ISACA CISA考試準備心得

# ISACA CISA考試準備心得更新時間:2023/5/21 通過考試條件 --- - 考試科目/版本:CISA - 考試費用: ISACA會員 575USD，折合台幣約17,278 非ISACA會員 760USD，折合台幣約22,839 - 會費: 總會+Taiwn Chapter = 145USD + 台灣會費 50USD =195USD - 題目:150題，單選選擇題 - 考試時間:4小時 - 通過分數:450分以上，才可通過考試，此得分為具備相關知識的最低標準。 - 考題語系:繁體中文、簡體中文、英語、德語、法語、日語、義大利語、西班牙語、韓語、土耳其語 - 考試通過後領取證照條件: 提出5年專業資訊系統稽核、控制、鑑證或安全工作經驗(如CISA工作實踐領域所述)之證明申請。工作經驗必須在認證申請日之前的10年內，且通過考試之日起的5年內提出申請，若未能於通過考試後的五年內提出認證申請，則必須重考。資訊系統稽核、控制、鑑證或安全之工作經驗，至少需有2年。 - 證照維持條件: 每年完成最少20小時的持續專業教育時數。每3年完成最少120小時的持續專業教育時數(從得到證照後的隔年1月1日起算)。每年支付持續專業教育維持費。 ISACA會員：USD $45 ISACA非會員：USD $85 命題/章節比重(官方公告) --- * 領域 1 — 資訊系統稽核流程 (Information System Auditing Process) (21%) * 領域 2 — 資訊科技治理與管理(Governance and Management of IT) (17%) * 領域 3 — 資訊系統的取得、開發與建置 (Information Systems Acquisition, Development and Implementation) (12%) * 領域 4 — 資訊系統的營運及企業靈活性 (Information Systems Operations and Business Resilience) (23%) * 領域 5 — 資訊資產的保護(Protection of Information Assets)(27%) 準備方向/注意事項 --- * 沒題庫，不要背題庫答案 * 不要花錢買不明來歷的東西 * 以稽核單位實務作業角度出發去答題 * 不會考你很深的東西，也不需要你去強記法條 * 會考你的是在實況稽核(內稽/外稽)應用 * 這科實務指的不是你在資訊領域上懂得作業方式跟內容 * 而應該是你曾經被稽核過的經驗 * 或者你執行稽核(觀察)的經驗 * 要會判斷情境，題目要看清楚看完 * 勤做題目，不去背內容，每一次都要當作是第一次寫 * 注意到在做題目的時候應該是偏向判斷性的題目比較多 * 名詞解釋性題目較少考試準備參考書 --- * CISA Review Manual, 27/e 英文版(簡稱RM) * CISA 考試復習手冊, 27/e (CISA Review Manual, 27/e)(簡體中文版)(簡稱RM) * CISA 復習考題及解答手冊, 12/e (CISA Review Questions, Answers & Explanations Manual, 12/e) (簡稱RQ) 分類重點提示 --- * 第一章資訊系統稽核流程這章節主要在敘述稽核流程基本的名詞要知道(專有名詞對照請參考CISA Review Manual GLOSSARY) 要弄清楚政策 Policy -> 標準 Standard -> 指引 Guidelines -> 程序 Procedures 基準 Baseline 、準則 Principles 、方法 Methods、實務和技術 Practices and techniques 利害關係人 (中國用語利益關係人) stakeholder 機密性 Confidentiality 、完整性 Integrity 、可用性 Availability 國際資訊稽核實務準則IT Audit Framework 稽核流程規劃 -> 現場工作/紀錄 -> 報告/追蹤 Risk = 威脅 Threat x 弱點 Vulnerability x 衝擊 Impact 可能性P x 影響(損失) 發生的可能性、衝擊損失風險胃納/偏好 Risk appetite 追求某目標或願景，而願意接受的風險風險容忍/承受度Risk Tolerance 固有風險Inherent risk,IR 還沒開始做控制的情況下的風險，因為每個行業各有不同風險，可以先搜尋相關資訊了解控制風險Control risk,CR 無法經過控制檢測到的風險；可能因為時間不夠、沒有工具等問題，可以藉由交叉詢問的方式，找出問題檢測風險Detection risk 已發生但未被稽核員檢測到的錯誤，因為不熟公司規範導致遺漏，可以藉由翻該公司的規範、SOP找尋問題風險管理(風險識別、風險計算、風險避免、風險移轉、風險接受) ISO/IEC 31000，風險管理系統 ISO/IEC 27005，資訊安全風險管理的標準風險評估 Risk evaluation 風險分析: 資訊風險因素分析 FAIR — Factor Analysis of information Risk NIST 風險分析法 PRA，Probabilistic Risk Assessment 定性風險分析 Qualitative Risk Analysis 對已界定出的風險評估其發生的機率與衝擊，決定其對企業營運影響的優先等級定量風險分析 Quantitative Risk Analysis 指以計量方式分析每一項風險對企業營運影響的程度量化/定量 - 計算出數字來描述可能影響的機率 SLE — single loss expectancy : asset value x EF(exposure factor) 每單次的損失是資產價值乘與曝險因子。 