iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

1 Like 0 留言 1916 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(十二)

資通安全責任等級依照資通安全責任等級分級辦法，由主管機關核定相對應之等級，按照等級決定導入系統之驗證範圍，例如：A級機關初次受核定或等級變更後之二年內，全部核...

kachung ‧ 2022-03-02

0 Like 0 留言 1902 瀏覽

技術雲端部署模型（Cloud deployment model）

部署模型包括私有云，社區雲，公共雲和混合雲。IaaS，PaaS和SaaS是雲計算的服務模型。 NIST SP 800-145以下是NIST SP 800-145...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-08

2 Like 0 留言 1898 瀏覽

技術敏捷方法或框架-極限編程（XP）提供了最多的程式開發實務

敏捷是一種心態，秉承《敏捷軟件開發和實踐宣言》中所述的四個價值觀和十二個原則。敏捷是一個籠統的術語。滿足敏捷價值觀和原則的任何方法或實踐都可以稱為敏捷方法。....

卓建全(Cho,Chien-Chuan) ‧ 2021-01-06

1 Like 0 留言 1898 瀏覽

技術特權蠕變（Privilege Creep）＆自由訪問控制（DAC）

範圍蠕變和特權蠕變在項目管理中，範圍爬行意味著“未經授權且不受控制地增加了項目範圍。” （ISO / TR 21506：2018）在安全性方面，特權爬取意味著未...

卓建全(Cho,Chien-Chuan) ‧ 2020-11-13

1 Like 0 留言 1895 瀏覽

鐵人賽 Security DAY 26

為了明日的重開機系列第 26 篇

技術為了明日的重開機-25(Physical Security)

什麼中立觀察員，分明就是領薪水不做事的角色，難怪可以不用做事，每天補我刀，天樂真的是太過份了，有這種工作，竟然不透露一下，我應該可以比她更中立吧。「我們還是去...

SunAllen ‧ 2018-01-13

0 Like 0 留言 1891 瀏覽

技術數位簽章(digital signature)

-數位簽章使用您的私鑰加密代碼的指紋或對代碼進行散列並使用您的私鑰加密結果是生成數字簽名的改寫。. 使用 SHA 生成合約的消息驗證碼，確保數據來源的真實性...

卓建全(Cho,Chien-Chuan) ‧ 2021-12-17

1 Like 0 留言 1888 瀏覽

技術什麼是零信任(What is Zero Trust)？

零信任是一種網絡安全範式，用於支持可見性的細粒度，動態和以數據為中心的訪問控制。（訪問控制基於需要了解和最小特權的原則，通過身份驗證，授權和計費來中介資源的使用...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-26

0 Like 0 留言 1888 瀏覽

技術 OpenID Connect

OAuth 2.0 指定了存取資源的存取令牌，但它沒有提供提供身份信息（ID Token）的標準方法，這就是 OpenID Connect（ODIC）出現的原因...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-14

0 Like 0 留言 1863 瀏覽

技術危害指標（Indicators of Compromise:IoC）

這個問題是根據痛苦金字塔設計的。它不是一個行業標準，但它提供了一個很好的基礎，以評估在威脅源中提供的妥協指標（IOC）。並非所有妥協指標（IOC）都是平等的...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-03

0 Like 0 留言 1856 瀏覽

技術戰略管理(strategic management)

我在這篇文章中介紹戰略管理。我的書《有效的CISSP：安全和風險管理》中有詳細信息。政策(Policy)代表管理意圖。一旦制定或製定了戰略，就會發布策略來指導...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-21

0 Like 1 留言 1838 瀏覽

鐵人賽 Security DAY 23

為了明日的重開機系列第 23 篇

技術為了明日的重開機-22(Infrastructure support systems)

做人，就是要積極一點，積極才能心想事成啊! 小路說什麼要主管簽名，才能進去? 我才剛到有錢銀行樓下，距離大門不遠處，就看見那大媽Asuka走進去，難道她晚上加班...

