人就是因為不會才要學習，CISSP當然也是一種型態的學習方式

不可能考不過，是因為方法錯誤跟自己不夠努力

CISSP 是在一個完美世界的考試，但實務上不是

看心智圖聯想跟說出屬於自己理解後的故事情節是非常重要的

• 標準是誰定義的? 要以三階目標來看，不同階級的人設定的不同
• 什麼是管理? 達成目標的一套標準有系統的方法，最常用的就是PDCA
• 要達成三階目標，要怎麼達成?
  • 戰略管理，風險管理跟解決方案
• 安全控制的幾個派系?
  • NIST RMF
  • ISC2 7個控制項

    事前

    • 威嚇
    • 指示
      • 發公告
    • 預防

    事中

    • 偵測
      • IDS
    • 糾正 - 考題中可能不好判斷
      • 安全控制措施要進來
      • I+3A 跟存取控制
        • 主體對客體的存取行為時必須受到安全核心(3A)的管控
        • 出示身分
          • I: 識別
        • 驗證身分
          • A: 驗證
        • 通知結果
          • A: 授權
          • A: 問責

    事後

    • 恢復
    • 補償
  • ISO 27001
  • HIPAA
    • 行政管理
      • 發公告
    • 技術邏輯類
    • 實體類

• 安全評鑑步驟
  • 查驗 (用眼睛看)
  • 訪談 (問問看)
  • 測試 (實際動手做)
    • 有效性
    • 符合性
      • 合約
      • 合規
      • 合作守則
      • 盡職調查
      • 應有的照顧
      • 產業標準
      • 道德
    • 做這個是為了誰??
      • 為了利害關係人
  • 結果
    • 做為是否需要改善的依據，例如: 每年的KPI 或績效考核中達到一個依據。
    • 有結果就會帶到改善
      • 改就是改正，被核可後會形成新的基準
      • 善
        • 好的部分就是持續精進
    • 日常維運，持續改善
      • 每天做，時時做

安全評鑑是為了誰而做?

是為了要確保安全控制措施是有效的跟利害關係人而做

• 利害關係人
  • 部門長官
  • 不同科別的長官
  • 稽核部門
  • 外部獨立稽核單位

情境練習

從存取控制定義開始 => 資產 >> 安全評鑑 (有效性 符合性)[要提到哪三種方式]
用自己的話練習，因為考試是考真實的事件

• 老闆OK，他代表利害關係人，他buy in 他買單，我就OK
  • 考試世界還是要分三個角色 (owner, custodian, Steward)
  • 真實世界可能只有兩階 (owner, custodian)

密碼學起手式 - 四大目標，四大技術

• 四大技術
  • 加密 (機密性)
  • 雜湊 (完整性)
  • MAC (真實性)
  • 數位簽章 (不可否認性)
• 要保護機密性

風險 - 影響目標達成的不確定因素
因為有三階目標 就會有風險管理

風險1234

• 一大目標 - 經營高層可以接受的程度
  • 專有名詞: 風險未納量
    • 風險超過後公司就會倒掉 (risk)
    • 公司可以忍受的最大風險 (capacity)
• 二大 - 風險評鑑，風險處置
• 三大步驟 - 識別分析評估
  • 識別:
    • 資產價值: 風險發生的時候，可能性損失就有 SLE = 資產價值 x EF
    • ALE = SLE x ARO
  • 分析:
    • 分: 拆解
    • 析: 深入了解
    • 值化
      • 靠經驗
      • 德爾非法 (問專家)
    • 量化
      • 期望值法
  • 評估: 要看這個要不要做，要做就要排順序，不處理的要列入風險登錄表內
• 四大絕招 - ATMA
  • 迴避
    • 不要把機房蓋在活火山地帶
  • 轉移
    • 買保險
  • 緩解
    • 出事後要設法找出workaround的方式先恢復運行
  • 接受
    • 如果安全成本過高，那就只能含淚接受這個風險

小結:
尚未達成目標，將繼續努力，直到考上為止