iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

0 Like 0 留言 1127 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十六)

風險等級分析根據事件情景清單，及其對資產和營運過程的後果和可能性（定性的或定量的），對所有相關的事件情景進行風險級別評估，考量對風險的可能性和後果進行賦值、基...

kachung ‧ 2022-05-30

0 Like 0 留言 1065 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十五)

情景發生可能性分析分析完後果之後再來分析可能性，透過已識別的相關事件情景清單、現有和計畫的控制措施清單以及控制措施的有效性、實施和使用狀態進行分析。考慮威脅發...

kachung ‧ 2022-05-19

1 Like 0 留言 1121 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十四)

(二) 風險分析ISO 27005從一開始就強調不是方法論，此標準只是資訊安全風險管理指引，所以方法論還是要由組織自行決定。方法論區分定性法及定量法，目前大都採...

kachung ‧ 2022-05-17

0 Like 0 留言 796 瀏覽

技術誤用案例測試（Misuse case testing）最不可能包含在軟體整合測試（integration test）中

-代碼倉庫：git顧名思義，整合測試結合了代碼單元、模組或子系統並對其進行測試。在託管代碼儲存庫的服務器上進行整合測試是很常見的，例如 git 服務器。在持續整...

卓建全(Cho,Chien-Chuan) ‧ 2022-05-16

0 Like 0 留言 1130 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十三)

識別情景結合前面所有的資訊，我們可以將威脅利用弱點損害資產的機密性、可用性及完整性的情景重建與識別，以利進行後續的評估，從資產與企業運作流程中去識別潛在的威脅...

kachung ‧ 2022-05-15

1 Like 0 留言 1746 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十二)

識別威脅在前面的概論中，我們知道威脅是外來的，他必須配合資產才會產生風險，所以資產與威脅是相互之間的關係。上一個步驟中我們找到資產清單，利用資產清單，可以找到...

kachung ‧ 2022-05-11

0 Like 0 留言 922 瀏覽

技術死結(Deadlock)是開發人員進行結對編程(pair programming)時，是最難發現的問題。

-XP 實踐（來源：https ://twitter.com/CharlotteBRF ）結對編程是眾所周知的極限編程 (XP) 實踐之一。這也是一種實時代碼審...

卓建全(Cho,Chien-Chuan) ‧ 2022-05-10

0 Like 0 留言 2430 瀏覽

技術成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

CMMI、CMMC、BSIMM 和 SAMM 是評估軟體開發能力的好模型。但是BSIMM 是衡量一個組織在安全性方面相對於其他組織執行情況的最佳方法。成熟度模型...

卓建全(Cho,Chien-Chuan) ‧ 2022-05-05

0 Like 0 留言 2430 瀏覽

技術成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

CMMI、CMMC、BSIMM 和 SAMM 是評估軟體開發能力的好模型。但是BSIMM 是衡量一個組織在安全性方面相對於其他組織執行情況的最佳方法。成熟度模型...

卓建全(Cho,Chien-Chuan) ‧ 2022-05-05

1 Like 0 留言 476 瀏覽

技術 “通過裸機管理程序隔離容器” 不是支持容器化的主要構造

-虛擬機和 Docker 容器（來源：Diego Terrana）容器化是一種應用程序級的虛擬化技術，它共享相同的操作系統內核，而不是由管理程序管理的基於虛擬機...

卓建全(Cho,Chien-Chuan) ‧ 2022-04-29

1 Like 0 留言 1134 瀏覽

技術使用 KubeEye 為你的 K8s 集群安全保駕護航

使用 KubeEye 為你的 K8s 集群安全保駕護航其他 2022-04-24 18:51:30 閱讀次數: 0 作者：KaliArch（薛磊），某Clo...

免费v2ray节点 ‧ 2022-04-25

0 Like 0 留言 2092 瀏覽

技術 CMMC 2.0 之前世今生

美國國防部在 2020 年1月底公布新規範「網路安全成熟度模型認證Cybersecurity Maturity Model Certification」(簡稱...

kachung ‧ 2022-04-17

0 Like 0 留言 2034 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十一)

(三) 資訊安全風險管理組織架構在執行資訊安全風險管理之前，相關組織、角色及權責應預先設置，相關授權需要明確區分，在設置相關組織時需考量下列事項：• 發展出適合...

kachung ‧ 2022-04-15

0 Like 0 留言 729 瀏覽

技術網路功能虛擬化(NFV)、軟體定義網路(SDN)、軟體定義邊界 (SDP) 和零信任(Zero Trust)

網路功能虛擬化 (NFV) 通常使用專有服務器來運行網路服務以提高性能。根據Wikipedia的說法，“NFV 部署通常使用商品服務器來運行以前基於硬體的網路服...

