▉補一下，昨天說的，不知道怎麼評弱點跟威脅分數的話
技服中心 教材下載 共通性規範| https://www.nccst.nat.gov.tw/CommonSpecification?lang=zh
--107年資通系統風險評鑑參考指引(修訂)(V4.0).rar

▉進入今天的正題啦
└第七章、支援
7.1 資源(給錢給人嗎?這段我沒有聽懂，所以。。。放生它)
7.2 能力>該有的技能(專業知識)，如果沒有，需要受訓(教育訓練就是這樣來的)
• 資通安全管理者：資安人員(12小時)、資訊人員(3小時)
└上課時數的規定>資通安全責任等級分級辦法(通常是說政府機關)
• 職能或證照就是『能力』。
• ISO 27550 系統週期(不過我查到的資料，它是隱私工程相關捏?)
7.3 認知>要讓同仁們有同樣的認知囉，比如辦公室的標語啦，簡單來說會是改變大家習慣
(洗腦的過程，舉個簡單的例子，離開座位，螢幕要鎖定，其實很多人沒理會這個的呢~)
7.4 溝通>傳遞訊息(比如當政策調整時，需要大家逐項落實)
• 資安教育訓練>管理認知、管理建置、管理稽核、保護計術。
7.5 文件化資訊(四個層次不代表四階文件，比如組織如果比較簡單，政策&程序是可以放一起的。)
• 政策(原則性的東西，舉例：可以或不可以用自已的筆電，也是"原則性"的規定。)
• 程序(共通性的管理流程，比如負責的單位，權限，大家一樣的部份。)
• 工作指導書(因應部門的操作步驟，比如RD跟QA就不會完全一樣~對吧)
• 表單(檢查清單)、表格--如何留下實作的證據

└第八章、運作(P"D"CA的D)
8.1 運作規劃與控制(依據前面的第四章~第七章，如期、如實的執行。)
8.2 資訊安全風險評鑑(定期或重大變更時，舉例：搬家>重大變更)
8.3 資訊安全風險處理(執行>追蹤)
這三個寫的很少，但日常執行，幾乎都落在這了。