iT邦幫忙

2022 iThome 鐵人賽

DAY 7
0
Security

備考 CISSP 敗部復活 雜草談 系列 第 7

要融會貫通就要多多熟悉心智圖 。。。1

  • 分享至 

  • xImage
  •  

前言

由於CISSP 這門學科是由很多基本定義及各種應用組成,所以不僅要熟悉各種定義定理外,還要能夠融會貫通,而心智圖就是達到這個目標最快速的方法

參考: WUSON 心智圖 - CISSP

什麼是資安定義?

透過安全控制措施,保護資訊資產免於受到危害,以達到C、I、A的目標,進而支持組織業務創造價值,達成使命願景

  • 三階目標
    • T1 目標:
      • 達成組織的使命願景
      • 願景: 未來會達成的目標
        • 一間公司內只會有一個願景,但可能有很多個使命
      • 使命: 達成終極目標前會做的各種計劃
    • T2 目標:
      • 業務流程及產品交付不中斷
        • 需要做BCM (業務連續性計畫) 以維持業務持續
    • T3 目標:
      • C、I、A
        • 機密性 (資料在傳輸過程中被被偷)
          • 以密碼學實務是透過加密的型態去實施
        • 完整性 (資料在傳輸前後確保其完整性一致)
          • 真實性
          • 不可否認性
        • 可用性 (資料隨時可取得及系統不會掛)
        • FISMA 法案訂定的需求
  • 安全控制措施依照之前上課所提及的是
    • HIPAA法案中提到的 行政管理類技術邏輯類實體類
    • 以時間為序列的表達方式
      • ISC2 列出的七個原則
      • 事前:
        • 指示類
        • 嚇阻類
        • 預防措施
      • 事中:
        • 偵測
        • 矯正
      • 事後
        • 復原
      • 最後加上 補償
    • ISO 27001 附錄A 所提到的114種控制向
      • 重點: 要特別去記加密存取控制
  • 資訊資產在CISSP 中是指資訊系統,以ISO 15288 中所羅列出的八個元素
    • data (資料)
    • computer hardware (電腦硬體)
    • OS (作業系統)
    • software (軟體)
    • network (網路)
    • data center (機房)
    • people (人)
    • business process (業務流程)

資產要如何保護?

  • 盤點
    • 要找出一個owner, 盤點資產
  • 分類
    • 業務價值做分類,細部如下:
    • 軍方及資料的分類方式:
      • Top Secret (絕密)
        • 秘密
        • 機密
        • 未分類
    • 商業
      • 機密/ 私人
        • 敏感
        • 公開
        • 保護
    • 對關鍵資源進行保護,因為資源有限

需要將安全元素融入到各個業務流程(產、銷、人、發、財)中,尤其是人事採購研發併購

[10萬個WHY] 請問Domain 2 中所指的資訊資產是一樣的嗎?
資訊資產是上面提及的八個元素,而資料指的是
- 企業自有資料
- 個資 (PII)

支持組織業務流程及產品交付不中斷 - 需要去做 BCM

BCM (業務持續流程),有七個步驟如下:

  • 內部及外部環境分析
  • 找出厲害關係人
  • 分析需求
  • 訂定範圍
  • 對範圍做做業務衝擊分析 (BIA)
  • 關鍵資源關鍵流程做風險管理
  • 風險管理1234
    1. 風險要管到經營高可以接受即可
    2. 風險評鑑、風險處置
    3. 風險評鑑三步驟
      • 識別、分析、評估
    4. 風險處置
      • 規避、轉移、緩解、接受

引用自ISO 31000

要創造價值,必須要先確立安全功能

  • [What & WHY] 安全功能 在CISSP 的定義是組織處理資訊安全事件的能力,這跟通常外面提到的在作業系統中的安全功能是完全不同的。而在這邊如果是作業系統中提及的安全功能被稱之為安全核心

安全功能,可以設定由一個專職人員負責或者是一個部門。通常這個專職人員的角色被稱之為CISO。

CISO 必須對幾個人報告及負責

  • CISO 必須優先對組織中的CEO 及COO 報告

    • 因為與營運有關
  • 第三順位則是對CIO 報告

    • 缺點: 可能造成利益衝突
  • CISO 對獨立的稽核委員會報告

    • 缺點: 影響 行政獨立性
  • 什麼是治理?
    治理是經營高層的管理作為,簡單的說就是計劃管理,只是這個計劃管理是由經營高層去推動

[WHY] 經營高層的想法該如何落地呢?
落地的方式是要有

政策框架 (Policy Framework):先訂範疇,制定範本原則,讓下面的人有個可依循的方向

  1. 政策 (Policies)
  2. 標準 (Standards)
  3. 程序 (Procedures)
  4. 指引 (Guidelines)
    • 不一定要存在

待續 ....


上一篇
如何確保通信間的安全 ...
下一篇
要融會貫通就要多多熟悉心智圖 。。。2
系列文
備考 CISSP 敗部復活 雜草談 35
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言