Cissp Domain 1 Security and Risk Management 安全與風險管理
CIA 三個觀點 GRC
CIA機密可用完整已經被講爛了
- Govermance 治理
- Risk 風險
- Complience 遵循性
新的議題 ESG,離資安比較遠,但 ESG 的 G 也是治理
Professional Ethics 職業道德 投影片 P7
特殊職業 因為職業屬性關係,對從業人員要求較高的道德
如果沒有好好規範,濫用職業技能會造成危害
公務員 律師 醫生 軍人 警察 資安人員
道德是基於這四個
–-刷題模擬考題
前言:遵守行為道德規範
四條規則原則 Canons,越上面優先度越高
Roland 老師給的 Chapter 1 ISC2 Code of Ethics 不負責任翻譯
不負責任翻譯
前言:為了社會安全及福祉及共同利益、對客戶的義務及其他人,我們必須遵守並展現出最高的行為道德標準
- 保護社會,公眾利益,公眾信任和信心, 基礎設施
- 有榮譽感,誠實,公正,負責,守法
- 提供客戶認真和專業的服務
- 精進和保護專業
注意:不能在公開場所討論考題
組織行為道德規範 例如 facebook code of conduct
https://s21.q4cdn.com/399680738/files/doc_downloads/governance_documents/2020/10/Code-of-Conduct-Oct-2020.pdf
有提到不遵守可能會影響獎金或是解聘
Image Not Showing
Possible Reasons
- The image was uploaded to a note which you don't have access to
- The note which the image was originally uploaded to has been deleted
Learn More →
也可以看 IBM 的
也有公司有所謂道德長 Chief of Ethics (CEO)
The CIA Triad P15
已經被講到爛了,最早提出來是用三角形的圖,幾乎一定會談到
這三個就是資訊安全要達到的主要目標
機密性:隱私或秘密性受到傷害,例如
- 洩漏 disclosure
- 資料外洩 data branch
2023年個資法修法罰則提高
目標是達到防止未經授權存取
未經授權是包含內部人員或外部人員
完整性:拿到的資料是完整正確一致的
反過來說 資料不完整不正確不一致,可能資料遭竄改 (竄改是tamper),這個字帶有負面意思
例如 firefox 以前有個外掛 tampler data ,可以幫你竄改資料再送出
包含資料從外部被人攻擊修改也算 unauthorized modification
例如台大平台成績全被改87分 原是資工系學生抓漏洞
可用性:要使用資料服務或系統(資產),需要處於可以使用的狀態
一個服務或一個資料或系統未達到可用性要求,就是中斷 disruption 、破壞destruction 、阻斷denial of service
99.9%的資安政策都會說 關鍵資產要達到機密可用完整
評估可用性的時候會用指標評估
定義方式有個公式,可以 Google availability calculator
例如這個網站 Uptime.is
SLA & Uptime calculator:
如果你要達到 99.9 (3個9)
Image Not Showing
Possible Reasons
- The image was uploaded to a note which you don't have access to
- The note which the image was originally uploaded to has been deleted
Learn More →
假設是5個9 ,英文說法叫five nine)
一天只能段 0.86秒,瞬斷就沒了
Daily: 0.86s
Image Not Showing
Possible Reasons
- The image was uploaded to a note which you don't have access to
- The note which the image was originally uploaded to has been deleted
Learn More →
普通的客戶可能要求 99.5,還算合理
- Daily: 7m 12s
- Weekly: 50m 24s
- Monthly: 3h 37m 21s
- Quarterly: 10h 52m 2.2s
- Yearly: 1d 19h 28m 8.8s
勒索軟體和 DDoS,都是可用性
勒索:感染系統加密資料,也是讓你中斷
DDoS:塞爆讓你中斷
參考內政部役政署的資安政策
確保本署業務資訊之機密性、完整性與可用性。
機密性:確保被授權之人員才可使用資訊。
完整性:確保使用之資訊正確無誤、未遭竄改。
可用性:確保被授權之人員能取得所需資訊。
機密性資料舉例
- 個資識別資料
- 醫療資料
- 律師跟委託人的談話
- 營業秘密
- 企業流程
- Mergers 兩家公司合併 & acquisitions (大併小) 的細節
Intergrity 完整性資料舉例
- 醫生的醫療指示 (例如一天吃10mg被改成100mg)
- 財務資料 (存款多一個0少一個0)
- 軟體更新 (軟體是否被竄改)
例如客戶自己有 Live Update server ,負責更新前面的設備韌體或軟體,結果server被入侵一包木馬 update 那一包被丟到終端設備,設備一更新就被放木馬進去
這個系統完整性被破壞就不值得信任,因為他不是按照原來去運作
舉例:木馬放到電腦,需要經過身分驗證嗎? 不用了,所以這個系統已經不能信任
人也有完整性?
