# 01. 安全與風險管理 (Security and Risk Management) ## 目錄 #### D01. 安全與風險管理 (Security and Risk Management) https://hackmd.io/@BfgmCkJITrihco_NQZv8Ug/SyUCA52Q1g #### D02. 資產安全 (Asset Security) https://hackmd.io/@BfgmCkJITrihco_NQZv8Ug/S1hWZj2mJg #### D03. 安全架構與工程設計 (Security Architecture and Engineering) https://hackmd.io/@BfgmCkJITrihco_NQZv8Ug/SkS-mo37Jx #### D04. 通訊與網路安全 (Communication and Network Security) https://hackmd.io/@BfgmCkJITrihco_NQZv8Ug/H11AHs3mye #### WebSecurity.pdf (整合投影片) https://hackmd.io/@BfgmCkJITrihco_NQZv8Ug/S1M0wsn7yl #### Appendix C. Blockchain https://hackmd.io/@BfgmCkJITrihco_NQZv8Ug/ByupFs3Xyx ## **1.1 安全的定義** - **安全 (Safety)**：保護個人、財產或資訊免受意外傷害。 - **保安 (Security)**：防止惡意行為（如駭客攻擊）。 - **保證 (Assurance)**：確保系統或資訊按照預期正常運作。 ## **1.2 資安基本原則 (Security Fundamentals)** ### **1. CIA 三元組 (CIA Triad)** - **機密性 (Confidentiality)**： 確保資訊僅授權人員可存取（例如加密、訪問控制、資料分類）。 + 因需可知（Need To Know) + 最小權限原則（principle of least privilege) - **完整性 (Integrity)**： 確保資訊正確且未被未授權人員修改（例如資料驗證、檢查碼）。 - **可用性 (Availability)**： 確保授權人員在需要時可存取資訊（例如備份、災難恢復）。可用性的威脅包含自然和人為災難。 ### **2. 三A原則 (Triple-A)** - **認證 (Authentication)**：確認用戶身份。 - **授權 (Authorization)**：授權用戶存取特定資源。 - **課責 (Accounting)**：記錄用戶的活動，以便審計與識別可疑行為。（who/what/when/how long) ### **3. 保證方法 (Assurance Methods)** + **安全測試**：這涉及模擬對系統的攻擊以識別漏洞和弱點。 滲透測試和漏洞掃描就是例子。 + **安全審查和審計**：這涉及對系統的安全控制和程序進行系統評估，以找出差距並確保符合標準。 + **安全監控** ## **1.3 風險管理過程 (Risk Management Process)** 1. **風險識別 (Risk Identification)**： 識別威脅與漏洞（例如駭客、弱密碼）。 2. **風險評估 (Risk Assessment)**： 分析風險的可能性與影響。 3. **風險應對 (Risk Response)** - **避免 (Avoidance)**：消除風險。 - **減輕 (Mitigation)**：降低風險的可能性或影響。 - **轉移 (Transfer)**：將風險轉移給第三方（如網路保險）。 - **接受 (Acceptance)**：接受低風險。 4. **風險減輕 (Risk Mitigation)**： 實施控制措施（例如防火牆、入侵檢測系統）。 + **成本效益分析**：權衡安全控製成本（財務、營運）與效益（降低風險、提高安全性），力求在安全有效性與可負擔性之間取得平衡。 + **定量風險分析**  ## **1.4 資安治理 (Security Governance)** - **政策 (Policies)**：高階指導方針，描述資安原則與期望。 - **標準 (Standards)**：具體技術要求（如密碼強度、加密算法）。 - **程序 (Procedures)**：具體的實施步驟。 - **方針 (Guidelines)**：達成資安目標的建議做法。 :::info ### 深度防禦 (Defense in Depth) 深度防禦是一種分層的安全策略，通過在不同層級（如物理層、網絡層、應用層、數據層）實施多種控制措施來增強系統安全。可以將其想像成一個具有**多層結構的洋蔥**，即使攻破一層，也無法保證完全訪問整個系統。 - **物理層 (Physical)**：例如門禁卡、安全攝像頭等。 - **網絡層 (Network)**：例如防火牆、網絡分段等。 - **應用層 (Application)**：例如應用程序防火牆（WAF）、身份驗證機制等。 - **數據層 (Data)**：例如數據加密、訪問控制列表（ACL）等。 ::: ### 資訊安全官的職責 (The Responsibilities of the Information Security Officer) 1. **究責 (Accountability)** 負責確保所有資安策略與措施的落實，對結果負最終責任。 2. **法律責任 (Liability)** 確保組織遵守相關法律法規，避免因不合規而引發法律後果。 3. **義務性責任 (Obligation)** 制定資安相關的政策與規範，確保所有人員履行其責任。 4. **執行責任 (Responsibility)** 確保資安措施的執行與有效性，並領導相關計劃的實施。 ## 1.5 法律、法規與倫理 (Legal, Regulations, and Ethics) ### 1. 安全法律與法規 (Security Laws and Regulations) - **GDPR (General Data Protection Regulation)** 一般數據保護條例 - **HIPAA (Health Insurance Portability and Accountability Act)** 健康保險可攜性與責任法案 - **PCI DSS (Payment Card Industry Data Security Standard)** 支付卡產業數據安全標準 ### 2. 道德規範 (Code of Ethics) - 保密性 (Confidentiality) - 誠信 (Integrity) - 安全性 (Security) - 專業性 (Professionalism) ::: info **(ISC)² 道德規範** 1. 保護社會、公共利益和基礎設施。 2. 行為光明磊落、公正負責。 3. 為雇主提供勤奮且有能力的服務。 4. 推進並保護資安專業的發展。 ::: ### 3. OECD 隱私保護指導原則 (OECD Privacy Guidelines) 1. **有限度搜集原則 (Collection Limitation Principle)** 僅以合法和公平的方式搜集個人數據，且用途應明確、具體、合法。 1. **數據品質原則 (Data Quality Principle)** 確保數據準確、完整、相關，且不誤導用於指定用途。 1. **特定目的原則 (Purpose Specification Principle)** 在收集數據前，應明確說明其用途。 1. **有限度使用原則 (Use Limitation Principle)** 僅能基於已明確指定且合法的目的處理個人數據。 1. **保護原則 (Security Safeguards Principle)** 採取合理的安全措施，保護個人數據免受丟失、未授權訪問、洩露、篡改或銷毀的風險。 6. **開放性原則 (Openness Principle)** 對數據收集的做法保持透明。 1. **個人參與原則 (Individual Participation Principle)** 賦予個人訪問與更正自身數據的權利，並在特定情況下反對其數據被處理的權利。 1. **責任原則 (Accountability Principle)** 數據控制者應對遵守隱私指導原則負責。 ## 1.6 營運持續與災難復原 (Business Continuity and Disaster Recovery, BC/DR) ### **1. 營運持續計畫的建立 (BC Program Initiation and Management)** 1. **獲得高層管理的支持 (Obtain Senior Management Support)** 確保計劃得到組織領導的認可與資源支持。 2. **定義項目範圍與目標 (Define Project Scope and Objectives)** 確認計劃的覆蓋範圍與期望達成的成果。 3. **資源估算 (Estimate Project Resources)** 計算成功執行計劃所需的人力和財力資源。 4. **確定時間表與交付成果 (Define Timeline and Major Deliverables)** 制定項目時間計劃與主要成果的里程碑。 ### **2. 營運持續計畫的核心元素** #### 1. 營運影響分析 (Business Impact Analysis, ==BIA==) - 辨識關鍵營運功能與數據。 - 評估中斷對營運的影響，幫助資源分配與恢復優先級的決策。 #### 2. **營運持續計畫 (Business Continuity Plan, ==BCP==)** 目的是將停機時間降至最低，恢復正常營運的策略，包含： - 操作程序 (Procedures) - 溝通計劃 (Communication Plans) - 資源分配 (Resource Allocation) #### 3. **復原目標 (Recovery Objectives)** - **復原時間目標 (Recovery Time Objective, ==RTO==)**：業務功能恢復所需的最長時間。 - **復原點目標 (Recovery Point Objective, ==RPO==)**：數據允許丟失的最大時間範圍。  ## 1.7 人員安全政策 (Personnel Security Policies) ### **1. 雇用審查 (Employment Screening)** 審查內容包括**推薦人查詢 (Reference Check)**、**背景調查 (Background Check)**、**學歷證明 (Diploma Verification)**、**專業證書 (Certification)** ### **2. 雇用政策 (Employment Policy)** 1. **行為準則 (Code of Conduct)** 1. **利益衝突政策 (Conflict of Interest Policy)** 1. **禮品管理政策 (Gift-Handling Policy)** 1. **倫理協議 (Ethics Agreements)** 1. **職務輪調 (Job Rotation)** 1. **職責分離 (Separation of Duties)** 1. **知情需求 (Need to Know)** 1. **強制休假 (Mandatory Vacation)** ### **3. 第三方管理 (Third-Party Control)** 涉及供應商、顧問、承包商的管理措施，包括**監控 (Monitoring)** 、 **保密協議 (Non-Disclosure Agreement, NDA)** ### **4. 隱私 (Privacy)** 1. **責任不可外包 (Responsibility Cannot Be Outsourced)** 職責可外包，但究責仍由組織負責。 2. **隱私期望 (Expectation of Privacy)** 所有個人對其個資擁有合理的隱私期望。 --- ## **選擇題** 1. **哪一項是 CIA 三元組的核心要素？** - A. 認證 (Authentication) - B. 可用性 (Availability) - C. 記錄 (Accounting) - D. 備份 (Backup) **答案：B** 2. **風險管理中，將風險轉移至第三方的策略稱為？** - A. 避免 (Avoidance) - B. 減輕 (Mitigation) - C. 轉移 (Transfer) - D. 接受 (Acceptance) **答案：C** 3. **什麼是防止資安事件發生的控制措施？** - A. 偵測性控制 (Detective Controls) - B. 矯正性控制 (Corrective Controls) - C. 預防性控制 (Preventive Controls) - D. 回復性控制 (Recovery Controls) **答案：C** 4. **在資安治理中，哪一項負責具體的技術要求？** - A. 政策 (Policies) - B. 程序 (Procedures) - C. 標準 (Standards) - D. 方針 (Guidelines) **答案：C** 5. **下列何者是資安治理的最佳實踐之一？** - A. 單一防禦層級 - B. 深度防禦 (Defense in Depth) - C. 僅靠外部資安審核 - D. 無需資安政策 **答案：B** ## **填空題** 1. **CIA 三元組中的“C”代表________，確保資訊僅授權人員可存取。** **答案：機密性 (Confidentiality)** 2. **________ 是資安治理中，為具體技術要求提供指導的文件。** **答案：標準 (Standards)** 3. **在風險管理中，________ 是降低風險發生可能性或影響的策略。** **答案：減輕 (Mitigation)**