iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

1 Like 0 留言 2170 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(三十九)

玖、第九章績效評估資訊安全管理系統經過規劃建置、執行後必須評估做得夠不夠、有沒有需要改進的地方，第九章就是用來檢討前面的執行措施。一、 9.1 監督、量測、...

kachung ‧ 2022-12-05

0 Like 0 留言 972 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(三十八)

二、條文8.2 資訊安全風險評鑑第六章所述述的風險評估方法和技術必須應用於組織ISMS範圍內的所有流程、資產、資訊和活動，由於風險不是一成不變的，因此必須以適...

kachung ‧ 2022-11-19

0 Like 0 留言 622 瀏覽

技術主體的安全許可 (security clearance) 與自主訪問模型 (DAC) 的相關性最小

此文章來至Wentzwu網站QOTD 20211107，文章如下：-安全核心在自主訪問模型 (DAC) 中，數據所有者負責保護委託數據、對其進行分類，並根據需要...

卓建全(Cho,Chien-Chuan) ‧ 2022-11-08

0 Like 0 留言 885 瀏覽

技術資產分類

此文章來至Wentzwu網站QOTD 20111106，文章如下：-CIA 和 DAD（圖片來源：Thor Pedersen）資產分類通常根據商業價值確定資產的...

卓建全(Cho,Chien-Chuan) ‧ 2022-10-27

0 Like 0 留言 853 瀏覽

技術商業案例(Business Case)

此文章來至Wentzwu網站QOTD 20111105，文章如下：-資訊交換管理階段（來源：NIST SP 800-47 REV. 1）“ 商業案例記錄了啟動...

卓建全(Cho,Chien-Chuan) ‧ 2022-10-24

0 Like 1 留言 1412 瀏覽

技術由國際認可論壇 (IAF) 成員或認可機構 (AB) 認可的認證機構 (CB) 根據公共安全標准進行安全評估並提供最高級別的保證

-鑑證、鑑證和審計（Assurance, Attestation, and Audit）組織內的審計職能和大客戶或一流客戶可能會根據專有或公共標准進行審計，並向...

卓建全(Cho,Chien-Chuan) ‧ 2022-10-17

0 Like 0 留言 644 瀏覽

技術 Kerberos-客戶端將使用者 ID 的明文消息發送到代表用戶請求服務的 AS（身份驗證服務器）

-Kerberos 操作（來源：Fulvio Ricciardi）第一個 Kerberos 消息是 AS_REQ，如上圖所示。根據維基百科，“客戶端將用戶 ID...

卓建全(Cho,Chien-Chuan) ‧ 2022-10-13

0 Like 0 留言 590 瀏覽

技術不同代的編程語言具有不同的功能，使用 C 的基於客戶端的應用程序最容易受到緩衝區溢出(buffer overflow)攻擊

-軟體運行環境與 JavaScript、C# 和 Java 不同，C 語言提供編程結構來直接控制硬體並調用操作系統提供的服務。例如，“指針（pointer）”...

卓建全(Cho,Chien-Chuan) ‧ 2022-10-11

0 Like 0 留言 783 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(三十七)

(二) 委外管理委外大約是1980年代開始的，當時的組織為了節省成本、專注於本身核心業務、有效利用其他便宜的勞動成本、資源、技術等各種原因，會將本身的業務或作業...

kachung ‧ 2022-10-01

0 Like 0 留言 1002 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(三十六)

一、條文8.1 變更管理及委外管理(一) 變更管理下圖是一個典型變更管理的流程：變更管理的重要性不可言喻，幾次比較重大的資訊安全事件，肇因都是變更管理不善。...

kachung ‧ 2022-09-22

2 Like 0 留言 1085 瀏覽

技術後量子密碼學筆記 - 何謂Post-Quantum Cryptography? 以及為甚麼需要它?

何謂Post-Quantum Cryptography? 後量子密碼學(Post-quantum Cryptography, PQC)，屬於密碼學的研究領域之一...

jerrychen0117 ‧ 2024-06-05

1 Like 0 留言 1482 瀏覽

鐵人賽 Security DAY 1

合規合規，合什麼規？系列第 1 篇

技術 [Day 1] 自我介紹＆文章規劃

前言從上大學前就知道鐵人賽，也看了好幾年大家在鐵人賽的文章，於是想說在大學畢業前參賽一下，算是一種成就（？）由於目前還是學生，對於許多知識的瞭解仍然相當粗淺，...

