2.2.a 11.2.2.b 1.2.1 11.2.3.a 11.2.3.c 測試程序說明內部掃描 ( 包括重新掃描 ) 須持續進行到獲得通過性結果, 或所有 PCI DSS 要求 6.2 定義的高危漏洞已被解決說明內部掃描應該由合格方執行測試程序將 PCI 安全掃描程序替換為 ASV 程序指南要求說明 ASV 已被 PCI 安全標準協會認可 (PCI SSC) 測試程序說明內部和外部掃描要求 ( 包括重新掃描 ) 須持續進行到高危漏洞已被解決, 而掃描必須由合格方執行 11.3 11.3 11.3.2 11.3.2 11.4 11.4 說明指出的可能遭利用的漏洞必須要解決將測試程序 11.3.a 分為單獨的兩個測試程序 11.3.a 至 11.3.b 說明應用程式穿透測試應測試相關漏洞並包含評估範疇內的所有應用程式說明 IDS/IPS 監測的是 CED 內部周邊和關鍵點的流量, 而不是 CDE 中的所有流量 11.5 11.5, 11.5.a 11.5.b 將軟體替換為工具, 說明商業軟體的目的不只是滿足要求增加測試程序 11.5.b, 與現有要求保持一致, 警示工作人員注意未授權修改, 並至少每週對比一次關鍵檔案 12 12 要求标题將員工和承包商替換為所有工作人員 12 12 引言段落將員工替換為工作人員, 並稍微修改定義 12.1 12.1 測試程序將員工替換為工作人員 2010 年 10 月第 15 頁, 共 18 頁

12.1.2 12.1.2 增加風險評估方法範例說明測試應確定風險評估文件 12.1.3 12.1.3 要求將一年一次替換為每年一次 12.3 12.3 移除面向員工以便說明增加 tablet 作技術範例 12.3.1 12.3.1 將管理替換為授權方 12.3.4 12.3.4 說明允許有邏輯標記 12.3.9 12.3.9 增加業務合作夥伴到包括供應商的要求其他指南 12.3.10 12.3.10, 12.3.10.a 12.3.10.b 使對那些無授權工作人員的限制禁令更具靈活性將測試程序 12.3.10 重新編號為 12.3.10.a 增加新的測試程序 12.3.10.b, 確認有正確授權的工作人員正在按照 PCI DSS 要求保護持卡人資料 12.4 12.4 12.6 12.6 12.6.1 12.6.1 12.6.2 12.6.2 將員工和承包商替換為工作人員將員工替換為工作人員將員工替換為工作人員增加備註, 說明如何根據工作人員角色提供不同方法的指南將員工替換為工作人員將公司替換為實體其他指南 2010 年 10 月第 16 頁, 共 18 頁

12.7 12.7 12.8 12.8 測試程序 12.8.4 12.8.4 將員工替換為工作人員將範例從測試程序移至要求說明要求 12.7 中的備註適用於潛在的為某些職位錄用的工作人員將正在評估的實體替換為實體, 以保持一致性說明要求至少每年監測一次服務提供商的 PCI DSS 合規性狀態將評估實體替換為實體其他指南 12.9.1 12.9.1, 12.9.1.a 12.9.1.b 測試程序增加測試程序 12.9.1.b, 說明測試應考慮確認紀錄的程序是否得到遵守將測試程序 12.9.1 重新編號為 12.9.1.a 12.9.3 12.9.3 測試程序說明指定工作人員應提供一天 24 小時一週 7 天的事件回應, 與要求保持一致附錄 D 合規性證明商戶附錄 E 合規性證明服務提供商合規性證明從附錄中移除單獨的文件重新組織評估者和商戶的聯絡資訊合規性證明從附錄中移除單獨的文件重新組織評估者和服務供應商的聯絡資訊在清單被列入 PCI DSS 評估範疇的服務中提供更多選項, 並增加未被 PCI DSS 評估包括的服務清單附錄 F 附錄 D 業務場所 / 系統元件的區段劃分和取樣重新命名, 說明區段劃分和取樣的程序流程為網路區段劃分和取樣建立單獨的章節標題更新以保持與引言中的取樣章節保持一致 2010 年 10 月第 17 頁, 共 18 頁

解釋 : 新舊定義說明要求的目的確保標準的簡明措辭可描述清楚要求期望的目的其他指南解釋性解釋和 / 或定義, 用以加深理解, 或提供有關特定主題的更多資訊不斷演變的要求加強性透過變更確保這些標準能夠應對最新出現的威脅和市場變化 2010 年 10 月第 18 頁, 共 18 頁