-虛擬機和 Docker 容器(來源:Diego Terrana)容器化是一種應用程序級的虛擬化技術,它共享相同的操作系統內核,而不是由管理程序管理的基於虛擬機...
使用 KubeEye 為你的 K8s 集群安全保駕護航 其他 2022-04-24 18:51:30 閱讀次數: 0 作者:KaliArch(薛磊),某Clo...
美國國防部在 2020 年1月底公布新規範 「網路安全成熟度模型認證Cybersecurity Maturity Model Certification」(簡稱...
(三) 資訊安全風險管理組織架構在執行資訊安全風險管理之前,相關組織、角色及權責應預先設置,相關授權需要明確區分,在設置相關組織時需考量下列事項:• 發展出適合...
網路功能虛擬化 (NFV) 通常使用專有服務器來運行網路服務以提高性能。根據Wikipedia的說法,“NFV 部署通常使用商品服務器來運行以前基於硬體的網路服...
-NIST SP800-160 V1 和 ISO 15288工程 是一種方法,它涉及一系列應用知識和技能的過程來理解和管理利益相關者的 需求,提出和實施 解決...
衝擊準則:為了充分了解所識別風險,組織應清楚地了解每個風險事件中明顯的後果,這對於衡量這些風險事件、為風險評估其後果和可能性提供資訊至關重要,此過程還將有助...
XACML 是支持基於屬性的訪問控制 (ABAC) 實現的理想候選者。XACML 的策略決策點 (PDP) 通常根據主體、客體和環境的屬性做出授權決策。在可信計...
-簡單的定量風險分析曝露係數 (EF)曝露係數 (EF) 是在實現特定威脅時對特定資產的主觀、潛在損失百分比。暴露因子是評估風險的人必須定義的主觀值。(維基百科...
二、 ISO 27005 架構ISO 27005資訊安全風險管理架構如下圖: 先說明建立全景的步驟: 在這個階段我們利用第四章所分析的資訊,建立基本準則、範圍範...
第二個要考量的風險是針對資訊安全管理系統範圍內的機密性、完整性及可用性損害的風險,在此我想要開始用完整的風險管理來敘述後面條文的做法。ISO 27005是根據I...
-NIST SDLC 和 RMF-認證和認可 (C&A)-授權決定認證(Certification):對資訊系統中的管理、運營和技術安全控制進行全面評估...
-證據大圖行政調查是內部調查。 調查(Investigation)調查:調查或研究,檢查與某事有關的事實或材料的系統或正式過程。來源:ISO/IEC 27035...
柒、 第六章 風險管理這個章節是ISO標準設置來取代以前「預防措施」的概念,在條文中首先強調的是風險與機會的對應,在資訊安全管理系統中很難想像所謂的風險與機會,...
調查(Investigation)調查:調查或研究,檢查與某事有關的事實或材料的系統或正式過程。來源:ISO/IEC 27035-3:2020 信息技術 — 信...
前述人員並非是資訊安全方面的角色與職掌完整列表,而是可以考慮及參考的基本角色,組織可以根據其資源和要求自定義資訊安全組織架構及人員。各類型角色應賦予不同責任與權...
(三) 第5.3條組織角色、責任與職權,高階管理者應該指派有關ISMS之角色、分配相關責任與職權,這些角色將會執行ISMS的相關活動如下:• 整合建立、維護、管...
-不同程度的變化(來源:plutora)變更管理至關重要,但也有開銷。一些例行變更可能會被預先批准,以減少變更管理的開銷。一些緊急情況的變更可以先實施,變更後完...
公共領域(Public Domain)公共領域包括所有不適用專有知識產權的創造性作品。這些權利可能已過期、被沒收、明確放棄或可能不適用。資料來源:維基百科使用屬...
二、 資訊安全政策高階管理者必須訂定資訊安全政策,這個政策應與組織高階策略一致,可以從第四章全景分析資料中得到基礎資訊,再利用這些資訊去完善相關資訊安全政策,例...
陸、 第五章 領導統御成功的ISMS是由上而下實行的,透過考慮利害關係者的要求及採取有效控制措施將營運業務流程的風險降低到可接受的水平,從而在營運目標與資訊安全...
資通安全責任等級依照資通安全責任等級分級辦法,由主管機關核定相對應之等級,按照等級決定導入系統之驗證範圍,例如:A級機關初次受核定或等級變更後之二年內,全部核...
-示例 XACML 實現XACML主要用於授權而不是身份驗證。可以實施 PKI 以支持相互身份驗證。802.1X,又名 EAP over LAN,是一種基於 E...
PKI 證書編碼(PKI Certificate Encoding)X.509 標準中未定義的一個值得注意的元素是證書內容應如何編碼以存儲在文件中。但是,通常有...
在部署基於容器的應用程序時,我們可以使用容器編排器來配置和管理容器。這意味著變更請求已獲批准和實施,集成和測試已完成,並且已授予操作授權 (ATO)。使用編排器...
(一) 正式範圍定義的目的範圍定義的目的是準確說明組織所做的事情,範圍說明應準確說明組織所做的事情是否符合標準。範圍的定義比較不適切的敘述如後:「XXX公司的資...
六、 訂定資訊安全管理系統適用範圍組織必須確定資訊安全管理系統的邊界和適用性,以確定其範圍。在確定此範圍時,組織應考慮4.1中提到的外部和內部問題;還必須考慮到...
(五) 員工我們目前擁有多名員工,分別是管理階層、軟體開發、硬體維護、營業部門、客戶管理及財務和管理,他們的要求如下: 公司獲利並提供安全的工作。 公司提供安...
五、 了解利害關係者的需求和期望組織必須確定與資訊安全管理系統相關的利害關係者及其要求,有關利害關係者的要求可能包括法律、監管要求以及合約義務,必須識別對組織的...
三、 建立外部背景外部背景是組織尋求達成目標的外部環境。了解外部背景非常重要,是為了確保在訂定安全風險標準時已考慮外部利害關係者的目標和關切事項。基於組織範圍的...