Pwn 還在努力中，先來讀讀資安管理，說不定之後會需要。

ISMS

• 全名為資訊安全管理系統（Information Security Management System）
• 用於保護資訊安全的一套系統性方法
• 導入目的：保護資產不受威脅

ISO

• 國際標準組織(the International Organization for Standardization，簡稱ISO)
• 訂定各項標準與規範

ISO 27001

• 為企業導入 ISMS 提供標準規範
• 導入 PDCA 概念來管理資安
  • Plan：制定規範、準則，包括確定資產、識別風險、訂定控制措施，並確定資源（軟硬體）執行安全政策、提供培訓、實施技術控制等。
  • Do：實施了計劃中的控制措施，包括執行安全政策、提供培訓、實施技術控制等。
  • Check： 評估成效是否符合計畫，包括監控事件、收集數據、進行內部審查和測試。
  • Act：採取行動來改進 ISMS，包括修正不足、調整控制措施、更新政策。
• 最新版：今年 1 月發布的 2023 版
• 導入流程（第一年大約要一年，第一年較鬆，往後隨時間越來越嚴格）：
  1. 制定政策：要有正式書面約定（合約、MOU、SLA），確定責任範圍
  2. 定義 ISMS 範圍：第一次導入要跟上層確認，看是依客戶需求、法律規定、自願等等不同需求會需要不同範圍。由於證書會寫上此範圍，因此需明確定義後未來才能對客戶或主管好交代。
  3. 資安盤點：需要保護的資產通常是產線。優先盤點停擺會損失很大的核心系統。依機密等級、可用性等等比較哪些優先。
  4. 風險評鑑
  5. 風險管理
  6. 適用性申明：申明適用於那些部分
  7. 訂定程序、規範：上市櫃公司須特別遵守
  8. 資安設備建置
  9. 營運演練
  10. PDCA 持續改善

NIST

• NIST Cybersecurity Framework，由美國國家標準與技術研究所提出。
• 主要包含5大功能面向：
  • 識別（Identify）：確定組織資訊安全的重要資產、流程、風險和弱點。
  • 保護（Protect）：對識別階段識別的風險，制定和實施適當的安全控制措施來保護資訊資產。
  • 偵測（Detect）：建立監控和偵測系統，以及實施活動的機制，以及時識別資訊安全事件和威脅。
  • 回應（Respond）：確立應對資訊安全事件的計劃和程序。包括建立事件應對團隊、制定應對計劃、通報事件，並收集證據以進行調查。
  • 復原（Recover）：恢復受到資訊安全事件影響的業務流程和系統。這包括制定業務恢復計劃、數據備份和恢復、以及評估事件後的損害。

今天的主題是：

想不到了

想不到今天要放什麼，誠徵食物中~