間諜或是被買通的員工,已經不值得信任了,即使機密可能還沒洩漏,但這個人的完整性已經跟有缺陷了
為什麼有缺陷? 到職時有衡量誠信程度,但發現他被買通(量測)時,這個人的誠信程度被破壞了,所以是完整性的問題。
作業系統判斷要執行的軟體是否值得信任
開發者會幫軟體加上數位簽章,這個憑證有經由作業系統驗證過,是ok的
老師另外做一個偷偷改一個bit的,不影響運作
但是偷塞bit後,數位簽章判斷跟原始簽發的 Hash 不同就沒有過了,簽章會寫不信任
可用性資料舉例
garmin 資料被加密,影響不是只有手錶嗎?
其實他們公司還有負責美國輕航局飛行圖資,造成全美小型飛機全部停飛
https://www.ithome.com.tw/news/139166
遊戲主機被玩家入侵,原本三條命變成無限續命是影響什麼性? 完整性
勒索軟體是什麼? 可用和完整
廣達 蘋果 勒索事件
廣達不給贖金就公開資料
或是跟蘋果說不給就公布資料
https://www.ithome.com.tw/news/143958
都不給錢? 駭客組織就跟政府檢舉說他們公司發生資安事件沒通報
ISO 27000
有針對名詞進行完整的定義,之前免費下載的內容
機密性:
完整性:
可用性:3.36
NIST CSRS
可以說明美國的這些內容用到哪些辦法?
Autenticity and Non-repudiation P17
Autenticity 也會被寫上 proof of origin
意思是:資料來源是否能被信任?
- 來源 - 是否正確?
- 內容 - 是否正確?
Autenticity跟另一個字 Authentication 很像
- Authentication是身分驗證,他是一個流程,verify identity 去確認使用者身分,是一個動作
- Autenticity則是一個屬性
釣魚郵件為什麼很猖狂? 因為沒有其他方案的話,很難信任發信人 (可以偽冒 spoofing)
以前上CEH有個lab,可以偽造發信人欄位,用 telnet 就可以了
如果 email 有 Authentication,就可以信任了
Intergrity 是指內容有沒有遭到竄改
來源可以被信任,內容沒有被竄改兩者要同時達到,技術上可以一次兩個一起做到。
Authentication太長了,縮寫 authN 有大N
通常密碼學會用這兩種方式來達成信任這件事
- message authN code (縮寫 MAC)
- 數位簽章
Non-repudation 不可否認性
雖然MAC和數位簽章都是防止竄改內容,但是數位簽章同時可以達到不可否認性,比較好用
密碼學的時候多講一點
不可否認性:發送者不能否認他發送過這訊息是他發送的
不可否認性兩件事情:
- if sender can deny repudiate message 簽章類似背書的概念,蓋上公司章就不能否認有發布
- if users can erase their tracks 使用者做了一些行為不能否認 透過 audit log 來確認
但如果 audit log 被抹掉就出事了,所以同時要保護 audit log 不被刪除、竄改; 現在 log 都會號稱 tamper-proof 防竄改的意思
實務案例:
- 檢測發票是否被竄改
- 釣魚郵件竄改發信者 (也是 social engnerring 社交郵件類的攻擊)
- whaling attacks (針對公司關鍵成員 key personnel )
- phising email attack
- spear phising針對你客製化的釣魚郵件
- 數位鑑識
Privacy 隱私 P18
隱私的目標是要達成 compliance 遵循性
27001 資安管理制度
27701 隱私資訊管理制度 (PIMS 27701)
能不能直接驗 27701? 不行 要先過 27001
隱私兩個面向
- 非個資:不想讓人知道秘密(不一定是個資),例如我看了什麼網站我不想讓人知道,但這不是個資
- PII:可直接或間接識別個人的資訊,看到 PII 就是個資
有一些超級隱私,在某些國家這些個資甚至在法庭上都可以不公開,像是什麼呢?
- Doctor-patient 醫生跟病人之間的談話
- priest-penitent 神父跟告解者的對話 (神父 我是連續殺人犯,殺了很多人都沒被抓到,神父心裡很掙扎,但即使神父被叫去法庭問話,神父也可以不公開)
台灣有無這部分的法律呢? 刑事訴訟法 182條
https://law.moj.gov.tw/LawClass/LawSingle.aspx?pcode=C0010001&flno=182
下面這些人可以選擇不揭露
證人為醫師、藥師、助產士、宗教師、律師、辯護人、公證人、會計師或其業務上佐理人或曾任此等職務之人,就其因業務所知悉有關他人秘密之事項受訊問者,除經本人允許者外,得拒絕證言。
法律約束力最強,主管機關的行政命令稍弱
Safety (實體安全) P19
英文翻成簡中常常會造成模糊性,例如 Safety 安全 ,Security 也是安全
Safety 比較接近實體(人員傷亡死亡),跟OT環境較有關係,不只 IT 設備
例如透過IT設備監控鍋爐,監控錯誤鍋爐爆炸會產生傷亡,跟IT就不太一樣
Accidet 誤操作
Sabotage 故意破壞
IT環境不太會造成人員傷亡,2300萬個資外洩到國外,有人死掉嗎? 沒有
簡中翻譯不穩定的好笑例子:例如 CIA資安鐵三角(CIA triad),題目把 CIA 翻成中情局三角
資料錯誤外洩不一定是入侵
授權的:公權力介入 警方 消防隊 軍事行動造成斷水斷電斷網
非授權的:小動物觸電發生 人員誤操作, sabotage故意破壞
煉鋼廠金屬熔爐被惡意倒出融漿的影片
https://www.bbc.com/news/technology-62072480
駭客組織同時入侵監控系統,等人員離開才作破壞,還算有道德(?)