EF是指發生的可能性 ARO — annualized rate of occurrence ，這個威脅每年發生的可能性 ALE(annual loss expectancy) = SLE X ARO annualized loss expectancy = single loss expectancy * anuualized rate of occurrence (ALE = SLE * ARO = AV * EF * ARO) 量化/定量 - 計算出數字來描述可能影響的機率 SLE x ARO = ALE 風險降低 Risk reduction 選擇使用適當技巧及管理原則，以減低風險或其發生機率殘餘風險 Residual Risk 實施安全控制後仍然存在威脅的可能性和影響風險移轉 Risk transference 是將風險轉移給第三者/第三方舉例:投保資安險、保險、與廠商簽訂相關合約風險規避 Risk avoidance 決定不涉入或退出風險處境是指改變原先的計畫以避免可能發生的風險，或消除可能的衝擊風險接受 Risk acceptance 接受特定風險的可能性和後果稽核類型第一者稽核 First Party Audit 又稱內部稽核（Internal Audit）公司內部自行實施作業流程和品質系統的自我診斷、檢討與評估第二者稽核 Second Party Audit 公司對供應商的稽核第三者稽核 Third Party Audit 指具有公信力的獨立認證機構，依一特定的標準對公司辦理評鑑，並發給證書以資證明整合稽核持續稽核稽核計畫稽核執行查核底稿查核工作底稿查核工作之記錄，其主要功用在協助查核人員有效執行查核工作，以證實查核工作已依照一般公認實計準則實施適當之查核程序，並為作成查核報告表示意見之依據查核工作底稿應適當記載下列有關事項：查核工作之規劃。內部控制制度之評估。已實施之查核程序及所獲得之資料。達成之結論。查核工作底稿之複核。詐欺和違規稽核抽樣 Audit sampling 稽核技巧稽核抽樣(Audit sampling) 符合性測試 Compliance testing 評估控制措施在預防或檢測和糾正重大缺陷方面的操作有效性的審核程序實質性測試 Substantive testing 屬性抽樣(Attribute sampling) 發現抽樣(Discovery Sampling) 用於查找重大舞弊事件或極少出現的例外事件屬性抽樣 Attribute sampling/frequency-estimating sampling 為了測定總體特性的發生頻率而採用的一種方法停-走抽樣(Stop-or-go sampling) 目的為減少抽樣樣本數來避免過度抽樣，先一定量的樣本進行審查，如果結果可以接受，就停止抽樣得出結論，如果結果不能接受，就擴大樣本量繼續審查直至得出結論變量抽樣(Variable sampling) 分層抽樣法(Stratified mean per unit) 分組抽樣不分層抽樣法(Unstratified mean per unit) 樣本均值差異估計抽樣法(Difference estimation) 前後樣本差異值稽核證據收集稽核工具電腦輔助稽核技術 Computer-assisted audit techniques（CAAT）通用審計軟體 (Generalized Audit Software) 稽核報告風險自評 ---- 待補充 Resiliency plan、Resilience planning 復原計畫美國會計師協會AICPA審計標準《關於鑑證業務標準的聲明第18號》（SSAE18,Statement on Standards for Attestation Engagements no. 18） SSAE18定義兩種SOC(System and Organization Controls)報告的級別：類型I，描述了服務組織的系統以及特定的控制設計是否滿足相關的信任原則。（設計和文件是否可能實現報告中定義的目標）類型II，報告還涉及到特定的控制在一段時間（通常為9到12個月）內的執行有效性。（實施是否得當）三種報告類型：SOC 1、SOC 2和SOC 3 SOC 1 — 財務報告內部控制（ICFR）以自評的方式描述服務系統的適用性保護 SOC 2 — 信任服務指標提供給管理階層的保護資料的詳細報告(內部Only，包含CIA triad（機密性、完整性、可用性）) SOC 3 — 一般用途的信任服務指標報告較少技術細節的內容，對外公開的信任服務報告 * 第二章資訊科技治理 IT治理與管理 -> Governance IT Strategy for alignment -> IT策略校準 IT Governance structure -> IT治理策略 Portflilo management 整合管理 Accountability 問責/當則 EGIT -> 資訊與科技的企業治理 GEIT ->Governance