iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 2
0
Security

認證信息系統安全專業人員(CISSP)學習筆記系列 第 2

資訊安全與風險管理(Information Security and Risk Management )

機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)
  • 機密性(Confidentiality):資料分類分等、身份驗證授權、加密限制內容
    • 點對點對稱式加密(End to End Symmetric Encryption)
    • 文件權限(File Permissions)控管
  • 完整性(Integrity):確保內容不被竄改
    • 雜湊(Hashing)
    • 職責分離(Segregation of Duties)
    • 審核檢查點(SDLC)
    • RSA(HMC)
    • IPSec
  • 可用性(Availability):用戶可獲得所需訊息
    • 不容易受DOS影響
    • 備份和冗餘(Backups and Redundancy)
資訊安全治理原則(Security Governance Principles)

導入安全框架(Security Frameworks)將ISO27000或開放群組架構框架(The Open Group Architecture Framework, TOGAF)作為治理藍圖及原則。

  • 將安全功能(security function)與商業策略(Business Strategy)任務及目標保持一致性
    • 資料遺失或竊取;對應之管控措施,分析並比較兩者的成本及效益
  • 組織流程
    • 如果組織結構發生變化,安全性需要配合調整
  • 組織角色和職責
    • 每份工作都有一份工作項目清單,需對職掌的決策的風險負責
  • 安全控制框架(Security Control Frameworks)
    • 導入框架,根據業務所需包含的內容,應用於組織架構
  • 盡職盡責
    • 承擔責任

上一篇
資訊安全趨勢(Security Trend)
下一篇
資訊安全與風險管理(Information Security and Risk Management )
系列文
認證信息系統安全專業人員(CISSP)學習筆記30

尚未有邦友留言

立即登入留言