前言
由於CISSP 這門學科是由很多基本定義及各種應用組成,所以不僅要熟悉各種定義定理外,還要能夠融會貫通,而心智圖就是達到這個目標最快速的方法
參考: WUSON 心智圖 - CISSP
什麼是資安定義?
透過安全控制措施,保護資訊資產免於受到危害,以達到C、I、A的目標,進而支持組織業務,創造價值,達成使命及願景。
- 三階目標
- T1 目標:
- 達成組織的使命及願景
- 願景: 未來會達成的目標
- 使命: 達成終極目標前會做的各種計劃
- T2 目標:
- T3 目標:
- C、I、A
- 機密性 (資料在傳輸過程中被被偷)
- 完整性 (資料在傳輸前後確保其完整性一致)
- 可用性 (資料隨時可取得及系統不會掛)
- FISMA 法案訂定的需求
- 安全控制措施依照之前上課所提及的是
- HIPAA法案中提到的 行政管理類、技術邏輯類、實體類
- 以時間為序列的表達方式
- ISC2 列出的七個原則
- 事前:
- 事中:
- 事後
- 最後加上 補償
- ISO 27001 附錄A 所提到的114種控制向
- 資訊資產在CISSP 中是指資訊系統,以ISO 15288 中所羅列出的八個元素
- data (資料)
- computer hardware (電腦硬體)
- OS (作業系統)
- software (軟體)
- network (網路)
- data center (機房)
- people (人)
- business process (業務流程)
資產要如何保護?
- 盤點
- 分類
- 以業務價值做分類,細部如下:
- 軍方及資料的分類方式:
- 商業
- 對關鍵資源進行保護,因為資源有限
需要將安全元素融入到各個業務流程(產、銷、人、發、財)中,尤其是人事、採購、研發及併購。
[10萬個WHY] 請問Domain 2 中所指的資訊資產是一樣的嗎?
資訊資產是上面提及的八個元素,而資料指的是
- 企業自有資料
- 個資 (PII)
支持組織業務流程及產品交付不中斷 - 需要去做 BCM
BCM (業務持續流程),有七個步驟如下:
- 內部及外部環境分析
- 找出厲害關係人
- 分析需求
- 訂定範圍
- 對範圍做做業務衝擊分析 (BIA)
- 對關鍵資源及關鍵流程做風險管理
- 風險管理1234
- 風險要管到經營高可以接受即可
- 風險評鑑、風險處置
- 風險評鑑三步驟
- 風險處置
引用自ISO 31000
要創造價值,必須要先確立安全功能
- [What & WHY] 安全功能 在CISSP 的定義是組織處理資訊安全事件的能力,這跟通常外面提到的在作業系統中的安全功能是完全不同的。而在這邊如果是作業系統中提及的安全功能被稱之為安全核心
安全功能,可以設定由一個專職人員負責或者是一個部門。通常這個專職人員的角色被稱之為CISO。
CISO 必須對幾個人報告及負責
[WHY] 經營高層的想法該如何落地呢?
落地的方式是要有
政策框架 (Policy Framework):先訂範疇,制定範本原則,讓下面的人有個可依循的方向
- 政策 (Policies)
- 標準 (Standards)
- 程序 (Procedures)
- 指引 (Guidelines)
待續 ....