所以，我們現在有了管理面的思維與道德，不用多久我就會升職加薪，當上總經理，出任CEO，迎娶白富美走向人生巔峰 想想還有點小激動呢…
來源是這兒：我是王大鍾
不過我們接下來我們要當首席資安官開始…
以下完全不討論技術，因為技術交給資訊人員做就好啦…
哈哈哈… 哈哈… 哈… 嗚嗚嗚嗚嗚…

試問，今天如果讓你當首席資安官，你想做什麼？

滾！講等退休的人出去罰站啊！！！ ((老公默默走出去

在等退休的路上，應該是會想知道目前公司的架構及現況吧？
不知道架構及現況的話，難以管理的吧？
請原諒我用問句，因為我也還沒當過首席資安官 XDDDD

=====．=====．=====．以下代入假設情境．=====．=====．=====

如果是我的話，應該會先摸清老闆的喜好吧？ 口桀～口桀～口桀～
不過，不用想老闆的喜好都是「賺錢」。

那麼，讓資訊部輔助業務部門(老闆眼中的金雞母)使用系統正常營運就是資訊部門最主要的工作。
所以，首席資安官掌握了老闆所下的核心政策(Policy)，並且訂定規範(Standard)，資訊人員遵照程序(Procedure)及參考手冊(Guidelines)去操作。

為了成為一個能安全退休的首席資安官，不出事不上報是我的工作目標。
所以，這裡要來談到業務連續性計劃(Business continuity planning)。

業務連續性計劃（BCP）是確保災難事件發生之前、期間和之後業務持續運營的過程及重點完全在於業務延續，它確保業務的核心功能仍然在災難發生後執行。

業務連續性計劃(Business continuity planning)

BCP 步驟 1：計劃啟動

身為首席資安官就要評估所有可能會造成的風險，造成的危害影響及災難復原(Disaster Recovery)。
不過，在制定 BCP 之前…有件事情非常重要…

我們是做資安，不是做慈善。

做計劃，要錢，要人，都需要取得老闆或高階主管的支持，沒有取得高階長官的支持，那麼可能就會沒有資源。
在啟動計劃、計劃擬定、讓高階主管們滿意的跨部門溝通、最終批准計劃都需要老闆的支持。
所以老闆不支持的話，那就真的不用做啦，放棄你的待退計劃，快逃吧 XDDDDD

BCP 步驟 2：制定核心範圍

定義需要保護的確切資產，計劃將能夠解決的緊急事件類型，以擬定實施計劃所需的資源。
所以說那個生化危機或是外星人來襲之類的就不必考慮了。

這裡需要很多高階的角色必須參與BCP的範圍界定，以確保代表組織職能的所有方面。
這樣評估在實務上很困難，除了訂定哪些是資訊資產是核心以外，大部份的主管都會說自己家的資訊資產很重要…
我自己的經驗啦 … 估計這個是最花費時間的步驟了… … …

風險的計算：定性 & 定量

定性：主觀的計算風險分類，如我們常見的 Critical、High、Medium、Low…
定量：以明確數字計算，以上提供幾個風險計算公式：

SLE = EF x AV
ALE = SLE x ARO
單期預期損失 Single Loss Expectancy = 曝光因子 Exposure Factor x 資產價值 Asset Values
年度預期損失 Annualized Loss Expectancy = (SLE) x 年度發生率 Annualized rate of occurrence
年度發生率(ARO) => 一年發生幾次的百分比，一年兩次 = 2，半年一次 = 0.5

Countermeasure Value = ALE Previous - ALE Now - Countermeasure Cost
年度對策價值 = 實施對策之前 - ALE 實施對策後 - 對策的年度成本

剩餘風險 Residual Risk = 總風險 Total Risk x 對策 Conutermeasures
定性、定量用哪一種比較好呢？

看狀況。

像說我們在年度預算的時候，像說一筆個資罰 500 ，我們只有 100 個客戶，可能造成的損失只有 5 萬
在不考慮商譽及其他狀況的情況下，我們買個防火牆或資安設備要 10 萬，那
資料外洩 1 年 1 次 ： 5 萬 - 10 萬 = -5 萬 => 不買。
資料外洩 1 年 10 次： 50 萬 - 10 萬 = 40 萬 => 買。
這個就是定量。

