本來打算把稽核與風險管理和在一篇的，
後來想想，決定先發一篇稽核的惹。

稽核也是我不熟的領域，
大概就知道稽核通常都需要一些證照認證，
然後也會有一些年資的要求，而且好像都是滿硬性規定的。
要入門可能可以從ISO 27001著手吧。
不過實際上稽核需要甚麼樣硬實力我就不基礎了。

照慣例，每篇文章都會附上第一篇的文章，讓大家了解一下這系列文章說明
https://ithelp.ithome.com.tw/articles/10264252

1.為何需要稽核？

無論產業的類型或企業的規模大小如何．組織應該需要了解自身的安全狀況，而透過稽核可以了解到組織自身的安全情況，透過稽核可改善或加強組織的內部安全問題。或者是要符合法律規範、條例。

2.甚麼是ISO 27001？

ISO 27001是一套國際認可的資訊安全管理系統規範，可以替公司或組織提供一個資安制度與標準流程。

3.甚麼PDCA

Plan計畫-Do執行-Check驗證-Act改善

4.資訊安全三要素CIA分別為何？簡單描述一下各自的意義？

Confidentiality 機密性、Integrity 完整性、Availability 可用性。
機密性：資源在未授權的情況下，不應該被看到或是洩漏。
完整性：資安不會遭受到未授權的竄改、或是丟失，應該維持資料的正確完整性。
可用性：當該資源被授權需要使用的時候，必須要可以使用。

5.Windows和Linux中的稽核有甚麼不同？

同樣作為作業系統，思路上應該大同小異，主要差異在於技術上執行上，作業系統本身導致的差異。例如Windows會利用EventLog儲存電腦上的重要紀錄，而Linux通常都是使用Log檔案替個個不同的服務來保存Log。

6.從資安稽核的角度來看，有甚麼樣的法律條例為比較重要的？

一般資料保護規範(GDPR)　－　個資相關
健康保險便利和責任法案 (HIPAA)　－　醫療相關
支付卡產業資料安全標準 (PCI DSS)　－金融相關

7.甚麼是BCP(營運持續計畫)？

BCP是企業組織針對可能會面臨到無法預期的突發狀況或風險，例如地震、風災，甚至像是這次的COVID-19導致影響公司營運也算。所事先擬定好的解決方針或應對的處理流程，主要目的就是讓衝擊、影響與損失能夠降到最低。

8.甚麼是DR(災害復原)？

災害復原就是在發生自然或是人為災害，例如天災、設備故障、駭客攻擊等等情況發生，導致資訊設備或是系統受到影響後，所擬定應變措施或策略。

9.一個正確的DR(災害復原)計畫，你覺得應該符合甚麼樣的要求？

災害復原不僅僅是強調要將IT資源復原，也必須注意復原的時間，要能盡可能的快速。
而我覺得一個好的計劃，應該要至少具備：
A.對於設備故障的定義與判斷方法是明確的。
B.災害發生後應該要聯絡的部門、外部廠商、或是其他任何該聯絡的人，資訊都必須事先列清楚。
C.要有對於復原的流程順序標準。

稽核呀稽核..老實說我沒有很大興趣XD
不過有機會有時間還是會去考ISO 27001，
如果考完有機會，可能會在自己的網站(部落格)分享心得囉。

若有要補充也都歡迎留言