and Management of Enterprise IT 治理標準 COBIT、ITIL、O-ISM3、ISO/IEC 38500IT治理、ISO 20000、ISC 31000風險管理有效的安全性群組織結構(避免利益衝突) - > 權責衝突管理層應定期審查政策 -> 這邊指的是 Policy ->檢驗政策的遵循性 technology-driven 科技導向 -> 協調一致的安全標準 Acceptable use policy(AUP) 可接受使用政策程序 Procedures -> 具體的步驟指引 Gudielines -> 幫助了解怎麼做從GEIT建立組織結構及角色權限 executive-level -> 經營管理層 steering committees -> (指導)管理階層 executive-level strategy and steering committees 策略和指導委員會 IT戰略委員會: 董事會及專家組成，著重於未來議題的戰略目標 IT治理委員會: 公司高層，著重於執行面，審查長期及短期計畫 CISO: 推動資訊安全方案，可能由副主官兼任 PMP的 Responsibility assignment matrix,RACI劃分權責當責者 Accountable -> 一件事只能有一個人負責者 Responsible 事先諮詢者 Consulted 事後被告知者 Informed 職責分離 Segregation of IT Duties 簡稱 SOD SOD可以限制一個人負責多個職能時發生無法發現的錯誤或不當行為的可能性職責分離矩陣 Segregation of duties control matrix 職責補償控制措施 Compensating Control Audit trails 審計軌跡 : 提供流程圖，幫助追溯交易流程 Reconciliation 對帳: 確保兩組記錄是一致的過程 Exception report 查異常的報告 Transaction logs 查日誌紀錄 Supervisory review 監督審查，稽核單位加強監督 Independent review 獨立審查，確保獨立和客觀的審查，彌補在執行程序的過程中出現錯誤稽核的時候須注意: IT目標是否與企業戰略目標一治 IT治理是否有效 (有沒有達到KPI) IT資源被合理使用 (買合乎需求的設備、聘目標所需的人才) IT資源的風險有被合理控制 (合法合規) audit committee 審計委員會 management appetite 管理胃納/偏好 risk appetite風險胃納/偏好 RISK = P X Impact P = Threat 威脅 x Vulnerability 弱點風險分析方法定性分析 -> 使用描述性等級來描述風險可能性和影響 (質化) 半定量分析法 -> 敘述性等級和數值相關聯定量分析法 -> 使用諸如財務成本形式的數值來描述風險可能性和影響成熟度模型 Maturity Models CMM,Capability Maturity Model 能力成熟度模型 CMMI,Capability Maturity Model Integration 能力成熟度模型整合 GRC(Governance, risk management, and compliance) GRC通常著重於財務、法律注意字彙 Acquisition 取得 due diligence 盡職調查 Offshoew 離岸外包、海外 Insourced 內包、Outsourced 外包 Onsite 駐場、Offsite 異地軟體託管 -> 你在外包的時候要考慮到的問題外包須注意到確立供應商代表客戶開發的智慧財產所有權還有轉包關係外包和協力廠商的稽核報告美國會計師協會AICPA審計標準《關於鑑證業務標準的聲明第18號》（SSAE18,Statement on Standards for Attestation Engagements no. 18） SSAE18定義兩種SOC(System and Organization Controls)報告的級別：類型I，描述了服務組織的系統以及特定的控制設計是否滿足相關的信任原則。（設計和文件是否可能實現報告中定義的目標）類型II，報告還涉及到特定的控制在一段時間（通常為9到12個月）內的執行有效性。（實施是否得當）三種報告類型：SOC 1、SOC 2和SOC 3 SOC 1 — 財務報告內部控制（ICFR）以自評的方式描述服務系統的適用性保護 SOC 2 — 信任服務指標提供給管理階層的保護資料的詳細報告(內部Only，包含CIA triad（機密性、完整性、可用性）) SOC 3 — 一般用途的信任服務指標報告較少技術細節的內容，對外公開的信任服務報告雲端治理 Cloud Governanace 外包一定要注意 SLA服務水準協議、OLA 營運水準協議 IT性能監控報告 -> 法規風險遵循姓、關鍵IT流程人->績效設備 -> 性能改善方式 -> P.D.C.A 六個標準差 IT BSC 平衡計分卡 -> 課本 RM P.107 超越傳統的財務評估 IT品質管理 -> QA、QC -> 通常比較常出現 IT開發、軟體開發、維護服務管理等 --- 能力成熟度 CMPA,Cisco Cybersecurity Maturity Program Assessment