參考: WUSON 心智圖 - CISSP

什麼是資安定義?

透過安全控制措施，保護資訊資產免於受到危害，以達到C、I、A的目標，進而支持組織業務，創造價值，達成使命及願景。

要達到目標的三個元素分別是

• 戰略管理
  • 戰略的組成
    • 投資組合，看ROI 加上計劃
      Plan
  • 戰略的發展
    • 從現在走到未來
  • 戰略的執行
    • 如何執行戰略，將經營高層的管理意圖落地的一種方式
      

引用自 戰略發展

解釋名詞

• 投資組合&ROI
  • 裡頭包含一個大項目 (Program) 或稱為專案及很多細部的計畫 (Plan)
  • 為了達成目的而把戰略拆開成很多的大項目(Program)去執行，證明存在一定的戰略價值
    • 主要是看投資報酬率 (ROI)

[10萬個WHAT] 那什麼是專案管理呢?

• 專案是有起始、結束及產出，在範圍內兼顧品質，而稱之。
  

參考: 專案

要達成目標 的有效方法就是要玩真的?

• 確立目標後要投資時間、金錢並設定結束的時間點，不然設定的目標就是不切實際的。

有專案就牽涉到專案中，各種扮演的人員及其職責
簡單談 責任配置矩陣 (簡稱RACI矩陣)

確保安全控制措施是否有效? 需要做安全評鑑才能確保有效性及符合性

• 有效性: 到底是0分還是60分的差別
• 符合性: 指的是特定人士或特定需求
  • 法尊需求: 法律法規、行政命令、主管機關要求
  • 行業標準: ISO 27001、SGS、UL
  • 盡職調查 (事前)、應有的照顧 (事中)
  • 道德條款

**[What] 安全評鑑要如何做呢? **
|心法| 查驗、訪談、測試

• 檢查文件是否有備齊及內容有效
  • 用眼睛看
• 透過內部員工訪談，收集需要的知訊
  • 用嘴巴問
• 實際動手做做看

評鑑及測試做完後就會出現評鑑或測試報告，報告內容中的項目

• 符合規範的就要精益求精並繼續保持下去。
• 不符合的就要做改善
  • 改: 改正、矯正
  • 善: 持續維持
• 改是必須要時常改，天天改，但在動手做之前 要先去進行變更管理，因為需要變更到已經被核定過的狀態，需要得到授權官同意後才能施作

參考資料 上課筆記