iT邦幫忙

2022 iThome 鐵人賽

DAY 8
0
Security

備考 CISSP 敗部復活 雜草談 系列 第 8

要融會貫通就要多多熟悉心智圖 。。。2

  • 分享至 

  • xImage
  •  

參考: WUSON 心智圖 - CISSP

什麼是資安定義?

透過安全控制措施,保護資訊資產免於受到危害,以達到C、I、A的目標,進而支持組織業務創造價值,達成使命願景

要達到目標的三個元素分別是

  • 戰略管理
    • 戰略的組成
      • 投資組合,看ROI 加上計劃
        Plan
    • 戰略的發展
      • 從現在走到未來
    • 戰略的執行
      • 如何執行戰略,將經營高層的管理意圖落地的一種方式

引用自 戰略發展

解釋名詞

  • 投資組合&ROI
    • 裡頭包含一個大項目 (Program) 或稱為專案及很多細部的計畫 (Plan)
    • 為了達成目的而把戰略拆開成很多的大項目(Program)去執行,證明存在一定的戰略價值
      • 主要是看投資報酬率 (ROI)

[10萬個WHAT] 那什麼是專案管理呢?

  • 專案是有起始、結束及產出,在範圍內兼顧品質,而稱之。

參考: 專案

要達成目標 的有效方法就是要玩真的?

  • 確立目標後要投資時間、金錢並設定結束的時間點,不然設定的目標就是不切實際的。

有專案就牽涉到專案中,各種扮演的人員及其職責
簡單談 責任配置矩陣 (簡稱RACI矩陣)

項目名稱 說明 白話解釋
當責 (Accountability) 對最終交付或任務負責的人 出事要扛責任
負責 (Responsibility) 實際完成任務的人 擔負事情做好的責任
可供諮詢的專家 (Consulted) 諮詢相關意見的人,可進行雙向溝通的主題專家
事後通知 (Informed) 收到更新情形及成果的人,一般只在交付物或是任務完成時告知,而且只有單向溝通 傳令兵

確保安全控制措施是否有效? 需要做安全評鑑才能確保有效性符合性

  • 有效性: 到底是0分還是60分的差別
  • 符合性: 指的是特定人士或特定需求
    • 法尊需求: 法律法規、行政命令、主管機關要求
    • 行業標準: ISO 27001、SGS、UL
    • 盡職調查 (事前)、應有的照顧 (事中)
    • 道德條款

**[What] 安全評鑑要如何做呢? **
|心法| 查驗、訪談、測試

  • 檢查文件是否有備齊及內容有效
    • 用眼睛看
  • 透過內部員工訪談,收集需要的知訊
    • 用嘴巴問
  • 實際動手做做看

評鑑及測試做完後就會出現評鑑或測試報告,報告內容中的項目

  • 符合規範的就要精益求精並繼續保持下去。
  • 不符合的就要做改善
    • 改: 改正、矯正
    • 善: 持續維持
  • 改是必須要時常改,天天改,但在動手做之前 要先去進行變更管理,因為需要變更到已經被核定過的狀態,需要得到授權官同意後才能施作

參考資料 上課筆記


上一篇
要融會貫通就要多多熟悉心智圖 。。。1
下一篇
關於跟人有關的安全許可資格的二三事。。。
系列文
備考 CISSP 敗部復活 雜草談 35
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言