由於CC考試著重的是不偏向任何廠商解決方案的考題,所以上面的角色分類僅供參考,讓讀者能了解企業內部資安團隊的分工,實際上在考CC時,要記得的反而是以下的定義:
1.ISO27001定義的風險擁有者角色:其決定資訊安全處理計劃的核准,以及對剩餘資訊安全風險的接受。
2. ISO27701定義的保管員(Custodian)角色:資料保管的實施和日常工作。
ISO 27002中對於控制措施(control)所下的定義為「包括政策、程序、指導綱要、實務或組織結構等的風險管理方法,其本質可為行政、技術、管理或法律」,所以控制措施是用來緩解風險,讓風險降低到組織可接受的程度,在CC的考試中,將控制措施分類為三種,其定義請各位讀者要詳細區分並熟記,會考某種措施屬於這三種的那一種,例如使用監視器屬於實體控制;BYOD使用政策屬於行政控制等等
iThome鐵人賽
看影片追技術