裸男 ‧ 2022-09-16 ‧團隊那團名要叫什麼？

1 Like 0 留言 906 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(三十五)

捌、第八章執行這個章節是要按照第六章計畫的處理措施去執行，執行時仍應配合前面所有的條文，可以考量下列事項：• 第六章所決定之風險處理措施可以結合組織日常或通...

kachung ‧ 2022-09-11

0 Like 0 留言 2595 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(三十四)

五、文件化資訊ISO 27001標準內要求必須文件化的資訊如下：• 資訊管理系統的範圍(4.3)• 資訊安全政策(5.2e)• 風險評估程序(6.1.2)•...

kachung ‧ 2022-09-03

1 Like 0 留言 1241 瀏覽

技術專案管理的資訊安全-以ISO27001及TISAX的要求為例

因為資安事件頻傳，企業對於資訊安全這幾年也越來越重視，更甚而從產業的龍頭大廠要求供應鏈的廠商必須確保企業的資安管理能力，所以ISO27001的資訊安全管理成為管...

allanlo ‧ 2024-01-24

0 Like 0 留言 1687 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(三十三)

四、溝通這段條文是大多數組織做得最不好的一段，普遍的想法是只要有溝通就好，卻忽略了溝通的項目及管道。如同第四章背景分析還有第六章風險分析，都需要溝通才能獲得正...

kachung ‧ 2022-08-28

0 Like 0 留言 1328 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(三十二)

三、認知前面有說過資訊安全的基本要素其中之一是人員，人員是最重要也是最難管理的，綜觀所有資訊安全事件，大部分都與人有關。資訊安全不是架設一個防火牆或是安裝防毒...

kachung ‧ 2022-08-24

0 Like 0 留言 1398 瀏覽

技術對CISSP 的一些思考

-Cynefin 框架簡單、輕鬆、直接(Simple, Easy, and Straightforward)**“簡單”是事物的客觀屬性。“容易”是一個人對事...

卓建全(Cho,Chien-Chuan) ‧ 2022-08-15

3 Like 1 留言 1854 瀏覽

技術 2022鐵人賽-誰說資安寫不了情書-實體化

2024年「雨水」剛過的幾天，走進了台北的天瓏門市看到放在天瓏第一排的「誰說資安寫不了情書」沒想到從一開始到此刻，25年就這樣過去了。人生意外到，竟然...

SunAllen ‧ 2024-02-20

0 Like 0 留言 1095 瀏覽

技術軟體定義網路 (Software-Defined Network:SDN) 架構

-SDN 架構（來源：Dargahi、Tooska 等人）網路功能虛擬化 (NFV) 是一個補充 SDN 的概念。它涉及在商用現貨 (COTS) 硬件平台上虛...

卓建全(Cho,Chien-Chuan) ‧ 2022-08-04

0 Like 0 留言 1082 瀏覽

技術資料科學

DIKW Hierarchy (Credit: Drill)何謂資料？資料(data)是事實(facts)的記錄；主要以客體(object)方式存在，沒有相對的...

卓建全(Cho,Chien-Chuan) ‧ 2022-07-27

0 Like 0 留言 1140 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(三十一)

第七章支援本章節所敘述的內容都是支持一個資訊管理系統運作的事項，在第五章我們獲得高階領導者的支持，建立資訊安全相關的組織，現在我們需要將管理系統實際運作起來，...

kachung ‧ 2022-08-06

0 Like 0 留言 1753 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(三十)

九、資訊安全目標條文5.2是訂定資訊安全政策，要求組織在政策中必須包含資訊安全目標或訂定目標的框架，條文6.2則詳細敘述目標的架構及要求，不論原先在政策中如何...

kachung ‧ 2022-07-24

0 Like 0 留言 974 瀏覽

技術評估安全控制以實施無線安全，減少近端串擾 (NEXT) 效果最差效果最差。

-Next End Crosstalk（NEXT）【來源：網絡百科】串擾(Crosstalk)在電子學中，串擾是在傳輸系統的一個電路或通道上傳輸的信號在另一個電...

