Cissp Domain 1 Security and Risk Management 安全與風險管理

CIA 三個觀點 GRC

CIA機密可用完整已經被講爛了

• Govermance 治理
• Risk 風險
• Complience 遵循性

新的議題 ESG，離資安比較遠，但 ESG 的 G 也是治理

Professional Ethics 職業道德 投影片 P7

特殊職業 因為職業屬性關係，對從業人員要求較高的道德
如果沒有好好規範，濫用職業技能會造成危害
公務員 律師 醫生 軍人 警察 資安人員

道德是基於這四個

• local and international legislation 立法，約束力最高
  舉例 法務部主管法規查詢系統有：公務員廉政倫理規範
  https://mojlaw.moj.gov.tw/LawContent.aspx?LSID=FL046407
  請公務員喝一杯飲料，他們都不敢喝(自我道德要求較高)，這個法律規範裡面就提到 新臺幣三千元以內算是一般人社交往來，同一年同一來源最高一萬元
  後面也有罰則，其實約束力很強大
• standards 組織或企業講好一致遵循的標準或規範
  standards 有兩個意思，iso 國際標準是一種，另外一個是 整個組織要一致遵循的規範，例如全公司密碼規定，這也是一種 standards。這裡說的是後者，把希望員工作的或是不要員工做的訂一個規範
  參考 ISC2 Code of Ethics 或是 ec council code of ethics 或是 isaca code of ethics
• religious code 宗教的規範 摩西十戒 不殺生
• hheritage 約定俗成 ，心理默認的道德標準，但隨時代演進可能會對傳統不認同，所以難以達成一致作法，例如博愛座是否讓做的標準

–-刷題模擬考題

ISC2 Code of Ethics 說了什麼? 投影片P10

前言：遵守行為道德規範
四條規則原則 Canons，越上面優先度越高

Roland 老師給的 Chapter 1 ISC2 Code of Ethics 不負責任翻譯
不負責任翻譯
前言：為了社會安全及福祉及共同利益、對客戶的義務及其他人,我們必須遵守並展現出最高的行為道德標準

1. 保護社會，公眾利益，公眾信任和信心, 基礎設施
2. 有榮譽感，誠實，公正，負責，守法
3. 提供客戶認真和專業的服務
4. 精進和保護專業

注意：不能在公開場所討論考題

組織行為道德規範 例如 facebook code of conduct

https://s21.q4cdn.com/399680738/files/doc_downloads/governance_documents/2020/10/Code-of-Conduct-Oct-2020.pdf

有提到不遵守可能會影響獎金或是解聘

也可以看 IBM 的

也有公司有所謂道德長 Chief of Ethics (CEO)

The CIA Triad P15

已經被講到爛了，最早提出來是用三角形的圖，幾乎一定會談到
這三個就是資訊安全要達到的主要目標

機密性：隱私或秘密性受到傷害，例如

• 洩漏 disclosure
• 資料外洩 data branch

2023年個資法修法罰則提高

目標是達到防止未經授權存取
未經授權是包含內部人員或外部人員

完整性：拿到的資料是完整正確一致的

反過來說 資料不完整不正確不一致，可能資料遭竄改 (竄改是tamper)，這個字帶有負面意思
例如 firefox 以前有個外掛 tampler data ，可以幫你竄改資料再送出
包含資料從外部被人攻擊修改也算 unauthorized modification
例如台大平台成績全被改87分 原是資工系學生抓漏洞

可用性：要使用資料服務或系統(資產)，需要處於可以使用的狀態

一個服務或一個資料或系統未達到可用性要求，就是中斷 disruption 、破壞destruction 、阻斷denial of service

99.9%的資安政策都會說 關鍵資產要達到機密可用完整

評估可用性的時候會用指標評估
定義方式有個公式，可以 Google availability calculator

例如這個網站 Uptime.is
SLA & Uptime calculator:
如果你要達到 99.9 (3個9)

假設是5個9 ，英文說法叫five nine)
一天只能段 0.86秒，瞬斷就沒了
Daily: 0.86s

普通的客戶可能要求 99.5，還算合理

• Daily: 7m 12s
• Weekly: 50m 24s
• Monthly: 3h 37m 21s
• Quarterly: 10h 52m 2.2s
• Yearly: 1d 19h 28m 8.8s

勒索軟體和 DDoS，都是可用性

勒索：感染系統加密資料，也是讓你中斷
DDoS：塞爆讓你中斷

參考內政部役政署的資安政策
確保本署業務資訊之機密性、完整性與可用性。
機密性：確保被授權之人員才可使用資訊。
完整性：確保使用之資訊正確無誤、未遭竄改。
可用性：確保被授權之人員能取得所需資訊。

機密性資料舉例

• 個資識別資料
• 醫療資料
• 律師跟委託人的談話
• 營業秘密
• 企業流程
• Mergers 兩家公司合併 & acquisitions (大併小) 的細節

Intergrity 完整性資料舉例

• 醫生的醫療指示 (例如一天吃10mg被改成100mg)
• 財務資料 (存款多一個0少一個0)
• 軟體更新 (軟體是否被竄改)
  例如客戶自己有 Live Update server ，負責更新前面的設備韌體或軟體，結果server被入侵一包木馬 update 那一包被丟到終端設備，設備一更新就被放木馬進去

這個系統完整性被破壞就不值得信任，因為他不是按照原來去運作

舉例：木馬放到電腦，需要經過身分驗證嗎? 不用了，所以這個系統已經不能信任

人也有完整性?