SunAllen ‧ 2018-01-10

0 Like 0 留言 1831 瀏覽

技術人生還有更重要的事! 善選CISSP應考策略!

Express: 三個月內短衝型. 適合有一定的工作經驗, 能專注在一個目標, 每天下班後可穩定且專注讀書, 每週累計達20小時的人. Standard...

吳文智 (Wentz Wu) ‧ 2021-02-19

1 Like 0 留言 1822 瀏覽

鐵人賽 Security DAY 18

小資工程師維持資安證照之路系列第 18 篇

技術 [Day 18]吞服資安大補丸變身吧！Cybrary平台

昨天介紹的Pluralsight平台雖然好，但畢竟是付費平台，除非在試用期間拼命看完影片消化，否則只能等定期的email宣傳幾堂免費課程，其他一些例如隨堂測驗、...

CyberSerge ‧ 2020-10-03 ‧團隊哆啦與哆啦好朋友

0 Like 0 留言 1818 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】( 十三)

陸、第五章領導統御成功的ISMS是由上而下實行的，透過考慮利害關係者的要求及採取有效控制措施將營運業務流程的風險降低到可接受的水平，從而在營運目標與資訊安全...

kachung ‧ 2022-03-04

0 Like 0 留言 1815 瀏覽

技術容器化的安全原則(the security principles of containerization)

-容器技術架構容器映像是由開發人員創建和註冊的包，其中包含在容器中運行所需的所有文件，通常按層組織。映像通常包括層，例如最小操作系統核心（又名基礎層）、應用程序...

卓建全(Cho,Chien-Chuan) ‧ 2021-06-25

1 Like 0 留言 1805 瀏覽

技術滲透測試-枚舉（Enumeration）

-滲透側試方法設計該問題的目的是指出存在多種滲透測試方法，滲透測試人員可能會不一致地使用這些術語或行話。但是，以下術語通常被接受：. 指紋識別(Fingerp...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-02

1 Like 0 留言 1802 瀏覽

技術 NIST通用風險模型(The NIST Generic Risk Model)

-具有關鍵風險因素的通用風險模型（NIST SP 800-30 R1）關鍵風險因素(Key Risk Factors)風險(Risk)風險是威脅事件發生的可能...

卓建全(Cho,Chien-Chuan) ‧ 2021-04-04

4 Like 1 留言 1802 瀏覽

鐵人賽 Security DAY 1

推動資安從0起步邁向70分，不用花大錢也能有聲有色保平安。系列第 1 篇

技術做資安往哪走: 企業實況場景閒聊

「王處長，我們的資安做的怎麼樣?」面對老總的詢問，王處長一臉疑惑但仍故作鎮定:「報告總經理，我們的系統到目前沒有被駭客攻陷過，電腦都有防毒軟體，也有架設防火牆」...

隔壁的老王 ‧ 2020-09-16 ‧團隊全端開發人員天梯

1 Like 0 留言 1800 瀏覽

技術變更管理和變更控制（Change Management and Change Control）

什麼是變化，我們在變化什麼？當涉及到更改時，至關重要的是定義什麼是更改並闡明我們正在更改的內容。改變狀態一些人認為的變化是一個移動從當前狀態到所希望的狀態，...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-24

1 Like 0 留言 1795 瀏覽

技術數據和系統所有者（Data and System Owners）

如果未識別數據，則無法分配數據所有者。僅在識別，定位並清點數據之後才分配數據所有者。此外，在整個組織內進行數據清單管理需要協調，監督和領導。一個人或一個管理者不...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-18

1 Like 0 留言 1794 瀏覽

技術服務組織控制（Service Organization Control ：SOC)

-服務組織控制（SOC）服務組織控制（Service Organization Control ：SOC)向用戶實體（銀行）提供服務的任何服務組織（您的公司）...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-22

2 Like 0 留言 1788 瀏覽

技術資安即國安，台灣需要更多的CISSP!

安全是品質的一部分在過去的二十多年中，透過提供IT解決方案幫客戶解決問題一直是我的使命。一路走來，經營及參與過的業務範圍相當廣泛，從提供數據機撥接和網站及電子...