名詞定義很多書講的不一樣怎麼辦? 老師推薦看ISO定義
很多ISO的要錢,但剛好 27000 不用錢
從這邊進去 download
https://www.iso.org/standard/73906.html
這邊有下載點
https://standards.iso.org/ittf/PubliclyAvailableStandards/index.html
nist 也有 他是用字母順序排序
https://csrc.nist.gov/glossary

wiki 也是一個來源,但可信度要留意一下
來講 GRC 的 G 治理 P23
屬於 Corporate Governance 公司治理的環節
所有面向都是公司治理,大大小小都在公司治理,包含資安治理,跟決策有關的都是資安治理
台灣2018年金管會讓證交所當決策單位
何謂公司治理? 指導及管理企業的機制,目的是
- 落實企業經營者的責任
- 保障股東的合法權益
- 兼顧其他利害關係人的利益
主要機制:性質偏向防弊,但上面說的機制是什麼?
- 法令法規:法律
- 主管機關:主管機關的輔導 (有公司治理專責網站,輔導上市上櫃公司去作,建立公司治理機制)
- 內控機制:企業組織自律 (董事會組成要有獨立董事還有監事,這兩個就是監督,但很難作,做得好壞都有責任,做好會被修理進醫院、做不好就進法院) 某些公司有內控機制,也是組織自律
西元2000年內控造成顯學:美國有一些enron(假財報) worldcom,這兩個大公司造成很大的危害,美國頒布法案叫沙賓法案《沙賓·歐克斯法案》(英語:Sarbanes-Oxley Act),沒做好的話要去坐牢
冷知識:四大會計師事務所本來有五大,原本有一個安達信會計師事務所(Arthur Andersen),他們就是做enron的會計,但沒查核到假財報,從此就垮了
資安治理 - 資安要對齊 align 企業目標 P25
資安是要了解企業目標,協助企業達成,做不好可能會阻礙達成企業目標
公司常常訂明年營業目標,高層第四季年尾開明年目標 break down到部門 > 到個人目標
自己不能獨立訂一個跟公司無關的目標
假設目標營業額10億,公司有10萬筆PII,結果10萬筆個資洩漏出去,公司受到最高罰款1500萬,營收少1500萬,加上賠償當事人,假設賠到上限2億,馬上少了2億
怎麼做資安治理 ? P26
可以參考這兩個的規範
Governing Body 有兩類
- 董事會BoD(小公司就是負責人自己做)
- 委員會committee(跨部門編組,薪酬委員會 審計委員會都是這種)
Governing Body的任務
- 任務1. 評估 Evaluate
-
-
- 任務2. 下指導 Direct
-
-
- 任務3. 提供proposal文件
例如有個競爭對手,要比他好
- 目標:證明服務資安品質
- 策略:請第三方提出證明
Top Management 資安長 (CSO CISO)
根據我的理解,ISO 27001 第三方驗證具有公信力
可參考 台積電例子:台積電資訊安全組織
(https://investor.tsmc.com/chinese/information-security)
怎麼建立資安管理制度? 文件化 P27
有 4 種文件,前3種在 ISMS 裡面是強制要有的,不然描述不夠完整
- 政策 policy ,為什麼要做資訊安全 Why,組織的最高指導原則,管理階層的承諾,通常都是1階文件
- 標準 Standard,全組織說要做到的 What
*. 例如密碼規定長度多長、多久要改;
*. 防毒規定 筆電等終端設備要安裝;
*. 每年要資產盤點風險評鑑。
*. 其實顧問比較常會用程序書 控制程序,ISO可能也叫 2 階文件,功能性的政策 functional policy,功能性沒有大政策這麼高,新版 27001 用了一個名詞叫 topic specific 意思是特定主題的政策
- Procedures ,就是 SOP,3階文件, How 具體說怎麼操作,裡面包含 step by step 一步步的描述
- guidelines 不一定要有,僅供參考 FYI,如果組織內沒有專家不知道怎麼制定,可以參考外部指引 ISO 或 美國聯邦政府NIST 或PCI 或 OWASP 的規範等等
Operationalizing Frameworks (PDCA)
制度要讓它動起來持續改善,要透過 Procesing model ,最常見的就是 PDCA
執行要確定有效,有提到要達成的目標和策略,有無達到方向是否走偏
所以要做PDCA的 A 就是 Improvement ,持續改善
Roles and Responsibilities (角色和責任 R&R)
另一個是 P&P Policy and Produceres 政策與程序
Governing Body 有那些角色呢?
