8 domains

• 定義安全目標與目的 security and risk management,
• asset security,
• security architecture and engineering, and
• communication and network security
• 身份與存取管理 identity and access management(IAM)
• 安全評估與測試 security assessment and testing,
• 安全運作 security operations, and
• 軟體開發安全 software development security.

安全與風險管理security and risk management

影響組織安全姿態的安全和風險管理領域的要素包括：

• 定義安全目標與目的 defining security goals and objectives:organizations can reduce risks to critical assets and data like PII,

• 風險緩解 risk mitigation: means having the right procedures and rules in place to quickly reduce the impact of a risk like a breach.

• 合規性、業務連續性compliance, 合規是用來制定組織內部安全政策、法規要求和獨立標準的主要方法。

• business continuity業務持續性與組織“維持”日常生產力的能力有關，這是通過建立風險災難恢復計劃來實現的。 By establishing risk disaster recovery plans

• 法律法規 legal regulations:遵循道德行為的規則和期望，以最小化疏忽、濫用或詐騙。

• Professional and organizational ethics

• 資訊安全 InfoSec:也與此領域相關，指的是為了保護資訊而建立的一系列流程。根據組織的需求和感知風險，組織可能會使用操作手冊並實施培訓，作為其安全和風險管理計畫的一部分。資訊安全設計流程有很多，例如：事故應對Incident response、脆弱性管理Vulnerability management、應用安全Application security、雲安全Cloud security和基礎設施安全Infrastructure security。

資產安全asset security

資產安全領域專注於保障數位和實體資產。它還與數據的存儲、維護、保留和銷毀有關。了解您擁有哪些數據以及誰可以訪問這些數據，對於擁有一個強大的安全態勢以降低對關鍵資產和數據的風險是必要的。
舉例：例如，一個組織可能會讓你作為安全分析師，負責監督硬碟的銷毀，以確保它們得到妥善處置。這樣可以確保存儲在這些硬碟上的私人數據不會被威脅行為者訪問。
因為資產的丟失或被盜可能會暴露組織並增加風險，跟蹤資產及其所持數據至關重要。

• 進行安全影響分析、建立恢復計畫和管理數據暴露取決於每個資產的風險水平。
• 安全分析師可能需要通過創建備份來存儲、維護和保留數據，以確保能夠在安全事件影響組織數據時恢復環境。

安全架構與工程 security architecture and engineering

• 安全架構與工程專注於通過確保有有效的工具、系統和流程來優化數據安全，以保護組織的資產和數據。
• 安全設計架構的核心概念之一是共同責任Shared responsibility。共同責任意味着組織內的所有人都積極參與降低風險，以及維護實體和虛擬安全。
• 與此領域相關的其他設計原則，在課程後面會進一步討論，包括：威脅建模Separation of duties、最小特權Least privilege、安全深度Defense in depth、可靠失敗Fail securely、職責分離Separation of duties、保持簡單Keep it simple、零信任Zero trust、信任但需驗證Trust but verify

通信和網路安全 communication and network security

communication and network security 通信和網路安全主要集中在管理和保護實體網路及無線通信。安全的網路可確保組織的數據和通信在現場、雲端或遠端連接服務時的安全。
例如，在公共場所遠端工作的員工需要受到保護，以免遭受在使用不安全的藍牙連接或公共 wifi 熱點時可能發生的漏洞。通過限制不安全的溝通渠道來增強組織安全的重要性。這樣的策略不僅防止了員工因為不小心行為而給予威脅行為者可乘之機，同時也在整個組織內提高了安全意識和防範措施。這是一個系統性的方法，旨在強化整體的安全防護網。

Explore the CISSP security domains, Part 2
the last four domains:

• 身份與存取管理 identity and access management(IAM)
• 安全評估與測試 security assessment and testing,
• 安全運作 security operations, and
• 軟體開發安全 software development security.

身份與存取管理 identity and access management(IAM)

• 它專注於訪問和授權，以保持數據安全，通過確保用戶遵循既定的政策來控制和管理資產。A security analyst researches ways to improve access and authorization at their business. Their primary goal is to keep data secure.
• 基本上，IAM的目標是減少系統和數據的整體風險。
• 身份與存取管理（IAM）的四個主要組成部分是：
  • 身份識別Identification：是指用戶通過提供用戶名、存取卡或生物識別數據（如指紋）來驗證他們的身份。
  • 身份驗證Authentication：是用來證明個人身份的驗證過程，例如輸入密碼或個人識別碼（PIN）。
  • 授權Authorization：確認後賦予用戶相應的存取權限
  • 問責制Accountability：監控和記錄用戶行為。

安全評估與測試 security assessment and testing

• 進行安全審計Perform security audits以監控風險、威脅和漏洞。
• 安全控制測試Conduct security control testing: 可以幫助組織識別新的和更好的方法來減輕威脅、風險和漏洞。
• 這涉及檢視組織的目標和宗旨，並評估使用的控制措施是否實際達到這些目標。
• 定期收集和分析安全數據Collect and analyze dat也有助於防止對組織的威脅和風險。
• 分析師可能會使用安全控制測試評估和安全評估報告security control testing evaluations and security assessment reports來改善現有控制或實施新控制。
• 實施新控制的例子可能是要求使用多重身份驗證 multi-factor，以更好地保護組織免受潛在威脅和風險。

安全運作 security operations

• 安全操作領域專注於進行調查和實施預防措施。conducting investigations and implementing preventative measures.
• 一旦威脅被消除，將開始收集數位和實體證據，以進行取證調查 forensic investigation。

軟件開發安全 software development security

• 這個領域專注於使用安全編碼實踐。安全編碼實踐是用來創建安全應用程序和服務的建議指導方針。
• 軟體開發生命週期lifecycle是一個高效的過程，團隊可以利用它快速構建軟體產品和功能。
• 軟體開發生命週期是團隊用來快速建造軟體產品和功能的有效流程。
• 安全性並非僅僅在最後階段才考慮，而是在每一個開發階段都需要進行安全性評估和檢查。
  • 「每一階段」的安全性審查意指開發的每個過程都應納入測試和評估的規範，以確保漏洞能夠被提早發現，從而減少未來出現問題的風險。
  • 在設計階段進行安全設計審查secure design review ，
  • 在開發和測試階段進行安全代碼審查secure code reviews，
  • 以及在部署和實施階段進行滲透測試penetration testing ，可確保安全在每個步驟中都納入軟體產品中