Initial、Repeatable、Defined、Management、Optimal 業務持續運作與災害復原 * 第三章資訊系統開發建置及取得業務案例 Business case -> 企劃書資訊系統開發生命週期 System development lifecycle 注意到字彙 implementation 生產實施 migration 移轉 production 上線 Configuration 組態 disposes 汰換專案管理中計畫評審技術 PERT,Program Evaluation and Review Technique 計劃 Programs > 專案 Project 專案管理、專案組織專案溝通 ->透過會議 OBS 目標、分解、結構 WBS 工作、分解、結構 Business Case -> 台灣常用企劃書、可行性分析 AS-IS 表示現況 ->專案管理常用 TO-BE 表示未來的流程 ->專案管理常用使用者需求(提出需求的人)->利害關係人(會受到影響的人) 在業務案例可行性分析中資訊系統稽核師應注意到成本、效益、需求的重要性等 Approach建議方案、途徑 SDLC模型 SA 系統分析 -> 設計階段 SD 系統開發 -> 開發階段基礎架構開發/購置實務 POC,Proof of Concept 採購過程中應注意到 RFP(需求規格)訂定供應商系統的許可使用 -> License 就是講授權產品接受度測試 Acceptance testing of the product (與UAT類似) 相容性轉換需求 Adaptability 審查RFP以確保供應商制定安全回應計畫 Review the RFP to ensure security response are included by vender 輸入控制確保輸入有效且合法的資訊，這些交易僅處理一次 -> 已被授權的、批次作業 most concern -> 風險控制識別 IT Control 下分 ITGC(General Control) 及 AC(Application Control) 內控準則輸出控制 -> 作業程序的檢查、應用控制文件使用者程序職責分離 -> 輸入授權 -> 核對 -> 錯誤控制和修改 -> 報告分發 -> 存取授權和能力的審查與測試->活動報告->違規報告單元測試介面或整體測試系統測試最終接受度測試(QA)(QAT)(UAT) 系統測試領域中第一階段叫做Alpha測試，第二階段教做Beta測試壓力測試 -> 功能 ITF整合測試資料完整性測試在基於資料元素(欄位)和紀錄的層面上執行的資料驗證常式查核人員應注意到 (系統上線、角色) 審查測試計畫、錯誤報告、最終使用者文件以及用於確保完整性和準確性的程序審查平行測試結果和用戶接受度的測試配置(組態)發布管理 -> 授權支援變更管理 Change management 紀錄受授權變更影響的配置專案實施授權的便更和發布時的登記配置專案變更資料移轉資料移轉流程必須提供如稽核管機和日誌等方法，來驗證所轉換資料的準確性和完整性必須使用適當的方法和工具將風險降至最低須注意到遷移過程中出現資料不一致或喪失資料完整性應按照組織的變更控制流程實施系統執行備用(復原)方案 Implementing a Fallback(Rollback) Scenario 上線轉換策略 sign-off 簽字同意 (授權) 系統上線後的衡量指標(整體擁有成本TCO、投資報酬率ROI) 操作手冊中應該要有針對緊急變更程式有所闡述變更控制日誌能否確保所有顯示的變更均已得到解決安全存取限制審查控制已確保其運行符合設計要求審查操作人員的錯誤日誌，判斷是否存在任何資源或運行問題 Certification 認證/驗證 -> 個能力評估 Accreditation 認可/驗證 Discuss lessons learned 討論經驗教訓系統維護用於保持生產和應用程式源和可執行程式碼的完整性落實標準的變更管理流程以記錄和執行變更稽核員須注意到審查執行的程式變更請求、審查系統的內制控制、審查操作人員的錯誤日誌、審查輸入和輸出控制檢核和報表 * 第四章資訊系統的營運及企業靈活性資料庫管理資料治理問題和事故管理變更、設定、發佈和修補程式管理政策及實務 End-user Computing Business Resilience 業務靈活性 > BCP > DRP IT資產管理 -> 重點在於盤點、識別系統介面、資料交換應注意到的安全問題如資料安全及隱私 End-user Computing 使用者終端設備快速部署應用程式、減輕IT部門壓力未經過獨立審查不受變更管理或發佈管理制約得不到保護和備份風險在於會出現所謂 Shadow IT (地下IT人員) 需要注意到授權、身分驗證、稽核日誌、加解密資料治理 Data Governance 過優先等級和決策設定資料/資訊管理能力的方向根據(由所有利害關係人)共同商定的方向和目標，監測和評估資料/資訊資源的績效和合理性注意到名詞 Dispose 可譯為處置或廢棄系統性能管理硬體審查/作業系統審查/資料庫審查考試常會考到資料庫 schema 大陸用法是元資料 metadata 網路基礎設施審查資訊系統營運審查這邊的library 要看題型提意前後表示的結果不同全自動營運(熄燈機房)->人員都在監控中心問題和事故管理事故通常定義範圍幾乎包括任何非常規事件異常情況的檢測、紀錄、控制、解決和報告仰賴於日誌 log ability