我們收到資安報告的時候，因為時間有限，所以會先將弱點分類，從嚴重等級的開始修，那麼這個就是定性。

BCP 步驟 3：業務影響分析

業務影響分析（BIA）是確定組織的資訊系統中斷時，核心作業會造成什麼樣的損害。

今天我們是貴婦百貨的首席資安官，那麼我們並不用參與特賣，但如果今天結帳櫃檯(核心範圍)，發生停電、停水、人員請假…可能有許多的風險發生，難道我們就不營業嗎？

BIA 風險分析：
停電 => 錢一樣要收，貨一樣要賣，記錄可以用手寫，但如果有備用電力就更好了
停水 => 並非直接影響營收，故列入次等影響
人員請假 => 為了臨時狀況，所以平常要有兩個以上站櫃
怪獸襲來 => 風險太低不列入考慮

BIA的主要組成部分如下：

1. 確定核心資產(Critical Assets)
2. 進行風險評估(Risk Assessment)
3. 確定最大容許停機時間（Maximum Tolerable Downtime）
4. 失敗和恢復指標(Failure and Recovery Metrics)

DR 災難回復：
確定資訊確定其優先等級，主要目標是降低容許停機時間（MTD），當然As Soon As Possiable，所以
BIA 在執行的時候還能改進業務流程，因為如果效率太低或無效，那也是會被檢討的。

BCP 步驟 4：確定預防控制(Identify Preventive Controls)

說到風險控制的對策，不免俗的提到：
3 種 Control Type ：

• 管理面向的(Administrtrative)
• 技術面向的(Technical)
• 物理面向的(Physical)

6 種 Control functions：

• 預防性(Preventive) => 列出所有可能的風險去做預防，也就是為什麼上個步驟是 BIA 了。
• 偵測性(Detective)
• 糾正性(Corrective)
• 威嚇性(Deterrent)
• 回復性(Recovery)
• 補償性(Compensating)

「我要颱風天出門找奶奶。」
應對風險的方式：

• 降低風險：戴安全帽、請老司機載
• 轉讓風險：先上網保個旅行平安險
• 接受風險：我相信我能平平安安到奶奶家
• 拒絕風險：不出門了，奶奶Byebye

BCP 步驟 5：恢復策略(Recovery Strategy)

需要預估最大可容忍停機時間(Maximum Tolerable Downtime)、恢復點目標(Recovery Point Objective)和恢復時間目標等指標(Recovery Time Objective)用於確定災難恢復策略。

一張圖說明一句話，感謝敦陽馬汀大大的神支援～

BCP 步驟 6：計劃核准(Plan Approval)

以上都是計劃，經過一連串的跨部門討論評估過後，統合整理後，計劃還是需要老闆點頭的 ：)

BCP 步驟 7：實作、訓練和測試(Implementation, Training, Testing)

真的有在實作災難回復的舉手…(？)
因為，真實的停機跟中斷服務會造成損失，所以公司企業實作困難，這個部份就是最重要的，沒有實作，災難發生就會很糟糕～

BCP 步驟 8：後續維護(BCP Maintenance)

• 變更管理流程(Change management)
• 版本控制(Version control)
• 異常追蹤(Accounting for mistakes)

但這個實作的最多就是至機房簽名，後續會再提供給稽核這樣(？)

其實去年安總裁也有寫過 CISSP，完整並且專業多了！延伸閱讀：[Day 04] 安全與風險管理 (Business Continuity Planning)
不過，也是要自己用自己的話寫完，然後再去比對安總裁的內容，才知道自己準備的內容漏掉哪些重點啊嗚…

=====．=====．=====．=====．=====．=====

另外，偷分享一下昨天鐵人賽團隊的討論：
之前遇過來稽核的團隊裡有一位年輕的成員，與我們溝通上出現很大分岐，從他提問中不難發現他太年輕缺乏相關IT工作經驗，他也是年輕氣盛最後嗆道「我有 CISSP，是資安專家」
主管回嗆：也許你該再回去重考一次
因為CISSP並不是考過筆試就拿到證照了，還要有相關工作經驗，準備一些資料，有另一位成員背書，向ISC2提出申請，審核通過才發證照。

沒錯！忘了跟大家說這張證照需要有五年工作經驗！並且還需要熟悉兩個以上CISSP領域！
而且考取後還需要有ISC2成員幫你背書…
審核還蠻嚴謹的，所以算是台灣 2018 年初成員才兩百多人的原因。