- 策略階層 Strategical
-
- Senior management (CEO/ COO/CIO/CISO CSO/CTO/CFO etc…) 有 C 的系列
-
- 例如資安政策訂完,要高階主管核定,就是這個層級要做的事
- 戰術 tactical 制定行動計畫 standards、procedure
-
- Security manager/officer/director
- 執行 Operational 的人,像是網管人員
-
-
- 系統管理員 技術作業人員 Administrators/techincans
-
Due Care and Due Diligence P30
Due 來源是拉丁文 = Proper 適當的
Due care 意思是:應該要採取、應該要做的 should do,所以要去做某些措施或行為,必須謹慎和合理
例如有個資,要怎麼保護? 謹慎和合理 的措施
要有權限設定 不能直接丟 fileserver
資料要加密 要合理的加密方式
- 有一個詞 prudent man rule(謹慎的人規則) 一般情況下會處理的做法,通常跟疏失 neglience 會有關連
Due Diligence 事前要分析 (To know)
- 事前評估:例如個資保護的作法有無符合上級或主管機關要求 (所以要去看個資法)
- 事後追蹤:執行後還要 Followup 和 monitor,看法規或是技術是否有更新,持續評估
Organizational Processes 組織的決策可能對資安造成影響
- 合併跟併購 Mergers & acquisitions 可能對資安造成影響
台哥大和台灣之星併購,台哥大可以直接取得台灣之星的個資嗎?
當時台灣之星跟客戶簽約是僅限於台灣之星範圍,台哥大要重新跟客戶簽個資收集才能拿
企業併購與資料隱私 – 收購方應注意事項(https://www.pwc.tw/zh/services/legal/point-view/legal-clouds/legal-clouds-2204-1.html)
- 切割Divestitures 部門分割出去變獨立法人
資料洩漏的問題 Data disclosure
- 合作夥伴 競爭對手 供應商 客戶 等等利害關係人 Partnering, strategic, supplier/customer relationships
例如
- 客戶的密碼只要長度8,沒有複雜度要求,到時候被偷走說是我們的問題
- 供應商有物流業,供貨物流廠商在外包裝上個資裸露造成外洩
會不會考 27001 條文? 不會,但是了解27001可以幫助了解觀念
ISO 27001 是主流條文,例如風險管理觀念,在 27001 也有,通用觀念是相同的
其他例子,但這些例子出現的機率不高
- nist 的 csf 框架
- SSAE 是由美國會計師協會(AICPA)制定的一組審計和鑒證標準。
- GDPR 歐盟個資外洩,多少時間內要通報到主管機關
GRC 的 C Compliance 遵循 1.4 1.5 P35
Compliance 翻合規 遵循性ok,法遵就比較狹隘(因為還有包含內規)
The Legal Environment ,指 對組織有強制性mandatory
- 法律
-
-
- 國際法規 (GDPR 歐盟或其他單位的跨國法規)
- 合約
- 公司內規
Control 翻成 控制措施,或是資安控制措施 P35
控制措施主要達成:
- 資安目標 :CIA
- 緩解風險

- 控制可以降低風險,例如管理類的
- 資訊安全風險管理計畫 降低服務中斷風險
- CCTV 也是一種控制措施,實體類的,可以偵測有無人進入指定場域
- 防火牆也是一種控制措施,網路存取類
不能隨便建立控制措施,必須有效 (前面的 Due care and Due Diligence)
Demonstrating Compliance,稽核會看是否有效(due diligence),所以要 compliance 27001,就可以在稽核報告展現
ISO27002 : 新版四大類控制措施
NIST SP 800-53 : 分類較細共20類
PCI DSS :支付卡產業
CSA :199個控制措施
SWIFT's :雲端
ISO 27001 也可以看標檢局 CNS 的中文版,比較便宜(或是線上是看)
但某些翻譯不太好,例如 Owner 以前都翻成擁有者,新版的問題
資產Owner翻成當責者
風險Owner翻成擁有者
明明是同一個字…
為什麼要有資安要求 Why? P36
- 法規 主管機關要求 Laws, regulations, or the government actions (時程最急)
不用很頂尖也可以達成,因為需求太高了,資安法影響政府機關>主要供應商>分包公司
- 標準 Stndards, Mandatory, "genreally accepted" or advisory 在台灣大家都用 27001,顯得你不做就落後了,驅動你去做 (時程次急)
- 合約要求 Contractual(such as PCI DSS) ,外部驅動的
-
- 為什麼要用 PCI DSS舉例? 這是支付卡規範,PCI是五大發卡組織,要進入到這個生態,就會要求要遵循這些合約規範
Privancy Protction 隱私保護 P37
全球這麼多國家有制定專法的超過一半,算很普遍
在這個框架通常有幾個角色
- Controller:收集 處理 應用別人個資的。 例如我們公司請人簽個資使用同意書或是收集員工資料
- Processor:接收 Controller 的委託,例如公司收集員工資料,公司把個資放到 104 個資系統,104 就是公司的 Processor
- Subject:被收集個資的當事人
三者各自有責任和權力,Controller 責任最重,少部分規範到Processor
如果法規沒有要求 Processor,那就是 Controller 要自己約束 Processor
- subject 有 Right to be Forgotten (被遺忘權,可以要求刪除),首次出現在西班牙
台灣個資法也有
- Data Portability 可攜權,個資在不同Controller 間可以移動
台灣個資法沒說這麼多,我在A醫院照過X光,可以請A醫院轉到B醫院
