Day4：Domain1安全原則─瞭解資訊安全確保

1. 安全原則
   在CNS27001的中文翻譯中，CyberSecurity被譯為網宇安全。ISO/IEC 27001:2022（Information security, cybersecurity and privacy protection — Information security management systems — Requirements）被譯為資訊安全、網宇安全及隱私保護-資訊安全管理系統─要求事項(ISMS)
   在CC的考試裡面有5個領域（Domain），第一個領域是安全原則，出題佔比為26％。這個領域是資訊安全的概念性介紹，了解一些基本名詞、風險管理的做法、控制措施的種類、ISC的道德規範（必考），以及各種規定的位階（從法律、命令、內部規定、準則、指南、作業程序SOP等來談）
   1.1. 瞭解資訊資產確保的安全概念（Understand the security concepts of information assurance）
   如果，你有一幅世界名畫，你會把他鎖在保險箱。而知識經濟下的世界，遊戲規則有一點改變，你公司的營業機密，在被複製一份攜出公司時，除了紀錄檔上的一行紀錄，幾乎沒有任何異狀。
   從服務的五種特性我們來看關鍵資訊資產：
   1.無形性：資訊資產中伺服器、桌上型電腦是有形的資產，然而承載於其上的無形資產，例如研發部的研發機密、供應鏈的產品設計圖，這些關鍵資訊資產其價值遠高於硬體資產。
   2.易逝性：電腦一重新開機，存在記憶體裡面的資料就會消失（重置），只要電源中斷（關閉），就難以取得數位證據用於法庭上的攻防。
   3.不可分割性：檔案在傳輸中是以整個檔案為單位的，攔截其中的幾個封包並沒有意義，必須取得完整檔案才有價值。
   4.異質性：對每個人而言，看到的資料視角不同，例如訪客能接觸到的資訊資產和系統管理員、一般員工、人事部人員、管理階層，雖然存取同一個資料庫，但是顯示的欄位會有很大的不同，資訊的取得具有異質性。
   5.生產與消費的同時性：現代的資訊系統都強調動態網頁，從資料庫顯示給不同的使用者其權限相對應的資料。所以關鍵資訊資產的提供和使用者的使用是同一個時間發生的。（想像一下，你在台鐵的訂位系統上訂票，系統告訴你8小時後才能知道結果，你會有多崩潰）

CC考點
CIA三要素
保密性：保護需要保護的資料並允許授權個人訪問，同時防止未經授權的個人存取。
完整性：確保資料未被未經授權的方式更改。
（特性：1. 資料保持一致、相同2. 資料未經竄改）
可用性：確保授權使用者可以在需要的時間和地點存取數據，並採用所需的形式和格式。
注意在本書中，完整性包含資料被竊取，而CC的官方定義中是把竊取列於保密性（又稱機密性）