to add to the error log should not be restricted 這邊注意到所以稽核日誌 audit log 是由系統自動產生的也有說法是 audit trail 網路基礎設施審查網路管理工具需要注意到簡單網路管理協議 SNMP 資訊系統營運審查這邊的library 要看題型提意前後表示的結果不同全自動營運(熄燈機房)->人員都在監控中心應變計畫涵蓋 IRP 事故應對計畫 (一般指資安事件) BCM 通常指遇到重大災害天災 BCP 涵蓋 COOP 跟 DRP 變更、配置、發佈和修補程式管理變更管理問題和事故管理事故通常定義範圍幾乎包括任何非常規事件異常情況的檢測、紀錄、控制、解決和報告仰賴於日誌 log ability to add to the error log should not be restricted 這邊注意到所以稽核日誌 audit log 是由系統自動產生的也有說法是 audit trail 網路管理工具需要注意到簡單網路管理協議 SNMP 變更、配置、發佈和修補程式管理注意到系統和程式進行作業(變更) 都已經過專案管理人員和最終用戶的審查和批准變更管理這裡指 Change Management 下涵蓋 Release 及 Patch 版本更新及修補組態管理 Config Management Config 涵蓋設定、設置變更必須有涵蓋回復計畫用以還原變更失敗硬體維護 -> 也就是 MA Major Release Minor Release -> 小改版 Emergency Release -> 重大修補 Patch Management 修補程式大陸又稱補丁通常也用 Hotfix 安裝修補前一定要完成測試在安裝修補程式前一定要備份硬體維護 -> 也就是 MA Capacity Management 容量管理配置 Configurations 資訊系統營運 Operations 當執行該領域稽核時，資訊系統稽核應了解資訊系統營運範圍 IT服務水準管理合約 -> 簽訂 SLA ITSM相關標準 ITIL ISO20000-1 SLA注意到期望值基礎設施稽核 EA -> Enterprise Architechtyre 企業架構資料庫管理減少資料重覆(冗餘)和存取時間，同時為敏感性資料提供基本的安全保障資料驗證 ETL OLTP -> DW 業務靈活性 Business Resilience 營運衝擊分析/業務影響分析 BIA是確定失去任何資源的支持對業務影響的過程營運和關鍵性分析分類注意到名詞 Critical Vital Sensitive Nonsenstitive 單點故障(一種資源的損失會導致服務或生產的損失) single points of failure 電信網路異地媒體庫 -> 備份的媒體 / 磁帶快照 snapshot -> 某時間點的完整備份備份方案完整備份/增量備份/差異備份輪調方法業務連續性計畫 Business Continuity Planning Disaster Management DRP中定義了團隊的各種角色和職責 BCP流程 BC Awareness training Disasters and Disruptions 恢復計畫將營運恢復到正常狀態協調支持回應和恢復恢復保持合理的信心災難和中斷災難後往往需要通過投入恢復準備才能恢復資訊資源的操作狀態事故緩解事故管理 -> 分級可忽略、輕微、重大、嚴重隨著事件發展事故的分類可能改變 BCP計畫組成部分 Business resumption plan Plan test 驗證BCP的準確性稽核業務連續性 / 稽核評估理解BCP和業務目標之間的聯繫災難復原計畫是風險管理和BCP流程的一個重要部分確保實施有成本效益的控制來防止可能的IT中斷，並確保能夠在發生中斷時恢復的IT能力 DRP可能須受合規性制約雇用協力廠商代其執行DRP相關活動這些廠商亦受到合規性要求的制約災難復原測試必須了解測試時間表應審查測試檔、確認測試得到完整的紀錄，包含測試前、測試中及測試後報告 Recovery Alternatives RPO與RTO均以時間參數為基礎時間要求距離中心越近恢復策略的成本就越高中斷時限服務交付目標 SDO 與業務需求直接相關恢復策略支援關鍵業務功能適當的策略指特定時間範期內的恢復成本提供冗餘或備用資源的固定成本包括發生中斷時將之投入使用的可變成本資料存儲恢復能力稱為獨立或廉價磁片冗餘陣列 RAID的資料保護方法是用於防止資料單點故障最常見的方法同步 synchronous 非同步 Asynchronous 自我調整 Adaptive 電子通訊和網路也是考量 * 第五章資訊資產的保護資料分類實務 data classification CIA 稽核資訊安全管理框架隱私保護原則資料擁有者資料安全應是整個生命週期內予以安全保存須注意到資料收集的目的隱私 Privacy by design Security by design PIA Privacy Impact Analysis 隱私影響分析隱私保護的稽核應注意到第三方/供應商管理問責制度 Accountability 實體存取和環境控制安全控制可分為主動 (阻止) 被動 (偵測) 實體存問題需要注意到敲詐 Blackmail 盜用 Embezzlement 實體控制實例門鎖/密碼生物特徵門閂電子設備人工電子紀錄影像監視 CCTV 保安人員受控的訪客拜訪警報系統雙門安全系統加強實體控制機制防尾隨實體存取稽核 -> 調閱紀錄環境控制稽核 -> 確認安全保障措施是否已落實相關的紀錄和檢查測試報告測試緊急疏散計畫須注意到不熟悉的名詞對應到的威脅資訊資產-> 公司覺得重要的/經營管理層認為有價值的東西 ISO定義->硬體、軟體、文件、人員 ISO/IEC/IEEE 15288:2015 系統和軟件工程——系統生命週期過程有定義出系統元素 8個大要素 https://ithelp.ithome.com.tw/articles/10256981 ※參加CISA考試注意不要用工程師的思維去想題目，去理解題目的意思 ※身為稽核要找到的是符合性(合規) ※作答的時候150題，原則上可以回頭去改答案，但是你作答時間有限，240分鐘資訊資產、目標 -> 都要達成 C.I.A (資安法) 注意到名詞資料分類 data classification 資料的生命週期就是建立、儲存、使用、分享共享、備存(Archive)、銷毀注意到名詞 NDA NCA AUP 稽核資訊安全基礎框架 ->參考RM P.247 ~ 248 資訊安全的教育 Awareness 認知訓練 -> Training -> Education 講到資料安全落實資訊安全應考量及注意職務輪調、特權帳號管理、潛變主體對客體的存取行為 I + 3A 也就是 Integrity + Authemtication + Authorization + Accounting 所有的紀錄必須可以追蹤、究責針對主體的活動生成紀錄或日誌的過程以便可以強制執行問責制隱私保護原則整個生命週期內予以安全保存應注意到收集隱私資料時的目的 Privacy Impact Analysis 個人可識別資訊 personally identifiable information 除了問責制度同時間也應注意到第三方/供應商管理 ※管理技術和實體控制的重點管理控制->技術->實體管理控制所有的出發點最優先就是文件化資訊 ※在環境控制項目需要注意到不熟悉的名詞跟其對應到的威脅身分和存取管理重點在於 1.達到->C.I.A目標 2.融入在業務流程 3.產品及服務持續交付 4.GRC組織目標系統存取權限應注意到風險管理中的標準名詞系統存取審查應該要注意到識別、驗證、確認你有相關過程中紀錄可究責按照知密原則 need to know 問責制 Accountability 可追朔性 Traceability 最小權限 Least privilege 職責分離 SoD 資訊安全和外部相關方 -> 可參考 RM 5.8 外部通常就是委外廠商、供應鏈注意到保密切結、資安通報通常透過合約去管理簽訂相關的SLA服務水準協議在產品跟服務的交付存取控制 SSO 也就是 Single sign on 為的就避免單點失效 Spof 生物特徵本身是不安全的，只有視網膜是安全 ->因此需要結合其他因子生物特徵需要考量的因素有成本效能準確度 Something you know -> Type 1 Something you have -> Type 2 Something you are -> Type 3 有一些議題如 False Negative / False Positive FRR / FAR /CER / ERR MFA -> Authenticatication ※專業的領域如果稽核不懂可以找外部專家 Authorization 2大原則 Need to know Least Priviage -> data owner -> system owner Accounting 寫紀錄、看紀錄、追責任有關存取控至最重要的還是存取控制清單 ACL 要注意到特權潛變 https://ithelp.ithome.com.tw/articles/10307222?sc=iThelpR https://ithelp.ithome.com.tw/articles/10254285 在項目管理中，範圍爬行意味著“未經授權且不受控制地增加了項目範圍。” （ISO / TR 21506：2018）在安全性方面，特權爬取意味著未經授權和不受控制地增加了用戶的特權。換句話說，特權蠕變是由不良做法導致的，例如授予特權（授權）不符合“需要了解和最小特權”的原則以及變更管理的過程。監控系統存取時的稽核紀錄 SOC 安全監控中心 SIEM (Security Information Event Management) 資料留存時間依照法令法規規定、公司的要求確認符合性要求的有效性->法令法規、公司要求、政策、業界標準、合約稽核邏輯存取流程需要注意就是稽核請提早介入資料洩漏防護DLP重點在於流出去的資料可被追查 DLP解決方案 -> 參考 RM P.276 靜態資料、動態資料、使用中的資料傳輸中的 DRM->DFS -> 存取權限網路和終端安全 OSI 7 Layer TCP/IP Link層資料鏈結層 Data Link 2層實體層 Physical 1層電路級FW 5層狀態Check FW 3~4層靜態數據 FW 3層 IP SEC Mode 第3層用途在於資料的完整性保護兩種模式 AH模式驗證來源資料的加密採用通道模式透過 Gateway來驗證 ESP模式做來源驗證跟加密傳輸模式 -> 端點對端點這裡需要注意到每一層可能的攻擊手法網路->架構設計、配置、重要的要不要做出區隔資料的傳輸過程怎麼樣去保護資料網路的目的是為了傳資料、資源共享縱深防禦、乳酪理論用戶端/伺服器安全 -> 安全控制、身分驗證、帳密、傳輸加密網路安全重點在於進出的管道稽核可以找外部專家，不需要深入討論技術面，稽核只需要注意到適法性次世代防火牆也有人說 UTM 防火牆的用途就切割網路內跟外進出的過程外面的IP要進來IP如為內部則必Deny 裡面要出去的的是外部IP必Deny 來源到目的不要使用Any 防火牆的申請審核跟設定要分開不符合規則的要記錄下來 -> log 盡可能最小化防火牆的問題就是配置錯誤、監控需求、政策維護、易受基於應用程式或基於輸入的攻擊防火牆稽核在於規則觸發、Log Review 影子IT (Shadow IT) 意旨不在公司資訊部門編制內的IT人員 (自己買、自己架設、自己配置且不受控) 資料分類盤點、分類、分級、自有資料、個資、價值資料擁有者來進行分類用金錢來分商業價值、成本營業損失、C.I.A 資料加密 (參考WUSON) Crypyology C 機密性 -> 加密 I 完整性 -> 雜湊 -> 真實性 MAC、不可否認性 CA 簽章美國法定目標（FISMA）/ 資通安全法 CIA Ｃ機密性：資料不被偷Ｉ完整性：資料不被竄改Ａ可用性：資料隨時可用 Integrity完整性 Data Integrity（資料完整性） Authenticity（資料真偽；真實性） Non-repudiation 不可否認性（法律上）：傳送方不能否認未傳收；接受方不能否認未收到 FISMA NIST FIPS 199 NIST SP 800 https://hackmd.io/@alrex5401/CISSP Symmetric 對稱式，同強度128bits，快 Symmetric Demands，對稱式金鑰數量 n(n-1)/2 10個人要面對其他九個人，同一組人除2 金鑰管理問題，數量多 Asymmetric 非對稱式，同強度2048bits，慢 Asymmetric Demands，非對稱式金鑰數量 n*2 Public Key Encryptoion Key Pair兩把金鑰只能用對應的公鑰及私鑰解密，事先產生公鑰後，傳輸公鑰給人 Public公鑰：隨便給，給別人加密用（用別人的公鑰加密） Private私鑰：保管好，給自己簽章用（用自己的私鑰簽章） PKI -> 有寫名子的公鑰 ->非對稱式加密 -> 外部公正第三方提供 CA簽、RA收屬於管理中心 VA驗證有所謂的憑證撤銷清單 CRL、OCSP 電子郵件安全 -> 社交工程 -> MAIL 專用 DLP ※雲端共享責任模型灰->業者藍->公司注意到服務委外責任不能委外 ※雲計算的基本特徵雲端安全目標 ->資料境外儲存、資料刪除(或者加密後再刪除) 雲端服務稽核權 -> 第三方查核報告虛擬化的風險 ->不當配置、虛擬化環境管理工具Guest tool(這裡講的是無法可管的)、快照(備份) 補充行動計算控制 Due Care -> Do Correct 做好正確、現在、當下應有的謹慎 Due Deligency -> Do Detect 禁止調查 -> 做好相關的調查 (事前) 通常用在併購無線裝置 IOT、BYOD BYOD風險注意到要有清單列管、設備註冊實體安全資料儲存等問題自己的設備是安全的物聯網風險業務風險健康和安全法規遵循性意外成本作業(營運)風險對功能的不當存取自行採用效能技術風險設備漏洞設備更新設備管理安全意識培訓和計畫 NIST 800-50 Awareness 認知訓練 -> Training -> Education 培訓（資安意識(Awareness), 訓練(Training)及教育(Education)的對象與目標.）資安意識(Awareness)：所有人政策宣導、提高資安意識訓練(Training)：特定一群人達到對工作的要求或學會特定技能教育(Education)：特定一群人有證書或學位認證 https://hackmd.io/@alrex5401/CISSP 資訊系統攻擊方法和技術 ※這裡注意到必須站在稽核的角度去看，程序面優先，其次才是技術安全測試技術 -> 軟體安全開發滲透測試 ->雙方協議並同意執行的範圍簽署確認內容及深度 EC-Council PT流程 Black box 黑箱測試：測試者對於受測標的物一無所知 White box 白箱測試：測試者對於受測標的物都知道 Grey box 灰箱測試介於白箱與黑箱測試之間的一種方式，測試者只有了解部分程式碼，大概知道特定功能如何運作，不需要像白箱測試需要了解程式、模組的細節，但了解運作機制，能夠用於黑箱測試，以增加弱點發現和錯誤分析的效率 https://ithelp.ithome.com.tw/articles/10306214 威脅情報 -> 電腦緊急應變小組 CERT 入侵偵測系統基於特徵、統計、神經網路用途在於終止存取、追蹤存取密灌->法律的問題、引誘別人犯罪重點在於審查安全政策和程式、存取控制、網路配置(防火牆和分段) 事故回應管理 NIST Incident Response Life Cycle 準備偵測分析 -> 供應商收集、還原 -> 法務回應事故停損、根除、復原報告、經驗學習電腦取證 -> 採證、保存流程、留存軌跡 ->法務補充資料風險管理 Risk Management https://wentzwu.com/2022/01/29/risk-management-summary/ ISO/IEC 31000 風險管理就是將風險控制到經營高層可接受的範圍風險評鑑 Risk