| 分類 / 專業術語 | 定義/說明 | 舉例 |
|---|---|---|
| CIA三大要素 | ||
| 資訊保密性 / Confidentiality | 保護資訊不被未授權者存取 | 僅授權員工可存取敏感資料 |
| 資訊完整性 / Integrity | 保證資訊未被未授權或意外更改 | 防止資料在傳輸過程中被竄改 |
| 資訊可用性 / Availability | 確保資訊和資源在需要時可被合法存取 | 服務不中斷,使用者隨時可存取系統 |
| Security plan planning三要素 | ||
| 風險 / Risk | 任何會影響資產的保密性、完整性或可用性的事物 | 遲到上班可能丟掉工作 |
| 威脅 / Threat | 可能對資產產生負面影響的情況或事件 | 惡意駭客攻擊、員工誤操作 |
| 脆弱性 / Vulnerability | 威脅可以利用的弱點 | 系統錯誤設定、員工遺失門禁卡 |
| 威脅類別 | ||
| 故意威脅 / Intentional Threat | 有意圖對資產造成損害的行為 | 駭客入侵、社交工程malicious |
| 無意義威脅 / Unintentional Threat | 無意中造成資產損害的行為 | 員工誤開門給陌生人 |
| 脆弱性類別 | ||
| 技術脆弱性 / Technical Vulnerability | 系統或軟體層面的弱點 | 錯誤配置的伺服器 misconfigured software |
| 人為脆弱性 / Human Vulnerability | 人員行為或習慣上的弱點 | 忘記帶門禁卡、密碼設置過於簡單 |
| 風險計算公式 | Likelihood x Impact/Severity = Risk | 風險等於事件發生的可能性乘以其影響力 |
練習對於提升技能至關重要
安全職業需要經常練習規劃未來
Asset classification is the practice of labeling assets based on sensitivity and importance to an organization.
| 資產類別(英文專業術語) | 說明 | ex: |
|---|---|---|
| 限制級(Restricted) | 最高級別,對於極其敏感的資產(如need-to-know需知道的資訊)。 | 尚未公開的併購計畫文件;高階主管的薪資與獎金明細;重要加密金鑰;高風險客戶名單(如受制裁名單) |
| 機密級(Confidential) | customer survey data is confidential 披露可能對組織造成重大負面影響的資產。 | 客戶調查數據(customer survey data;員工個人資料(如身分證號、聯絡方式);金融交易紀錄;合約與協議內容;尚未公開的財報 |
| 內部專用(Internal-only) | 僅可供員工及商業夥伴使用的資產。 | 員工通訊錄;內部流程手冊;員工訓練教材;會議記錄(不涉敏感資訊);一般內部公告 |
| 公開級(Public) | 披露對組織無負面後果的資產。 | 官方網站內容;對外發佈的新聞稿;產品型錄;公開年報;招募廣告 |
iThome鐵人賽
看影片追技術
看更多
yennefer
