這個Domain 真的是麻雀雖小，但卻很貴

2.1 识别并分类信息和资产

識別 就是盤點

• 数据分类
  

  • 商業組織或民間的信息敏感級別
    • 機密、隱私、敏感、公開
  • 軍事機構的信息敏感級別
    • 絕密、秘密、機密、敏感但未分類、未分類
  • 個資，不屬於機密

• 资产分类
  

  資產 跟資訊資產的差別?

  資產 裡頭包含資訊資產 (資訊系統及資料)
  

  • 資產分類是通過根據法律或監管要求、敏感性、關鍵性、影響或商業價值等標準將資產分配到指定類別（組、類別、層級或級別）來確定資產的系統安排的過程它的保護需要
  • 有形: 包括人員、合作夥伴、設備、設施
  • 無形: 聲譽、信息
  • 分類方案是指用於分類的命名類、標準和程序

2.2 制定信息和资产处理要求

由於資源有限，所以要將資產做盤點、分類再保護。CISSP 考試中指的資產多數都是資訊資產為主，就是ISO 15288 裡頭提及的部分

• 盤點
  • 資訊資產，會盤八個元素
• 分類
  • 盤點後才有辦法做分類
  • 做分類前需要先指派一個owner，由owner 去分類
    • 分類的方式，可以以NIST RMF 最高水位的方式去做
      • 使用美國的 NIST RMF 分出系統失效嚴重的高中低程度以C/I/A 三元素為依據，取最高水位
      • 依照資產對業務衝擊的程度去做分類依據
      • 依照機密性或敏感度做分類
      • 依照業務價值或可能造成的營業損失做分類
        • 包含採購成本 (歷史成本)
        • 機會成本
• 保護 (簡單的說就是下控制措施)
  • Domain 5，主體受到客體的資源存取時，需要受到安全核心3A的管控
  • 要隨時寫LOG 及看LOG
  • 出事要負責，要追究責任

R & R

• 行政管理

  • 對組織中發生的一切負責

• 首席執行官（CEO）

  • 負責組織的日常管理工作

• 首席財務官(CFO)

  • 負責組織賬目和財務活動以及組織的總體財務結構

• 首席安全官（CSO）

  • 負責了解組織面臨的風險和將這些風險緩解至可接受的級別

• 數據所有者

  • 具有應盡關注職責，對特定信息子集的保護和應用負最終責任。

• 數據管家

  • 負責數據的保護與維護工作

• 系統所有者

  • 負責一個或多個系統，確保系統的脆弱性得到正確評估

• 安全管理員

  • 負責實施和維護企業內具體的安全網絡設備和軟件

• 主管

  • 用戶管理者，最終負責所有用戶活動和由這些用戶創建和擁有的任何資產

引用自 CISSP 筆記

2.3 安全配置资源

• 有關於軟硬體的安全配置
  • 所有的配置都要考慮到
• 信息和资产所有权
  • GDPR 及個資請直接參考 GDPR vs 個資之前的文章
    

  引用自Paul 志工教練筆記

• 资产列表（如有形、无形）
  • 有形: 看得到，摸得到
  • 無形: 知識產權，聲譽
• 资产管理
  • 當責：身為owner須承擔保護資產的責任。

2.4 管理数据生命周期

• 創建
• 保留
• 使用
• 分享
• 封存
• 毀壞

如何保留？

• 保留多長時間？
  • 數據類型和一般保留期限，法律或組織有規範
• 保留什麼數據？
  • 組織決定保留的數據並確保能夠執行保留
• 電子發現
  • 識別、收集、保存、處理、檢查、分析

數據殘留

• 資料清洗程度判定標準
  • NIST 指引 >> 可救回 -> 清洗(Clear) 透過指令 或 UI 操作 >> 專業實驗室不可救回 -> Purge
  • degaussing 消磁
  • Cryptographic-Erase 加密後並把金鑰刪除
    • 雲端服務或SSD

2.5 确保适当的资产保留（例如，使用寿命结束 (EOL)，支持结束 (EOS))

• End of Life，是臨終的意思
• 正式停止銷售，End of Sales

參考 品質筆記

2.6 确定数据安全控制和合规要求

• 数据状态（例如，使用中、传输中、静止）

  資料三態

  • Data in rest (躺在硬碟裡)
    • 加密靜態數據
  • Data in use (載入記憶體)
    • 側通道攻擊
    • 防範方式: 對軟體進行安全檢測
  • Data in transit (網路串流傳輸)
    • SSL/TLS、IPSec AH，主動型IKE、VPN
• 数据定界和定制
  • 透過加密或加header的形式檢查數據傳輸前後是否符合一致性
    • 例如: hash，SHA-256
• 标准选择
  
  • 可使用訪問安全控制措施
  • 密碼學的形式做保護
• 数据保护方法（例如，数字化权限管理 (DRM)、数据丢失防护 (DLP)、云访问安全代理 (CASB)）
  • 云访问安全代理 (CASB)
    • 雲訪問安全代理是位於雲服務用戶和雲應用程序之間的本地軟件或基於雲的軟件，用於監視所有活動並強制執行安全策略。CASB可以提供諸如監視用戶活動，警告管理員有關潛在危險操作，強制執行安全策略合規性以及自動防止惡意軟件等服務。

    參考CASB WiKi

  • 数据丢失防护 (DLP)
    • 網絡型 - DLP（NDLP）：對運動中的數據應用保護
    • 端點型 - DLP（EDLP）：對靜態數據和使用中的數據保護。
  • 数字化权限管理 (DRM)
    • 數位版權管理是一系列存取控制技術，通常用於控制數位內容和裝置在被銷售之後的使用過程。
      • 應用: 拷貝保護

    參考DRM - WiKi

參考 ISC2 - CISSP考試大綱