- Data Localization 資料要在境內
台灣在個資法有一些些,但沒有 GDPR 那麼明顯,台灣主要是放在國際傳輸
個資法21條
https://law.moj.gov.tw/LawClass/LawSingle.aspx?pcode=I0050021&flno=21
非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之:
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
例如遊戲廠商 IP 在中國大陸,會被禁止,但是跳板先到新加坡再往中國就會被繞過
Privacy Example 隱私法規案例 P38
- 美國
-
-
- 第四修正案保證人們的人身安全及財產免遭非法搜查和扣押。
-
- 主因是美國911後公布的愛國者法案,因為這個法案會讓執法單位擴權後要保護人民隱私,所以增加第四修正案
- 歐盟
-
-
- EU Directive 2002/58/EC 本來是針對電子隱私的規範,通訊要怎麼保護,但這是舊版的,新的是 ePrivacy Regulation (老師 update而已 應該不會考)
-
-
- GDPR兩個目的,(1)達成CIA (2)Security Controls
OECD 隱私保護8大基本原則 P39,1980出來 2013小改版,很多國家都有參考這份
管理者收集個資,要有
例如我使用電子購物買東西,為什麼要我的身分證字號? 不合理
如果我是電子購物賣家,合理收集但你就要妥善保管
-
- 資料品質
職缺說不能有前科 有個人他去應徵都沒上,明明沒前科,結果是警察局key資料輸錯身分證字號
-
- subject 當事人權利,可看台灣個資法 第 3 條
當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:
一、查詢或請求閱覽。
二、請求製給複製本。
三、請求補充或更正。
四、請求停止蒐集、處理或利用。
五、請求刪除。
-
- 公開原則
上面這些東西必須要公開,要給一個窗口(電話 email)方便讓人聯絡
GDPR 99條文,其實是6項隱私原則 P40
自動化方式應用個資,例如使用演算法判定某一個人喜好是什麼,這就是不公平
booking 知道你特別喜歡定某個旅館,因為知道你喜歡就給你這家喜歡的旅館貴一點價格(反正你喜歡還是會買單),這就是不公平
Transborder Data Flow
GDPR 預設 deny(禁止)
例外原則,其中一個是國家等級
例如預設不准輸出到國外,但某個國家隱私要求跟GDPR相當,適足性就 :可以輸出
Countries of adequacy 適足性原則,亞太地區 新加坡 日本都在裡面,台灣沒有
驅動個資法相關 P44
Cybercrimes and Data Breaches 網路犯罪與資料外洩 P45
法律其實跟不上技術發展,台灣只有刑法36 妨礙電腦使用罪
如果知道資料外洩要通報,要通報2個角色
- 主管機關Authority GDPR 要求 72 小時通報
- 當事人
ISC2 對考題很嚴格,例如答對率90%以上可能就會拿掉這題目(沒鑑別力)
Ransomware 除了是網路犯罪,同時也會偷走資料,如果是針對資料加密
DDoS 阻斷服務就是單純屬於網路犯罪
智財權 (俗稱 IP) Protection Intellectual Property P46
要 表達出來expressed 才算數,假設我看到有人寫書,然後說我10年前就想到,這樣想要主張書本作者侵權是沒用的,因為我沒有表達出來
範圍包括音樂 影片 電影 演算法(方法) ,數位紀錄或其他表達方式
- 專利 (10~15年),失效後別人就可以用
- 著作權,完成當下就獲得,認定很輕鬆
- 商標法
- 營業秘密 Trade secrets
-
- 但營業秘密必須要做 due care,有做適當保護才算營業秘密,司法院有判例,公司沒有告知員工哪些是秘密就不行
上述這些法條都伴隨刑事責任
對組織來說做兩件事:
- 自己要保護好: 簽保密協議、限制付費使用、 DRM 數位版權管理
- 不要侵權 No infringement:用別人資料是否是合理使用,例如教科書1000頁,老師印10頁給學生當補充資料還算合理,印500頁可能有點誇張了
輸入與輸出控制限制 P47
- 輸入控制
-
- 這些國家的東西常常有限制 俄羅斯 中國大陸 烏克蘭
例如某個機架上面鍵盤刻了 made in china,就不行
- 輸出限制 出口也有限制
-
- 國際公約 Wassenaar arrangement,40幾個會員國列了一個清單,包含各種商品 IT技術資安技術,要求不能輸出到某些國家(台灣中國 北韓南韓),因為這樣輸出可能影響到區域平衡
這些規範可能會衝擊到一些隱私保護的東西,利用使用演算法加密限制保護這些東西,例如對稱式金鑰超過某個長度 RSA 512bit,就需要送審
隱私框架 Privacy Framework P50
- AICPA 美國註冊會計師協會 PMF
- 另一個框架是 SSAE SOC report
- BS 10012
- 2019年後 ISO 框架出來了多一個 27701 PIMS 隱私框架
資安框架 Cybersecurity Framework P51
- ISO 27001/27002
- NIST Cybersecurity Framework (CSF) 本來是給關鍵基礎設施的,但框架很好用大家都拿來用, 2023/11/19 目前1.1快要出2.0了
- CSA(Cloud Security Alliance) 雲端安全聯盟的 STAR,這個是可以驗證的 L1自評,L2找第三方驗證 例如BSI https://www.bsigroup.com/zh-TW/CSA-Star-Certification/
- HITRUST 知名度不高
- 英國政府使用ITIL框架解決管理的問題,OSG有出現 ITIL
風險管理框架 P52
看看 NIST RMF 風險管理框架
從 Prepare 開始順時針走,800-37 就是在講這個圖詳細該怎麼做,完整資料可以點圖片觀看
每個步驟都對到 NIST 條文

nist 800 很好用,缺點是?