吳文智 (Wentz Wu) ‧ 2020-10-29

5 Like 5 留言 1782 瀏覽

鐵人賽 Security

心洞年代系列第 33 篇

技術心洞年代-Reading Guide

首先，謝謝iT邦幫忙網站，再次舉辦了iT邦幫忙鐵人賽，走到第十屆，真的不容易，官方的各位辛苦了。再，謝謝大家過去三十一天來的支持與鼓勵，感謝各位。更謝謝，參...

SunAllen ‧ 2018-11-01

1 Like 0 留言 1777 瀏覽

技術商業秘密(Trade Secret) & 版權(Copyright) & 專利(Patent) & 商標(Trademark)

您的公司將源代碼視為機密信息；商業秘密保護其機密性。無論版權和專利要求的源代碼的公開，但貴公司有意保守秘密作為一個私有雲。商標可以唯一地識別和區分您的公司或產品...

卓建全(Cho,Chien-Chuan) ‧ 2021-02-05

1 Like 0 留言 1771 瀏覽

技術 GRC: 高階主管基本功

資訊安全是一門透過安全管制措施(security controls), 保護資訊資產免於受到危害, 以達到CIA的目標, 進而支持組織的業務流程(幫公司作生意)...

吳文智 (Wentz Wu) ‧ 2020-12-07

1 Like 0 留言 1765 瀏覽

技術 OWASP SAMM-安全冠軍(Security Champion)

-SAMM 概述（來源：https : //owaspsamm.org）文化有不同的背景或層次，例如安全文化、組織文化或民族文化。高級管理層是在組織層面提升安全...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-08

0 Like 0 留言 1758 瀏覽

技術安全工程101

系統工程是一門應用知識來創建或獲取一個系統的學科，該系統由相互關聯的元素組成，這些元素在整個系統開發生命週期（SDLC）或系統生命週期（SLC）內出於共同目...

吳文智 (Wentz Wu) ‧ 2020-12-14

1 Like 0 留言 1756 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(十九)

二、 ISO 27005 架構ISO 27005資訊安全風險管理架構如下圖：先說明建立全景的步驟：在這個階段我們利用第四章所分析的資訊，建立基本準則、範圍範...

kachung ‧ 2022-03-29

0 Like 0 留言 1744 瀏覽

技術盡職調查(due diligence)

-盡職調查和應有注意當談到 CISSP 時，盡職調查 (DD) 的定義是模糊和不一致的。IMO、DD 需要根據上下文定義標準。法律領域的DD標準與金融領域的標準...

卓建全(Cho,Chien-Chuan) ‧ 2021-12-09

0 Like 0 留言 1734 瀏覽

技術業務驅動者與致能者(Business Drivers and Enablers)

業務(business)就是有關產品和服務交付(delivery)，以創造價值並實現組織願景和使命的相關活動。一個業務驅動者是(driver)指導或控制的行動方...

吳文智 (Wentz Wu) ‧ 2021-02-09

技術 ISO 27001 資訊安全管理系統 【解析】(十二)

技術 雲端部署模型（Cloud deployment model）

技術 敏捷方法或框架-極限編程（XP）提供了最多的程式開發實務

技術 特權蠕變（Privilege Creep）＆ 自由訪問控制（DAC）

技術 為了明日的重開機-25(Physical Security)

技術 數位簽章(digital signature)

技術 什麼是零信任(What is Zero Trust)？

技術 OpenID Connect

技術 危害指標（Indicators of Compromise:IoC）

技術 戰略管理(strategic management)

技術 為了明日的重開機-22(Infrastructure support systems)

技術 人生還有更重要的事! 善選CISSP應考策略!

技術 [Day 18]吞服資安大補丸變身吧！Cybrary平台

技術 ISO 27001 資訊安全管理系統 【解析】( 十三)

技術 容器化的安全原則(the security principles of containerization)

技術 滲透測試-枚舉（Enumeration）