assessment(不是風險評估) ->風險識別 Risk Identification（找風險）->目標相關 ->風險分析 Risk Analysis->機率、影響、曝險值、方法 ->風險評估 Risk Evaluation->決定是否處置風險處置 Risk Treatment ->風險避免 Avoid ->風險轉移 Transfer ->風險緩解 Mitigate ->風險接受 Accept https://hackmd.io/@alrex5401/CISSP 線上參考資源 --- - UUU ISACA CISA https://www.uuu.com.tw/Course/Show/1700/CISA%E5%9C%8B%E9%9A%9B%E9%9B%BB%E8%85%A6%E7%A8%BD%E6%A0%B8%E5%B8%AB%E8%AA%8D%E8%AD%89%E7%A0%94%E7%BF%92%E7%8F%AD - ISACA CISA 國際電腦稽核師準備心得 (Certified Information Systems Auditor ) https://medium.com/blacksecurity/isaca-cisa-study-7e145bb42f02 -Udemy CISA Certified Information System Auditor - Training https://www.udemy.com/course/cisa-2023-english/ -Udemy Isaca CISA certification Practice Test 2023 https://www.udemy.com/course/isaca-cisa-certification-practice-test-2023/ - ISACA CISA Questions, Answers & Explanations Database https://store.isaca.org/s/store#/store/browse/detail/a2S4w000004Ko5OEAS - Information Systems Audit and Control Association(國際信息系統審計協會(ISACA))簡體中文(天瓏網路書店) https://www.tenlong.com.tw/products/9787121375897?list_name=srh - CISA 復習考題及解答手冊, 12/e (CISA Review Questions, Answers & Explanations Manual, 12/e)簡體中文(天瓏網路書店) https://www.tenlong.com.tw/products/9787121376016?list_name=srh - ISACA CISA 國際電腦稽核師準備心得 (Certified Information Systems Auditor ) https://medium.com/blacksecurity/isaca-cisa-study-7e145bb42f02 - CISA 考試心得之旅 https://lonelysec.com/cisa-%E8%80%83%E8%A9%A6%E5%BF%83%E5%BE%97%E4%B9%8B%E6%97%85/ - 60天CISA备考,634分通过，备考心得分享 https://zhuanlan.zhihu.com/p/582956690 - 【資安管理國際證照懶人包】學習心得、考試要點一次整理！2022 轉職夢幻工作看這篇 https://buzzorange.com/techorange/2021/12/30/isaca/ - 我的ISACA考試經驗分享–吳文智 https://wentzwu.com/2019/08/05/%E6%88%91%E7%9A%84isaca%E8%80%83%E8%A9%A6%E7%B6%93%E9%A9%97%E5%88%86%E4%BA%AB-%E5%90%B3%E6%96%87%E6%99%BA/ - 老司機帶你上車！一把通過CISA考試 https://kknews.cc/zh-tw/news/9zmllvl.html - 成功始于目标，终于坚持。CISA备考经验分享 http://www.spisec.com/Resource/detail/cat_id/26/id/1813.html - CISA考试心得：个人基础与外部充电结合 http://www.auditcn.com/Item/192887.aspx - After Passed CISA 考上 CISA 後 https://www.prudentman.idv.tw/2017/09/after-passed-cisa.html - 資訊系統安全稽核與 CISA 的簡單應用系列 https://ithelp.ithome.com.tw/users/20077752/ironman/2673 - Financial Services FFIEC Cybersecurity Maturity Assessment Tool https://blogs.cisco.com/financialservices/ffiec-cybersecurity-maturity-assessment-tool ###### tags: `ISACA` `CISA`