前文

這堂課我第一次上，覺得很多理論，
不過翻了一下市面的資安概論，
這一塊也很重要，
所以這學期要好好整理一下筆記。

資訊安全管理

• 資安概論
  • CIA
    • 機密
    • 完整
    • 可用
  • 3個P
    • 人員
    • 產品
    • 程序
    • 人員若不遵守資訊安全程序，產品就無從發揮功效
  • 資安事件
    • 最脆弱的環節
    • 無法一次解決
      • 定期稽核
      • 3~5年一次
  • 資安防護
    • 綜合管理、技術、實體
  • SOC
    • 安全營運中心
  • 取捨
    • 沒有絕對安全
    • 人力財力資源有限
    • 安全便利合理取捨
  • 資訊安全管理系統
    • 資訊安全管理系統是運用一套系統方法，對組織內敏感資產進行管理，涉及到人員、程序和資訊技術（Information Technology, IT）等的系統。
    • 透過技術手段所能達到的安全有限，必須透過適切的管理及程序支援才能有效達成目標。
    • 資訊安全管理將包括組織內所有員工及組織外的供應商、第三方、客戶等外部人員。
  • ISO/IEC 27001
    • 資安管理普遍採用標準
  • 安全三元素
    • 實體安全
      • 容易忽略
    • 營運安全
    • 管理與政策