為了考試可以重點參考就好,學關鍵字
控制措施框架 Security Controls Framework P53
- SWIFT's Customer Security Controls Framework SWIFT是跨境匯兌封閉網路
-
- PCI DSS 支付卡產業,12個大項要求
-
- CSA 針對 IOT物聯網框架 SCF
- NIST SP 800-53 少數有baseline概念的框架,題到根據資產重要性(高中低),給予的 baseline 不一樣
Personnel Security Policies and Procedures 人員安全,人資流程有關的 1.9 P58
Candidate Screening and hiring
- Job descriptions 需要哪種人 要那些技能
- 驗證references 例如成績單 證照真偽
- 求職歷史 前公司工作情形
- 人員背景 有無犯罪紀錄
- 評估財務狀況 (容易遭受社交攻擊賄賂)
特斯拉案例,駭客想放勒索軟體進內網,於是在網路上找特斯拉員工100萬美金,請他把勒索軟體帶進去
注意:即使人員不符合部分公司規定,但如果高層覺得有特殊專才,還是可以破格任用
錄用後要準備什麼? P61
- 員工守則
- 聘僱合約
- 保密協議(Non-disclosure agreement,NDA)
Onboarding 到任的時候、調部門 Transfers 或離職Termination P62
Onboarding 到任的時候
- 簽屬保密協議 Sign NDA
- 教育訓練 Training (公司資安相關)
離職 Termination
- 非友善離職(非自願離職) 員工可能懷恨在心要小心,停用使用者帳號 Suspend user account,離職生效前就要做 (刪除remove或停用disable,或是公開的客服帳號信箱就改密碼)
- Review NDA
例如 NDA 有分行政人員和技術人員,技術人員罰則不一樣,員工 onboard是行政,職位轉移變成技術人員,入職簽的是否充足?
保密協議NDA P63
分成很多名詞或形式
- 單向NDA (甲方要求乙方簽)
- 雙向的 (甲乙互相要求保密)
- 多邊的 (甲乙丙三方)
Compliance Policy Requirements P64
- AUP 一些更細部的政策,位階大概第二階,教育訓練時要告知員工
- Data Access
- System Access
- Data discloscsure
…
員工會接觸到個資,需要求員工保護 P65
PII PHI (H是Healith 健康),例如 HR
針對外部人員 (供應商 合約商 顧問) P66
- 合約限制,把資安要求和罰則寫上去
- 教育訓練
- Access restriction 存取限制
- Distinguished identification識別證要一看就知道是訪客
- Escort 要有人陪伴
案例
- 軍方有端點偵測有無插隨身碟(小企鵝),新廠商不知道資安規定,帶隨身碟進去沒被檢查到,廠商想要分享帶的技術文件,隨身碟往電腦一插,就被記警告了
- 軍方網路有隔離,但是隨身碟可帶進帶出,如果要用隨身碟可以申請,某軍官在辦公室工作,時間太晚就把文件copy回家,用家裡電腦作業,結果家裡電腦其實有中毒,病毒感染了隨身碟;隔天隨身碟插回軍方電腦,病毒就在軍網亂竄了
- 某政府單位程序 VPN 停用,廠商要申請提出 理由+期間,才能開 vpn,廠商到 vpn 還要進跳板機監控行為,時間到就停用帳號 (Access resttiction)
接下來要講 GRC 的 Risk 風險管理 (1.9 1.10)
風險的定義 Definitions P71
Risk 風險
- 對 CIA來說會有 影響 和 不確定性 (ISO 31000)
風險怎麼會發生呢? 要兩個條件同時成立
- 資產有弱點 Vulnerability (資產包含 人員 硬體 軟體 服務 資料)
- 弱點有相對應的威脅 Threat
舉例 http/2 有弱點,但很難寫出攻擊,威脅就很難發生
所以新版 27001:2022 增加一個 收集威脅情資,不搜集就不知道有對應的威脅
有弱點有威脅,但影響等級不見得完全一樣,例如
- 資產在 DMZ和內網,同一個弱點威脅,可能性 Likelihood 會不同
- 資產價值不同,造成的衝擊 Impact/Consequence 也
Hazard 危險因子
讓你的危險性提高的潛在因子,例如半導體機台很怕震動,廠房在一個常常地震的地方,地震就是一個危險因子
從框架到實務流程 From Framewoks to Workflows: risk managed P72
不只用在設計階段,也可以用在系統或軟體開發,用在整個 SDLC life cycle
Risk Management Framework RMF P73
NIST CSF
預計要發 2.0 的時程

看這個框架最有價值的地方 後面有 Informative references 看來源對應關係

舉例
- AM-1是要實體盤點
- AM-2是要軟體盤點
如果看不懂,可以看後面的參考文件學看看他想表達什麼意思

風險管理程序
1.資產盤點
重要資產 (不重要的不用點,例如電腦桌不用點)
資產重要性 (資產分級)
- 風險評鑑/風險評估risk assessment ,分三個步驟
