iT邦幫忙

資訊安全相關文章
共有 1413 則文章
0 Like 0 留言 392 瀏覽

技術 行政調查(administrative investigation)

-證據大圖行政調查是內部調查。 調查(Investigation)調查:調查或研究,檢查與某事有關的事實或材料的系統或正式過程。來源:ISO/IEC 27035...

卓建全(Cho,Chien-Chuan) 2022-03-23
0 Like 0 留言 2528 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(十七)

柒、 第六章 風險管理這個章節是ISO標準設置來取代以前「預防措施」的概念,在條文中首先強調的是風險與機會的對應,在資訊安全管理系統中很難想像所謂的風險與機會,...

kachung 2022-03-22
0 Like 0 留言 1422 瀏覽

技術 調查、證據和取證(Investigation, Evidence, and Forensics)

調查(Investigation)調查:調查或研究,檢查與某事有關的事實或材料的系統或正式過程。來源:ISO/IEC 27035-3:2020 信息技術 — 信...

卓建全(Cho,Chien-Chuan) 2022-03-21
0 Like 0 留言 1864 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(十六)

前述人員並非是資訊安全方面的角色與職掌完整列表,而是可以考慮及參考的基本角色,組織可以根據其資源和要求自定義資訊安全組織架構及人員。各類型角色應賦予不同責任與權...

kachung 2022-03-19
0 Like 0 留言 3127 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(十五)

(三) 第5.3條組織角色、責任與職權,高階管理者應該指派有關ISMS之角色、分配相關責任與職權,這些角色將會執行ISMS的相關活動如下:• 整合建立、維護、管...

kachung 2022-03-12
0 Like 0 留言 525 瀏覽

技術 變更管理(Change management )

-不同程度的變化(來源:plutora)變更管理至關重要,但也有開銷。一些例行變更可能會被預先批准,以減少變更管理的開銷。一些緊急情況的變更可以先實施,變更後完...

卓建全(Cho,Chien-Chuan) 2022-03-10
0 Like 0 留言 606 瀏覽

技術 “使用屬於公共領域的專利算法(Use of a patented algorithm that belongs to the public domain)“是最不受許可要求的約束

公共領域(Public Domain)公共領域包括所有不適用專有知識產權的創造性作品。這些權利可能已過期、被沒收、明確放棄或可能不適用。資料來源:維基百科使用屬...

卓建全(Cho,Chien-Chuan) 2022-03-07
0 Like 0 留言 1493 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(十四)

二、 資訊安全政策高階管理者必須訂定資訊安全政策,這個政策應與組織高階策略一致,可以從第四章全景分析資料中得到基礎資訊,再利用這些資訊去完善相關資訊安全政策,例...

kachung 2022-03-07
0 Like 0 留言 3235 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】( 十三)

陸、 第五章 領導統御成功的ISMS是由上而下實行的,透過考慮利害關係者的要求及採取有效控制措施將營運業務流程的風險降低到可接受的水平,從而在營運目標與資訊安全...

kachung 2022-03-04
1 Like 0 留言 2989 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(十二)

資通安全責任等級依照資通安全責任等級分級辦法,由主管機關核定相對應之等級,按照等級決定導入系統之驗證範圍,例如:A級機關初次受核定或等級變更後之二年內,全部核...

kachung 2022-03-02
0 Like 0 留言 742 瀏覽

技術 XACML 可擴展存取控制標記語言

-示例 XACML 實現XACML主要用於授權而不是身份驗證。可以實施 PKI 以支持相互身份驗證。802.1X,又名 EAP over LAN,是一種基於 E...

卓建全(Cho,Chien-Chuan) 2022-03-01
0 Like 0 留言 1024 瀏覽

技術 X.509 標準中未定義可分辨編碼規則(Distinguished encoding rules)

PKI 證書編碼(PKI Certificate Encoding)X.509 標準中未定義的一個值得注意的元素是證書內容應如何編碼以存儲在文件中。但是,通常有...

卓建全(Cho,Chien-Chuan) 2022-02-24
0 Like 0 留言 1048 瀏覽

技術 配置管理(Configuration management)是編排器(orchestrator )管理容器化(containerized)應用程序的最關鍵推動力

在部署基於容器的應用程序時,我們可以使用容器編排器來配置和管理容器。這意味著變更請求已獲批准和實施,集成和測試已完成,並且已授予操作授權 (ATO)。使用編排器...

卓建全(Cho,Chien-Chuan) 2022-02-21
0 Like 0 留言 1721 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(九)

(一) 正式範圍定義的目的範圍定義的目的是準確說明組織所做的事情,範圍說明應準確說明組織所做的事情是否符合標準。範圍的定義比較不適切的敘述如後:「XXX公司的資...

kachung 2022-02-20
1 Like 0 留言 2757 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(八)

六、 訂定資訊安全管理系統適用範圍組織必須確定資訊安全管理系統的邊界和適用性,以確定其範圍。在確定此範圍時,組織應考慮4.1中提到的外部和內部問題;還必須考慮到...

kachung 2022-02-17
0 Like 0 留言 1218 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(七)

(五) 員工我們目前擁有多名員工,分別是管理階層、軟體開發、硬體維護、營業部門、客戶管理及財務和管理,他們的要求如下: 公司獲利並提供安全的工作。 公司提供安...

kachung 2022-02-16
0 Like 0 留言 3524 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(六)

