iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 3
0
Security

認證信息系統安全專業人員(CISSP)學習筆記系列 第 3

資訊安全與風險管理(Information Security and Risk Management )

標準、架構、框架及流程

  • 標準(Standard):一系列的角色及框架的實施規範
  • 架構(Architecture):採用資訊安全控管的時機、場景、角色和操作規則
  • 框架(Framework):一系列流程的實施指南
  • 流程(Process):一系列需依步驟完成的任務(Task)

遵守要求

政府方案(Program)需遵循標準方法,對服務做安全評估、授權方式、以及持續監控的,安全評估的標準發展,現存國家安全技術局(NIST)資訊安全800系列的800-53 第三版(NIST Special Publication 800-53 Revision 3),及聯邦雲端運算安全標準:FedRAMP 的基礎安全控制項 (FedRAMP baseline security controls)。企業需遵循訊息系統和技術控制目標COBIT(Control Objectives for Information and related Technology)。

組織在必須滿足法律,法規和合規要求的環境中運營。

  • 合同、法律、工業標準和監管要求
    • 聯邦資訊安全管理法(Federal Information Security Management. Act, FISMA):必須通過才能處理個人識別驗證PIV(Personal Identify Verification)相關資料。
  • 隱私要求
  • MITRE的ATT&CK框架是一個資安攻擊的分析框架,包含了隱私處理的方法。

刑法/普通法/私法/民法/聯邦法律

  • 刑法:受到監禁,罰款或死刑的懲罰
  • 普通法:陪審團作出決定,然後法官決定懲罰
  • 私法:處理個人和機構之間的關係, 民法的一部分
  • 民法:從未被監禁或執行, 必須償還原告
  • 聯邦法律:由憲法,頒布的法律以及與之相關的法院判決組成的法律體系

上一篇
資訊安全與風險管理(Information Security and Risk Management )
下一篇
資訊安全與風險管理(Information Security and Risk Management )
系列文
認證信息系統安全專業人員(CISSP)學習筆記30

尚未有邦友留言

立即登入留言