- 風險識別 找威脅和弱點
- 風險分析 Risk Analysis 找影響和可能性
- 風險評估 列高中低
- 風險評估可以產出風險清冊,找出可接受和不可接受的風險
- 風險處理
- 不可接受的風險,要做處理
其實風險評鑑是要循環一直做的有兩個時機點
- 定時每年
- 重大變更時,例如法令法規修法 外部要求有變動時 (個資法修法 罰金變貴了,重新檢討一次),或者是系統/軟體等有大幅度變動的時候。
風險分析 Risk Analysis P75
兩種方法,有定性分析和定量分析
定性分析 (主觀)
定量分析 (客觀)
- 例如 3個月發生一次就是低 (前面的3個月其實類似定量了)
- Imact:財務性損失去描述 需要跟相關人員討論才知道,不好定義
- 某些資產很難給財物損失,例如抽象資產 公司的聲譽 reputation 受損很難估計
實務上採用定性評估較多,或者是混合
風險評估時,風險誰來決定能否接受? P76
高階管理階層決定
Determine risk level
召集人核准風險等級或是管理階層同意風險等級
通常採用5*5 Risk Matrix (風險矩陣)評估
風險處理 P77
- Risk Mitigation 緩解 降低風險
- 減少可能性戶衝擊
- ISO 27005 ,也叫 RISK Reduction
- Risk Avoidance 風險迴避
- Risk Transference 風險轉嫁給第三方
- 保險公司
- 委外廠商 例如金流技術我不熟,就委外處理
- Risk Acceptance 接受風險 最常被濫用
- 接受並不是兩手一攤接受,是暫時保留風險持續監控
- ISO 27005 叫做 Risk Retention (風險保留)
Risk Treatment Decisions P78
用途
- 風險量化分析
- 選擇控制措施時可以做風險效益分析
SLE = AV * EF
單次損失Single Loss Expectancy= (資產價值 Asset Value) x (發生一次造成多少%的損失 Exposure Factor)
例如 單次損失$20W = 資產價值$1M x 損失程度20%
ALE = SLE(衝擊) * ARO(可能性)
假設ALE 40w
- 某控制措施A實施上去後,ALE變成 20w,少損 20w,這個控制措施帶來的效益是 20w
- 某控制措施B實施上去後,ALE變成 10w,少損 30w,這個控制措施帶來的效益是 30w
- 假設其他條件不變,控制措施B更好
風險評鑑很多種切入方向 Four Perspectives on Risk P80
Asset-based 資產角度
Outcome-based 外部影響程度
Vulnerability-based 弱點切入
Threat-based 威脅切入
Threat Modeling 風險評鑑+風險處理,不過是從威脅切入
軟體開發設計階段常用 Threat modeling 切入,domain 8 細講
STRIDE By Microsoft
STRIDE 模型
為了協助您更加清楚地闡述上面指出的這些問題,Microsoft 使用了 STRIDE 模型,它會將不同類型的威脅分類,並簡化整體安全性對話。
類別 |
描述 |
詐騙Spoofing |
涉及不合法的存取然後使用另一個使用者的驗證資訊,例如使用者名稱和密碼 |
竄改Tampering |
涉及惡意資料修改。 範例包括未經授權變更持續性資料 (例如保存在資料庫中的資料),以及修改在兩部電腦之間透過開放式網路 (例如網際網路) 流動的資料 |
Repudiation |
與拒絕執行動作但沒有其他任何一方有辦法另外證明的使用者有關,比方說,使用者在無法追蹤禁止作業的系統中執行非法作業。 不可否認性是指系統反擊否認性威脅的能力。 例如,購買項目的使用者在收到項目時可能必須簽名。 接著,廠商可以使用已簽署的收據做為使用者確實收到包裹的證明 |
洩露資訊Information Disclosure |
涉及將資訊暴露給不應該具有其存取權的個人,例如,使用者可以讀取它們未被授權存取的檔案,或入侵者能夠讀取在兩部電腦之間傳輸的資料 |
拒絕服務 |
阻斷服務 (DoS) 攻擊可阻斷對有效使用者提供的服務,例如,藉由讓網頁伺服器暫時無法存取或無法使用。 您必須保護特定類型的 DoS 威脅,即可改善系統可用性和可靠性 |
提高權限 Elevatin of Privileges |
無特殊權限的使用者會取得具有特殊權限的存取,故有足夠的存取權可入侵或摧毀整個系統。 提高權限威脅包含攻擊者已有效地滲透所有系統防禦,而攻擊者本身成為受信任系統一部分的情況,的確是很危險的情況 |
跟控制措施有關的名詞 P84 (寫太少回家要補)
控制措施分不同型態 P85
3大型態
27001 也是這樣分,只是拆成 組織類 和 人員類
老師:ISO 27001-2022 分成四大類,2013是三大類,某些覺得控制項是技術類,但2022被分類到組織類
Security Control Categories 分成7個分類 P86
- Directive 指導類:跟政策有關 要求人員遵守行為
- Deterrent 嚇阻類:降低攻擊意願,提高攻擊成本,例如違反資安規定罰薪10%
- Preventative 事前預防:IPS 可以阻擋 FireWall 也可以
