▉補一下,昨天說的,不知道怎麼評弱點跟威脅分數的話
技服中心 教材下載 共通性規範| https://www.nccst.nat.gov.tw/CommonSpecification?lang=zh
--107年資通系統風險評鑑參考指引(修訂)(V4.0).rar
▉進入今天的正題啦
└第七章、支援
7.1 資源(給錢給人嗎?這段我沒有聽懂,所以。。。放生它)
7.2 能力>該有的技能(專業知識),如果沒有,需要受訓(教育訓練就是這樣來的)
• 資通安全管理者:資安人員(12小時)、資訊人員(3小時)
└上課時數的規定>資通安全責任等級分級辦法(通常是說政府機關)
• 職能或證照就是『能力』。
• ISO 27550 系統週期(不過我查到的資料,它是隱私工程相關捏?)
7.3 認知>要讓同仁們有同樣的認知囉,比如辦公室的標語啦,簡單來說會是改變大家習慣
(洗腦的過程,舉個簡單的例子,離開座位,螢幕要鎖定,其實很多人沒理會這個的呢~)
7.4 溝通>傳遞訊息(比如當政策調整時,需要大家逐項落實)
• 資安教育訓練>管理認知、管理建置、管理稽核、保護計術。
7.5 文件化資訊(四個層次不代表四階文件,比如組織如果比較簡單,政策&程序是可以放一起的。)
• 政策(原則性的東西,舉例:可以或不可以用自已的筆電,也是"原則性"的規定。)
• 程序(共通性的管理流程,比如負責的單位,權限,大家一樣的部份。)
• 工作指導書(因應部門的操作步驟,比如RD跟QA就不會完全一樣~對吧)
• 表單(檢查清單)、表格--如何留下實作的證據
└第八章、運作(P"D"CA的D)
8.1 運作規劃與控制(依據前面的第四章~第七章,如期、如實的執行。)
8.2 資訊安全風險評鑑(定期或重大變更時,舉例:搬家>重大變更)
8.3 資訊安全風險處理(執行>追蹤)
這三個寫的很少,但日常執行,幾乎都落在這了。