經過30天的修練，逐步拼湊出資安世界的全貌，從最初 CIA 三大支柱：機密性（Confidentiality）、完整性（Integrity）和可用性（Availability），這三個原則就像資安的地基，所有的保護措施都是圍繞著它們來設計的，除了這三個，還有像是不可否認性（讓人不能否認自己做過什麼）和隱私保護這些延伸概念，也都很重要。

資安不是只看某一個時間點，而是要從資訊的整個生命週期來看，從產生、儲存、傳輸到銷毀，每個階段都要有對應的保護措施，這就牽涉到風險管理：我們要先搞清楚有哪些資產、有什麼漏洞、可能會遇到哪些威脅，然後再決定要怎麼處理。處理方式可以分成三種控制措施：行政控制（像是政策、訓練）、物理控制（像是門禁、監視器）和技術控制（像是防火牆、加密）。

在組織層面，我們還要建立一套資安治理架構，包括政策、程序和標準，這些就像是資安的遊戲規則，而身為資安人員，也要遵守像 ISC2 提出的職業道德規範，不只是對公司負責，也要對社會和專業誠信負責。

接著是三個很重要的應變計畫：
業務連續性（BCP）：確保公司遇到突發狀況時還能繼續運作。
災難復原（DRP）：專注在 IT 系統怎麼快速恢復。
事故回應（IRP）：當資安事件發生時，怎麼即時處理、調查和改善。
這三個計畫是企業面對危機時的三道防線。
在存取控制方面，我們會用 IAAA 四個步驟來管理誰可以進來、能做什麼、做了什麼：

識別（你是誰）
驗證（你真的就是你嗎）
授權（你可以做什麼）
稽核（你做了什麼）
這些控制可以是實體的（像是門禁、監控）或邏輯的（像是帳號權限、角色控管），而且要遵守最小特權原則和職責分離，避免有人權限太大而濫用。

在網路安全方面，我們要保護網路不被未授權的人入侵或攻擊。這包括設計安全的網路架構、使用防火牆、IDS/IPS、加密技術，還要能即時監控和回應事件，像是 DDoS 攻擊或惡意軟體。

最後是資料安全，從資料的建立、儲存、使用、分享到銷毀，每個階段都要有對應的保護措施。像是分類、標示、備份、加密（對稱與非對稱）、雜湊演算法等。系統也要定期更新和修補，避免漏洞被利用。再加上像密碼政策、AUP、BYOD 和隱私政策這些規範，還有員工的資安意識訓練，才能真正建立起一個全面的資安防線。

30天正式結束，來說一下這趟旅程的心得， CC 證照難的不是讀書，而是「理解考題」。我在準備的過程中，主管一直提醒我：「不要死背，那樣很容易考不過。」

❌ 第一次考試：4/8
我那時候選了英文版考試，但其實我的英文不太好，雖然單字大致都看得懂，但整句話合起來就完全不理解題目在問什麼。
這也是我覺得 ISC2 考試的一大挑戰：你不只要懂資安，還要能看懂題目到底在考什麼。
結果當然是大失敗，當下真的超挫折。

✅ 第二次考試：7/18
這次我選擇了簡體中文版，整個六月幾乎都泡在 CC 的內容裡，我的筆記翻了不下十次，有些頁面都被我翻爛了。
後期其實已經不知道自己還能讀什麼，只能不斷刷題庫、複習錯題，考前一天我還特地去翻了一下幾位大神的 CISSP 筆記，看看 CC 也會考到的內容，意外地真的有幫助，推推！

📌 一些建議給準備 CC 的你：

英文不好就不要硬上英文版，真的！重考一次含國外刷卡手續要六千五左右，別跟自己的荷包過不去。
現在簡中版本的翻譯已經比以前好很多，不太會有像「MAC 被翻成蘋果」這種奇怪的問題了。
不要死背課本或筆記內容。
你要做的是「理解」它，然後把它變成你生活的一部分。舉數位簽章的例子：
> 數位簽章可以保護 CIA，屬於非對稱加密。
> 使用寄件者私鑰加密，寄件者公鑰解密。
> 有不可否認性，對稱加密則不提供不可否認性，這時候就會想到對稱加密。
> 再往下延伸對稱加密的內容...

這樣一層一層延伸下去，就像長出一棵知識樹，讓你不只是記住，而是「理解並應用」，這種「支線思考法」真的很有用。

💬 最後的話
如果你也正在準備 CC，或是曾經失敗過，別灰心。
理解比死背更重要，方法比努力更關鍵。
祝大家考試順利！