導讀

       今天我們針對下表標示處解說，於上一篇已了解安全相關的範疇後，接著我們會依據CISSP所制定的標準，談論如何作到安全防護這一件事。

CISSP 全稱為 Certified Information Systems Security Professional，中文翻譯為「資訊系統安全認證專家」。這是一個由國際資訊系統安全認證聯盟 (ISC)² 所頒發的全球認證，

CISSP定義了八個域

組織安全專業人員的工作範疇。 重要的是要瞭解這些領域是相關的，並且其中一個領域存在差距 就可能會對整個組織帶來負面後果。 在此章節我們簡單的將這八個域的概念簡述一下，更詳細的內容會在第2篇文章中，再針對這八個域作很完整的詳細解說。

1. 安全和風險管理 (Security and Risk Management): 此領域涵蓋識別、分析、評估和控制資訊安全風險的過程。

2. 資產安全 (Asset Security): 此領域涵蓋保護組織資產 (例如硬體、軟體、資料) 免遭未經授權的訪問、使用、披露、破壞、修改或銷毀的措施。

3. 安全架構和工程 (Security Architecture and Engineering): 此領域涵蓋設計、實施和維護安全架構以保護組織資訊資產的過程。

4. 通信和網路安全 (Communication and Network Security): 此領域涵蓋保護通信網路和基礎設施免遭攻擊的措施。

5. 身份和存取控制 (Identity and Access Management (IAM)): 此領域涵蓋識別、驗證、授權和授予使用者訪問組織資訊資產的許可權的過程。

6. 安全評估和測試 (Security Assessment and Testing): 此領域涵蓋評估組織安全態勢並識別漏洞的過程。

7. 安全運營 (Security Operations): 此領域涵蓋監視安全事件、檢測威脅並做出回應的過程。

8. 軟體發展安全 (Software Development Security): 此領域涵蓋在軟體發展生命週期中集成安全實踐的過程。

   要查看涵蓋的術語的詳細資訊和定義，請訪問美國國家標準與技術研究院 (NIST) 術語表(https://csrc.nist.gov/glossary/term/nist)。

       以上內容，主要是將 CISSP 安全域的內容明確的講述過一遍，當中的細節將於下篇詳細解說，讓安全防範有執行的方法及實作的方向。