“既然有測試,那麼有規範標準嗎?”皮鯨問到
紅鯨微笑的說,“沒錯!資安的世界雖然很複雜,但為了讓大家都能有一個共同的目標,所以就有了很多『資安標準』,就像是考試的題庫一樣,告訴大家什麼是好的、什麼是不好的。”
“那這些標準都是誰定的呢?”皮鯨接著問。
“制定資安標準的組織可多了!有國際性的,也有各國自己制定的。就好像聯合國一樣,大家聚在一起,討論出一個大家都認同的標準。比如說,國際標準組織(ISO)就制定了很多很有名的資安標準,像是ISO 27001和ISO 27005。一個涵蓋了資訊安全的各個方面,包括資產管理、風險評估、存取控制、事件回應等。一個提供了風險評估、風險處理和風險監控的詳細指南。還有一個很有名的,像我們剛剛一直談論的網路和系統,就有OWASP Top 10,大約每三年到五年, 開放式網路應用程式安全專案 (OWASP) 就會重新列出的十大最常見的Web應用程式安全風險。“ 紅鯨耐心地解釋。
iThome鐵人賽
看影片追技術