卓建全(Cho,Chien-Chuan) ‧ 2022-04-11

0 Like 0 留言 636 瀏覽

技術組織專案支持過程（Organizational project-enabling processes）

-NIST SP800-160 V1 和 ISO 15288工程是一種方法，它涉及一系列應用知識和技能的過程來理解和管理利益相關者的需求，提出和實施解決...

卓建全(Cho,Chien-Chuan) ‧ 2022-04-08

1 Like 0 留言 1226 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十)

衝擊準則：為了充分了解所識別風險，組織應清楚地了解每個風險事件中明顯的後果，這對於衡量這些風險事件、為風險評估其後果和可能性提供資訊至關重要，此過程還將有助...

kachung ‧ 2022-04-07

0 Like 0 留言 842 瀏覽

技術 XACML 是支持基於屬性的訪問控制 (ABAC) 實現的理想候選者

XACML 是支持基於屬性的訪問控制 (ABAC) 實現的理想候選者。XACML 的策略決策點 (PDP) 通常根據主體、客體和環境的屬性做出授權決策。在可信計...

卓建全(Cho,Chien-Chuan) ‧ 2022-04-06

0 Like 0 留言 1558 瀏覽

技術曝露係數(Exposure factor)

-簡單的定量風險分析曝露係數 (EF)曝露係數 (EF) 是在實現特定威脅時對特定資產的主觀、潛在損失百分比。暴露因子是評估風險的人必須定義的主觀值。（維基百科...

卓建全(Cho,Chien-Chuan) ‧ 2022-03-30

1 Like 0 留言 2775 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(十九)

二、 ISO 27005 架構ISO 27005資訊安全風險管理架構如下圖：先說明建立全景的步驟：在這個階段我們利用第四章所分析的資訊，建立基本準則、範圍範...

kachung ‧ 2022-03-29

0 Like 0 留言 2465 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(十八)

第二個要考量的風險是針對資訊安全管理系統範圍內的機密性、完整性及可用性損害的風險，在此我想要開始用完整的風險管理來敘述後面條文的做法。ISO 27005是根據I...

kachung ‧ 2022-03-25

0 Like 0 留言 689 瀏覽

技術權威認證（Authoritative accreditation）

-NIST SDLC 和 RMF-認證和認可 (C&A)-授權決定認證（Certification）：對資訊系統中的管理、運營和技術安全控制進行全面評估...

卓建全(Cho,Chien-Chuan) ‧ 2022-03-25

0 Like 0 留言 380 瀏覽

技術行政調查（administrative investigation）

-證據大圖行政調查是內部調查。調查（Investigation）調查：調查或研究，檢查與某事有關的事實或材料的系統或正式過程。來源：ISO/IEC 27035...

卓建全(Cho,Chien-Chuan) ‧ 2022-03-23

0 Like 0 留言 2465 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(十七)

柒、第六章風險管理這個章節是ISO標準設置來取代以前「預防措施」的概念，在條文中首先強調的是風險與機會的對應，在資訊安全管理系統中很難想像所謂的風險與機會，...

kachung ‧ 2022-03-22

0 Like 0 留言 1364 瀏覽

技術調查、證據和取證（Investigation, Evidence, and Forensics）

調查（Investigation）調查：調查或研究，檢查與某事有關的事實或材料的系統或正式過程。來源：ISO/IEC 27035-3:2020 信息技術 — 信...

卓建全(Cho,Chien-Chuan) ‧ 2022-03-21

0 Like 0 留言 1822 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(十六)

前述人員並非是資訊安全方面的角色與職掌完整列表，而是可以考慮及參考的基本角色，組織可以根據其資源和要求自定義資訊安全組織架構及人員。各類型角色應賦予不同責任與權...

kachung ‧ 2022-03-19

0 Like 0 留言 3065 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(十五)

(三) 第5.3條組織角色、責任與職權，高階管理者應該指派有關ISMS之角色、分配相關責任與職權，這些角色將會執行ISMS的相關活動如下：• 整合建立、維護、管...

kachung ‧ 2022-03-12

0 Like 0 留言 521 瀏覽

技術變更管理(Change management )

-不同程度的變化（來源：plutora）變更管理至關重要，但也有開銷。一些例行變更可能會被預先批准，以減少變更管理的開銷。一些緊急情況的變更可以先實施，變更後完...

卓建全(Cho,Chien-Chuan) ‧ 2022-03-10

0 Like 0 留言 594 瀏覽

技術 “使用屬於公共領域的專利算法（Use of a patented algorithm that belongs to the public domain）“是最不受許可要求的約束

公共領域(Public Domain)公共領域包括所有不適用專有知識產權的創造性作品。這些權利可能已過期、被沒收、明確放棄或可能不適用。資料來源：維基百科使用屬...

