資安的定義
資訊安全的定義是透過安全管控措施,避免資訊資產受到危害,以達到CIA的目標,進而支持組織業務,達到公司的使命與願景
什麼是治理?
經營高層的管理作為
什麼是管理?
達成目標一套有系統的方法
什麼是戰略?
達成治理目標的高階方法或計畫
什麼是政策?
經營高層的書面管理意圖(聖旨)
什麼是戰術?
達標的細部行動計畫
什麼是風險?
影響目標達成的不確定因素
什麼是風險的一大目標
把風險處理到經營高層可以接受的程度
什麼是資產?
利害關係人認為重要有價值且值得保護的東西
什麼是架構?
主要元素及其關係
什麼是系統?
為達成某種目的,由一群元素組成一起工作
什麼是資訊系統?
資料經過處理變成有意義的資訊,為了達到其特定目的的意義
什麼是Scope,範圍
等同list,清單可以條列,清單有寫的就是範圍內,沒寫就是範圍外
資訊安全控制措施的四大類
HIPPA法案Administrative,管理類Logical/Technical,邏輯/技術類Physical,實體類(ISC)2 Type of Controls,時間序列依時間序分事前、事中、事後,其中共分七類ISO 27001 Annex A:Categories of Controls分為14大類共114個控措施NIST RMF:Families of Controls分為20個Families
存取控制定義為何?
Subject,主體對Object,客體的存取行為,必須受到安全核心的3A管制
安全評鑑的目的為何?
透過查驗、訪談及測試等方法,確保安全控制措施的有效性及符合性,是組織持續改善的管理手段
安全評鑑的三大方法
查驗訪談測試
什麼是Security function,安全功能
即組織之安全功能或安全職能,依據組織規模大小和安全意識,可由任何級別員工執行,大公司可以設立CISO或經理層級專門部門負責資訊安全,資源較小的公司也可以精簡指派一名工程師或員工來處理資訊安全事務,確保其資訊安全的有效性,遵守法律、法規、行業標準、合同、組織政策、道德規範等要求
戰略的組成
Portfolio,投資組合Program,計畫Project,專案
什麼是專案?
有起始有結束有產出,範圍內時程內成本內兼顧品質