1. Guidelines

為 to̍h 達成資安目標，提供建議佮最佳實踐。

2. Policies

建立規則佮步驟。一般資安佮資料的 policies：

• Acceptable User Policy(AUP)
• Information security policies
• Business Continuity Plan(BCP)
• Disaster recovery
• Incident response
• Change management
• Software Development Life Cycle(SDLC)

3. Software Development Life Cycle

兩个主要的方法：

• the Waterfall methodology：
  是傳統線性的方法，每一个階段完成 liáu，chiah 開始新的階段。
• Agile：
  是較有彈性，會用快速 deployment。Agile kā 一个 project 分成較短的 cycles 叫做 sprints，無限制 sprints 完成的順序。

四个階段：

• Software development
  可能有一个以上的應用程式 leh 發展。這一階段 developer 整合佮 merges 程式。
• Test
• Staging
• Production

4. Standards

相關的組織佮標準：

• International Organization for Standardization(ISO)
  • ISO 27001 Security。
    國際認證的 framework - Information Security Management Systems(ISMSs)
  • ISO 27002 Guideance on Best Practices
  • ISO 27791 Privacy
    提供實行 Privacy Information Management System(PIMS) 的方法。
    aligned with General Data Protection Regulation(GDPR) 佮 California Consumer Privacy Act(CCPA)。

4.1 Password Standards

• Hashing：
• Salting：
  欲 kā 密碼 Hashing 進前 加入隨機資料 - Salt。
• Encryption：
• Password reset
• Password managers

4.2 Access Control Standards

應該 ài 包括下面的元素：

• Authentication protocol
• Least privilege
• Access control type
• User identity
• Multifactor Authentication(MFA)
• Privilege Access Management(PAM)
• Audit trail
• Conditonal Access policy

4.3 Physical Security Standards

• Mantrap
• Turnstile
• Access control vestibule
• Guards
• Visitor logs
• Proximity cards/fobs
• CCTV

4.4 Encryption Standards

5. Procedures

• Change management
• Onboarding
• Offboarding
• Playbooks