前言
考試範圍就是考試大綱裡頭的那些內容，那就來一一複習裏頭的內容

Domin 1 - 安全與風險管理

• 1.1 理解、遵从与提升职业道德
  • (ISC)2 职业道德规范
    . 保護社會、共同利益、必要的公眾信任和信心以及基礎設施。
    . 以光榮、誠實、公正、負責任和合法的方式行事。
    . 為校長(principals)提供勤勉和稱職的服務。
    . 推進和保護職業。

  引用自ISC2 職業道德規範

  • 组织的道德规范
• 1.2 理解和应用安全概念
  • 保密性、完整性、可用性、真实性和不可否认性
    • 資料不外洩，資料不被偷，資料隨時可用及服務持續運行
      • 真實性 (確保資料在傳輸前面的一致姓)
      • 不可否認性 (透過電子簽章的形式)
        • 傳輸方不可否認曾經傳送過的事實，可透過電子簽章的方式加以確認
• 1.3 评估和应用安全治理的原理
  • 将安全功能与业务战略、目标、使命和宗旨相关联

    • 資安定義

      • 透過安全控制措施保護資訊資產免於受到危害達到CIA的目標，進而支持組織業務，幫助組織創造價值，實現組織的使命及願景

    • 幫助組織創造價值之前，必須要確保安全功能的存在，設立安全功能這個角色，可以是由一個人擔任或者是由一個部門承攬，承擔這個角色的人被稱為CISO
      

  引用自CISSP 筆記

  • 组织过程（例如，收购、剥离、治理委员会）
    • 收購前必須先做到完整調查，確保組織的背景資訊是否正確及收購後是否會造成哪些類型的衝擊
  • 组织角色和职责
    • CEO (Chief executive officer) 執行長
    • CTO (Chief technology officer) 技術長
    • CIO (Chief information officer) 資訊長
    • CFO (Chief financial officer) 財務長
    • COO (Chief operating officer) 營運長
  • 安全控制框架

    • NIST RMF 風險管理框架 (NIST SP 800-37)
      

      1. 進行系統分類，根據管控系統的風險強度對系統進行分類並就結果對系統進行相對應的登記
      2. 選擇安全控制措施，根據系統的分類和其他相關因素選擇系統的安全措施，重點: 需要確定核心組件類型以及每個控制項相關的起始控制集合。
      3. 實施安全控制措施，針對控制系統對象實施量身訂製的控制策略並且需要與安全文件內的規範保持一致，同時將完整性監控規則應用於特定的參數配置文件，用以確保對系統結構的更改及具有控制權和可見性。
      4. 評估安全控制，提供對控制項、配置和設置後的連續監視舉措並實時報夠安全控制措施的狀態，使之與系統的其他測試和認證活動保持一致性。
      5. 授權信息系統，記錄各種失敗的控制措施並提供相關的跟蹤和狀態訊息。提供隊失敗空置措施的免責權，分配其職責和操作日期並進行相對應連續監控的方法。
      6. 監控安全控制，為確保系統提供持續的安全管制措施和實監控實。隨時記錄相關報告，其實性為記錄系統的核心元件和相關配置是否因意外更動而導致安全事件發生

  參考自NIST RMF 懶人包

  • 谨慎考虑/恪尽职守
    • 盡職調查
      • 事前做好完整的背景調查，例如: 人員入職前的背景調查
    • 應有的照顧
      • 在行事過程中確保事情依照組織規範及合理的被運行
• 1.4 确定合规性和其他要求
  • 何謂安全評鑑(security assessment)? => 透過查驗(examination)、訪談(interviewing), 及測試(testing)等方法，來確保安全控制措施的有效性(effectiveness)及符合性(compliance)，並且產出安全評鑑報告的過程，我們稱之為安全評鑑. (談安全評鑑或下定義, 沒有提到它的方法、目的跟結果就不合格)
    • 有效性 是否達成控制/安全目標
    • 符合性 是否達到相關的要求
      • 符合性風險 包含 法律合規規範，組織條款，行業要求
  • 稽核是【獨立單位】所作的安全評鑑。換句話說，安全稽核就是安全評鑑，但前提是必須由獨立單位來進行. 所以要認識第一方、第二方、第三方的獨立單位，尤其是第一方的內部稽核部門及董事會稽核委員會的位階.

參考資料CISSP 筆記

• 隐私要求

  • 企業自有資料及個資
  • 個資處理原則
    • 告知目的
    • 取得同意
    • 蒐集最小化
    • 盡責保管
    • 出事要通知
    • 出事要負責
  • 資料被當成測試資料時必須做到
    • 匿名化 (無法使用推理或任何形式追溯到本人)
    • 假名化 (將明文資料以代碼的形式取代，適用情境需慎選)
      • SIEM 中的個資資訊，必須做到假名化以避免數據外洩

• 1.5 理解在全球背景下与信息安全相关的法律和监管问题

  • 网络犯罪和数据泄露
  • 许可和知识产权 (IP) 要求
    • 知識產權有一個所有者，否則它將屬於公共領域。
    • 商業秘密是可以出售或許可的機密信息的知識產權 (IP) 權利。
    • 參數的保密意味著商業秘密。
    • 參數的創新意味著專利。
    • 參數的表達意味著版權。
      • 一般來說，要使某項信息符合商業秘密的條件，必須滿足三個步驟：
        • 保密：該信息必須是足夠保密的，即一般不為人所知或不易編譯。請注意，與企業客戶相關的機密個人信息受隱私法而非商業秘密法的保護。
        • 商業價值：信息必須為所有者提供競爭優勢或某種經濟利益，因為它是秘密的，而不是因為它具有任何內在價值。
        • 合理措施：所有者必須採取合理的安全措施來保持信息的保密性。

  參考自QOTD - WUSON

  • 跨境数据流
    • GDPR (通用個人資料保護條例)
  • 进口/出口控制
    • 技術、貨物(武器)、軟體(含加密技術) 有被管制
    • 瓦聖納協議

• 1.6 理解调查类型的要求（即行政、刑事、民事、监管、行业标准）
  
  證據開示，在英美法關係法域中，是訴訟中的一種預審程序，當事人通過民事訴訟法，可以通過詢問、請求等開示手段從對方或多方取得證據用於製作文件、要求承認和作證。可以使用傳票從非當事人那裡獲得發現。當證據開示請求遭到反對時，請求方可以通過提出強制開示請求的動議來尋求法院的協助。 引用自電子發現-Wiki

  • 監管鏈
    • 確保數據、記錄或樣品的實體安全的連續的追蹤途徑。

    • 參考資料監管鏈
      

  引用自CISSP - Note

• 1.7 制定、记录和实施安全政策、标准、程序和指南

  • 政策: 經營高層的意圖
  • 有了政策後就可以撰寫成標準及程序並讓下面有一個可以依循的方式
  • 指南就是更細部的呈現方式，但非必要

參考資料

• WUSON的CISSP課後筆記整理-葉柏毅Alex Yeh
• CISSP學習與上課筆記
• CISSP 筆記 - Erwin
• CISSP 備考筆記
• ISC2 - CISSP考試大綱