- Detective 事件發生中偵測:IDS可以偵測 ,log review 也是
- Corrective 事發應變(矯正): CSF 用的名詞是 Response回應,例如發生火災,滅火就是這種 (拔網路線 關電源)
- Recovery 事後還原:中毒就重灌也算在這裡,有備援機也算這一種
- Compensating 補償性作法,替代方案:這邊有一個 Backup,不是備份,是替代方案 alternative,例如我環境不能裝防毒軟體,替代方案是裝白名單軟體 ,例如公共環境設備已經 EOS,只好用白名單管理。 注意,補償性作法必須是跟原本不一樣的做法,所以才叫補償或替代。
選擇哪種控制措施 Control Seletion P87
- Baseline approach (外部要求)
- 企業自己產生 (通常是參考框架不會是自己生)
Minimum Security Requirements 最小要求 P88
有 baseline 的概念
Effective requrements 制定控制措施時要跟利害關係人討論
- 例如資產擁有者、高層管理者
- 假設資產分成高中低,各要那些措施,要實務一點,可以量測
- 文件化
- 組織大家同意
Example: Data Security Baseline 美國聯邦政府 CSF 舉例 P89
- Categorize 就會做資產分級
- Select 選擇控制措施
其實資安法也有,可以參考 資通安全責任等級分級辦法 附表十 資通系統防護基準.PDF 這就是 baseline 的概念https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304

其實有漏洞,例如故意把自己列入普級,就可以少做一些控制措施
Monitoring Measuring and Reporting 監控 量測有效性與跟管理階層回報 控制措施評估 P91
可以達到三個目的
- Operational Needs 營運需求
- Management Needs 管理階層的需求
- Compliance / Regulatory Needs 遵循性
舉例:WAF本來目的是保護網頁應用程式,監控沒有看即時回報,某天發現WAF監控一段時間就會重置 reset,結果這個 Reset 造成設定的規則就回到原廠設定,防護就變弱了
風險管理成熟度評估 P92
目前沒有好的做法,但有參考能力成熟度 CMMI 1~5
但CMMI是軟體開發的
- 某廠商的例子 (自評表) P93,要再找資料
- 美國國防部 DoD cmmc (供應商)
- OWASP SAMM (軟體開發)
第 8 章會再說
第三方監控 供應商 1.12 P96
硬體商 軟體商 都算供應商
檢查供應商的方法有這些
- 治理類 (有無 ISO 270xx)
- Site Security Survery 實體檢查 (看機房 實體安全)
- Formal Security audit 簽好合約每季稽核
- 滲透測試
相關標準有
- ISO 270XX
- CSA STAR
- AICPA SSAE 20
供應商服務品質要求 SLA P98
對服務品質設定目標,量測他是否有達到
另一個名詞 SLO Object
例如使用 GCP ice服務,你用 vm SLO 可用性 99.9,我們可以量測否有達到。
Customer-baser 可以根據不同客戶制定不同 SLA ,一般的就隨便
Service Based 客戶來用就 follow 我的 SLA,例如 Google 有 4 種 SLA
參考來源 Google SLA https://cloud.google.com/compute/sla
Covered Service |
Monthly Uptime Percentage |
Instances in Multiple Zones |
>= 99.99% |
A Single Instance of Memory Optimized family* |
>= 99.95% |
A Single Instance of all other families** |
>= 99.9% |
Load balancing |
>= 99.99% |
教育訓練 P103
可以分成三種
- Education 教育
- Explains theories or concepts 解釋理論或概念(cissp課程就放在這裡) ,廣泛性,中高階人員
- Training 訓練
- Awareness 認知
教育訓練課程種類 P104
- 面對面實體課程
- 線上課程 Online synchronouse training
- 預錄課程 Cimputer-Baser training CBT
- 協做平台 Remote collaboration platforms
- 看新聞 Regular communications
- 微訓練 Microtraining (短於1分鐘)
教育訓練教材要定期更新 P105
客製化的課程常常需要一直要改,老師不太愛接這種case
教育訓練也要量測有效性 P106
- User Participation 課後測驗是一種常見方式
- Social engineering response 社交工程回應
- Log reviews 看有無違反政策的異常狀態