卓建全(Cho,Chien-Chuan) ‧ 2022-07-20

0 Like 0 留言 765 瀏覽

技術作為安全專業人員，您有責任保護資訊資產。加強資訊安全應首先執行分配資產所有者。

-NIST SDLC 和 RMF執行的典型步驟如下：盤點資訊資產分配資產所有者資產所有者根據業務價值對資產進行分類。評估資產風險根據安全控制框架（如...

卓建全(Cho,Chien-Chuan) ‧ 2022-07-18

1 Like 0 留言 1352 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(二十九)

五、風險接受將風險處置計畫和殘餘風險的評估提交給組織的管理者以進行接受風險的決策，組織需正式記錄風險接受決策的發布和相關的決策責任，對於未能滿足正常風險接受準...

kachung ‧ 2022-07-11

0 Like 0 留言 792 瀏覽

技術分層(Layering)可以更好地理解這些單元之間的關係，從而使依賴關係清晰，避免不必要的複雜性。

-安全設計原則分類模組化和分層的原則是跨系統工程學科的基礎。源自功能分解(functional decomposition)的模組化和分層通過使理解系統的結構成...

卓建全(Cho,Chien-Chuan) ‧ 2022-07-07

0 Like 0 留言 1038 瀏覽

技術軟體開發工具包 (Software development kit ：SDK)是開發一個分佈式軟體系統時，最不可能是構成系統元素。

軟體開發工具包 (SDK) 是一個可安裝包中的軟體開發工具集合。它們通過編譯器、調試器和軟體框架來促進應用程序的創建。它們通常特定於硬體平台和操作系統組合。創建...

卓建全(Cho,Chien-Chuan) ‧ 2022-07-01

2 Like 0 留言 2806 瀏覽

技術 WAF 網站防火牆一定要裝嗎? 免費與付費 WAF 比較、常見的網路攻擊

WAF 是什麼? WAF (Web Application Firewall)，即是「網站應用程式防火牆」，WAF 透過攔截和監控網站流量同時阻止駭客攻擊和惡意...

yumili ‧ 2022-06-21

0 Like 0 留言 683 瀏覽

技術資料治理（Data Governance）

資料治理計劃通過分配一個負責資料準確性、完整性、一致性、及時性、有效性和唯一性的團隊來提高資料質量。雖然資料治理計劃可以由提高資料質量的願望推動，但它們更多地是...

卓建全(Cho,Chien-Chuan) ‧ 2022-06-19

技術 ISO 27001 資訊安全管理系統 【解析】(三十九)

技術 ISO 27001 資訊安全管理系統 【解析】(三十八)

技術 主體的安全許可 (security clearance) 與自主訪問模型 (DAC) 的相關性最小

技術 資產分類

技術 商業案例(Business Case)

技術 由國際認可論壇 (IAF) 成員或認可機構 (AB) 認可的認證機構 (CB) 根據公共安全標准進行安全評估並提供最高級別的保證

技術 Kerberos-客戶端將使用者 ID 的明文消息發送到代表用戶請求服務的 AS（身份驗證服務器）

技術 不同代的編程語言具有不同的功能，使用 C 的基於客戶端的應用程序最容易受到緩衝區溢出(buffer overflow)攻擊

技術 ISO 27001 資訊安全管理系統 【解析】(三十七)

技術 ISO 27001 資訊安全管理系統 【解析】(三十六)

技術 後量子密碼學筆記 - 何謂Post-Quantum Cryptography? 以及為甚麼需要它?

技術 [Day 1] 自我介紹＆文章規劃

技術 ISO 27001 資訊安全管理系統 【解析】(三十五)

技術 ISO 27001 資訊安全管理系統 【解析】(三十四)

技術 專案管理的資訊安全-以ISO27001及TISAX的要求為例

技術 ISO 27001 資訊安全管理系統 【解析】(三十三)

技術 ISO 27001 資訊安全管理系統 【解析】(三十二)

技術 對CISSP 的一些思考