五、 了解利害關係者的需求和期望組織必須確定與資訊安全管理系統相關的利害關係者及其要求,有關利害關係者的要求可能包括法律、監管要求以及合約義務,必須識別對組織的...

kachung 2022-02-14
1 Like 0 留言 3665 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(五)

三、 建立外部背景外部背景是組織尋求達成目標的外部環境。了解外部背景非常重要,是為了確保在訂定安全風險標準時已考慮外部利害關係者的目標和關切事項。基於組織範圍的...

kachung 2022-02-13
1 Like 0 留言 4570 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(四)

伍、 第四章 全景分析現在開始針對ISO 27001標準本文的章節來進行探討,第一到三章是一般性標準的敘述,就不多加探討;從第四章開始,這個章節是所有導入組織最...

kachung 2022-02-12
1 Like 0 留言 1361 瀏覽

技術 最有效的防止 SQL 注入攻擊的技術控制-參數化 SQL 查詢

-層與層(Layer vs Tier)前端輸入驗證和受限用戶界面是針對錶示層中的 SQL 注入的對策,這通常發生在客戶端。但是,攻擊者可能不會從表示層發起 SQ...

卓建全(Cho,Chien-Chuan) 2022-02-11
0 Like 0 留言 2091 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(三)

參、 管理系統概述品質管理系統應該是所有管理系統的基礎,ISO/TC 176在制訂品質管理系統的標準時,訂定了七大原則(改版前稱為八大定理),這七大原則可以應用...

kachung 2022-02-11
2 Like 0 留言 3743 瀏覽

技術 ISO 27001 資訊安全管理系統 【解析】(二)

三、 威脅是屬於一種外部事件或狀態,對於基本要素會產生破壞,在此節僅針對其特性做一些基本敘述,於後面風險分析的章節會有更詳細的說明。威脅會隨著時間、技術及社會造...

kachung 2022-02-08
0 Like 0 留言 1104 瀏覽

技術 因邊界網關協議 ( BGP) 路由配置錯誤導致 DNS 故障而遭受服務中斷,防止此事件的最佳對策-對配置更改實施兩人控制

-一般問題解決過程如果配置由其他工程師仔細檢查,則對配置更改強制執行兩人控制可能會避免該事件。這是一種預防控制。社交媒體服務依賴於 DNS,這需要 BGP 支持...

卓建全(Cho,Chien-Chuan) 2022-01-27
14 Like 0 留言 6487 瀏覽

達標好文 技術 ISO 27001 資訊安全管理系統 【解析】(一)

本篇解析斷斷續續寫了將近一年的時間,一直沒有下定決心到底要寫成甚麼樣子,在一些外在因素影響下,終於努力地將它完整寫完,其中內容引用了很多的法規、條文及參考資料,...

kachung 2022-02-07
0 Like 0 留言 1271 瀏覽

技術 根據 NIST SP 800-204通訊 (Communication) 是對基於微服務的應用程序是最為獨有的

以下是 NIST SP 800-204 的摘錄:典型的基於微服務的應用程序的部署堆棧中存在六層,如硬體、虛擬化、雲、通信、服務/應用程序和編排。本文件將這些層視...

卓建全(Cho,Chien-Chuan) 2022-01-10
0 Like 0 留言 1867 瀏覽

技術 SPML用於將跨資訊系統之創建和管理實體和屬性的過程自動化

在一個電信行業的技術詞彙,它是指為了向用戶提供(新)服務的準備和安裝一個網絡的處理過程。它也包括改變一個已存在的優先服務或功能的狀態。「服務開通」常常出現在有關...

卓建全(Cho,Chien-Chuan) 2022-01-05
0 Like 0 留言 1356 瀏覽

技術 資料控制者(data controller)

-資料和系統所有者將“資料所有者“(data owner)和“資料控制者”(data controller)一視同仁的情況並不少見。然而,事實並非如此。資料控制...

卓建全(Cho,Chien-Chuan) 2022-01-04
1 Like 0 留言 1131 瀏覽

技術 無服務器計算(Serverless computing)支持微服務架構並具有最低管理開銷來部署企業級應用程序的雲服務模型

-使用 AWS 構建無服務器後端微服務通常託管在部署在本地或 PaaS 上的容器中;它們也可以在無服務器後端實現,即功能即服務 (FaaS),與 PaaS 相比...

卓建全(Cho,Chien-Chuan) 2021-12-29
0 Like 0 留言 1386 瀏覽

技術 中央處理單元 (CPU) 的立即尋址(Immediate addressing)模式中,指令本身指定了的運算元

-計算機架構CPU 指令將值加載到寄存器中進行計算是很常見的。CPU 的尋址模式意味著 CPU 如何定位感興趣的值。值可以在指令中立即給出(立即尋址)、從寄存器...

卓建全(Cho,Chien-Chuan) 2021-12-27
0 Like 0 留言 740 瀏覽

技術 使用 802.1X 實施網路存取控制中,讓請求者(supplicant)向身份驗證者(authenticator)進行身份驗證且具有最少的系統管理負擔(overhead)的是PEAP協議

-VPN 和 EAP-EAP 協議比較 803.802.1X 使用基於 EAP 的身份驗證協議讓請求者向身份驗證器進行身份驗證,而 RAIDUS 是身份驗證器(...

卓建全(Cho,Chien-Chuan) 2021-12-21
iThome鐵人賽
參賽組數
902
團體組數
37
累計文章數
19838
完賽人數
529
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 17th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# linux windows server css react
熱門問題
熱門回答
熱門文章
IT邦幫忙