卓建全(Cho,Chien-Chuan) ‧ 2022-03-07

0 Like 0 留言 1461 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(十四)

二、資訊安全政策高階管理者必須訂定資訊安全政策，這個政策應與組織高階策略一致，可以從第四章全景分析資料中得到基礎資訊，再利用這些資訊去完善相關資訊安全政策，例...

kachung ‧ 2022-03-07

0 Like 0 留言 3147 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】( 十三)

陸、第五章領導統御成功的ISMS是由上而下實行的，透過考慮利害關係者的要求及採取有效控制措施將營運業務流程的風險降低到可接受的水平，從而在營運目標與資訊安全...

kachung ‧ 2022-03-04

技術 ISO 27001 資訊安全管理系統 【解析】(二十六)

技術 ISO 27001 資訊安全管理系統 【解析】(二十五)

技術 ISO 27001 資訊安全管理系統 【解析】(二十四)

技術 誤用案例測試（Misuse case testing）最不可能包含在軟體整合測試（integration test）中

技術 ISO 27001 資訊安全管理系統 【解析】(二十三)

技術 ISO 27001 資訊安全管理系統 【解析】(二十二)

技術 死結(Deadlock)是開發人員進行結對編程(pair programming)時，是最難發現的問題。

技術 成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

技術 成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

技術 “通過裸機管理程序隔離容器” 不是支持容器化的主要構造

技術 使用 KubeEye 為你的 K8s 集群安全保駕護航

技術 CMMC 2.0 之前世今生

技術 ISO 27001 資訊安全管理系統 【解析】(二十一)

技術 網路功能虛擬化(NFV)、軟體定義網路(SDN)、軟體定義邊界 (SDP) 和零信任(Zero Trust)

技術 組織專案支持過程（Organizational project-enabling processes）

技術 ISO 27001 資訊安全管理系統 【解析】(二十)

技術 XACML 是支持基於屬性的訪問控制 (ABAC) 實現的理想候選者

技術 曝露係數(Exposure factor)

技術 ISO 27001 資訊安全管理系統 【解析】(十九)

技術 ISO 27001 資訊安全管理系統 【解析】(十八)

技術 權威認證（Authoritative accreditation）

技術 行政調查（administrative investigation）

技術 ISO 27001 資訊安全管理系統 【解析】(十七)

技術 調查、證據和取證（Investigation, Evidence, and Forensics）

技術 ISO 27001 資訊安全管理系統 【解析】(十六)

技術 ISO 27001 資訊安全管理系統 【解析】(十五)

技術 變更管理(Change management )

技術 “使用屬於公共領域的專利算法（Use of a patented algorithm that belongs to the public domain）“是最不受許可要求的約束

技術 ISO 27001 資訊安全管理系統 【解析】(十四)

技術 ISO 27001 資訊安全管理系統 【解析】( 十三)

標記使用者

技術 ISO 27001 資訊安全管理系統【解析】(二十六)

技術 ISO 27001 資訊安全管理系統【解析】(二十五)

技術 ISO 27001 資訊安全管理系統【解析】(二十四)

技術誤用案例測試（Misuse case testing）最不可能包含在軟體整合測試（integration test）中

技術 ISO 27001 資訊安全管理系統【解析】(二十三)

技術 ISO 27001 資訊安全管理系統【解析】(二十二)

技術死結(Deadlock)是開發人員進行結對編程(pair programming)時，是最難發現的問題。

技術成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

技術成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

技術使用 KubeEye 為你的 K8s 集群安全保駕護航

技術 ISO 27001 資訊安全管理系統【解析】(二十一)

技術網路功能虛擬化(NFV)、軟體定義網路(SDN)、軟體定義邊界 (SDP) 和零信任(Zero Trust)

技術組織專案支持過程（Organizational project-enabling processes）

技術 ISO 27001 資訊安全管理系統【解析】(二十)

技術曝露係數(Exposure factor)

技術 ISO 27001 資訊安全管理系統【解析】(十九)

技術 ISO 27001 資訊安全管理系統【解析】(十八)

技術權威認證（Authoritative accreditation）

技術行政調查（administrative investigation）

技術 ISO 27001 資訊安全管理系統【解析】(十七)

技術調查、證據和取證（Investigation, Evidence, and Forensics）

技術 ISO 27001 資訊安全管理系統【解析】(十六)

技術 ISO 27001 資訊安全管理系統【解析】(十五)

技術變更管理(Change management )

技術 ISO 27001 資訊安全管理系統【解析】(十四)

技術 ISO 27001 資訊安全管理系統【解析】( 十三)