間諜或是被買通的員工，已經不值得信任了，即使機密可能還沒洩漏，但這個人的完整性已經跟有缺陷了
為什麼有缺陷? 到職時有衡量誠信程度，但發現他被買通(量測)時，這個人的誠信程度被破壞了，所以是完整性的問題。

作業系統判斷要執行的軟體是否值得信任

開發者會幫軟體加上數位簽章，這個憑證有經由作業系統驗證過，是ok的
老師另外做一個偷偷改一個bit的，不影響運作
但是偷塞bit後，數位簽章判斷跟原始簽發的 Hash 不同就沒有過了，簽章會寫不信任

可用性資料舉例

• 飛航管制資料
• 工業控制流程
• 個人財務醫療紀錄

garmin 資料被加密，影響不是只有手錶嗎?
其實他們公司還有負責美國輕航局飛行圖資，造成全美小型飛機全部停飛
https://www.ithome.com.tw/news/139166

遊戲主機被玩家入侵，原本三條命變成無限續命是影響什麼性? 完整性
勒索軟體是什麼? 可用和完整

廣達 蘋果 勒索事件
廣達不給贖金就公開資料
或是跟蘋果說不給就公布資料
https://www.ithome.com.tw/news/143958

都不給錢? 駭客組織就跟政府檢舉說他們公司發生資安事件沒通報

ISO 27000

有針對名詞進行完整的定義,之前免費下載的內容
機密性：
完整性：
可用性：3.36

NIST CSRS

可以說明美國的這些內容用到哪些辦法?

Autenticity and Non-repudiation P17

Autenticity 也會被寫上 proof of origin

意思是：資料來源是否能被信任?

1. 來源 - 是否正確？
2. 內容 - 是否正確？
   Autenticity跟另一個字 Authentication 很像

• Authentication是身分驗證，他是一個流程，verify identity 去確認使用者身分，是一個動作
• Autenticity則是一個屬性

釣魚郵件為什麼很猖狂? 因為沒有其他方案的話，很難信任發信人 (可以偽冒 spoofing)

以前上CEH有個lab，可以偽造發信人欄位，用 telnet 就可以了
如果 email 有 Authentication，就可以信任了

Intergrity 是指內容有沒有遭到竄改
來源可以被信任，內容沒有被竄改兩者要同時達到，技術上可以一次兩個一起做到。

Authentication太長了，縮寫 authN 有大N

通常密碼學會用這兩種方式來達成信任這件事

1. message authN code (縮寫 MAC)
2. 數位簽章

Non-repudation 不可否認性

雖然MAC和數位簽章都是防止竄改內容，但是數位簽章同時可以達到不可否認性，比較好用
密碼學的時候多講一點

不可否認性：發送者不能否認他發送過這訊息是他發送的

不可否認性兩件事情：

1. if sender can deny repudiate message 簽章類似背書的概念，蓋上公司章就不能否認有發布
2. if users can erase their tracks 使用者做了一些行為不能否認 透過 audit log 來確認

但如果 audit log 被抹掉就出事了，所以同時要保護 audit log 不被刪除、竄改； 現在 log 都會號稱 tamper-proof 防竄改的意思

實務案例：

• 檢測發票是否被竄改
• 釣魚郵件竄改發信者 (也是 social engnerring 社交郵件類的攻擊)
• whaling attacks (針對公司關鍵成員 key personnel )
• phising email attack
• spear phising針對你客製化的釣魚郵件
• 數位鑑識

Privacy 隱私 P18

隱私的目標是要達成 compliance 遵循性

27001 資安管理制度
27701 隱私資訊管理制度 (PIMS 27701)
能不能直接驗 27701? 不行 要先過 27001

隱私兩個面向

1. 非個資：不想讓人知道秘密(不一定是個資)，例如我看了什麼網站我不想讓人知道，但這不是個資
2. PII：可直接或間接識別個人的資訊，看到 PII 就是個資

有一些超級隱私，在某些國家這些個資甚至在法庭上都可以不公開，像是什麼呢?

1. Doctor-patient 醫生跟病人之間的談話
2. priest-penitent 神父跟告解者的對話 (神父 我是連續殺人犯，殺了很多人都沒被抓到，神父心裡很掙扎，但即使神父被叫去法庭問話，神父也可以不公開)

台灣有無這部分的法律呢? 刑事訴訟法 182條
https://law.moj.gov.tw/LawClass/LawSingle.aspx?pcode=C0010001&flno=182
下面這些人可以選擇不揭露
證人為醫師、藥師、助產士、宗教師、律師、辯護人、公證人、會計師或其業務上佐理人或曾任此等職務之人，就其因業務所知悉有關他人秘密之事項受訊問者，除經本人允許者外，得拒絕證言。

法律約束力最強，主管機關的行政命令稍弱

Safety (實體安全) P19

英文翻成簡中常常會造成模糊性，例如 Safety 安全 ，Security 也是安全
Safety 比較接近實體(人員傷亡死亡)，跟OT環境較有關係，不只 IT 設備
例如透過IT設備監控鍋爐，監控錯誤鍋爐爆炸會產生傷亡，跟IT就不太一樣

Accidet 誤操作
Sabotage 故意破壞

IT環境不太會造成人員傷亡，2300萬個資外洩到國外，有人死掉嗎? 沒有

簡中翻譯不穩定的好笑例子：例如 CIA資安鐵三角（CIA triad），題目把 CIA 翻成中情局三角

資料錯誤外洩不一定是入侵
授權的：公權力介入 警方 消防隊 軍事行動造成斷水斷電斷網
非授權的：小動物觸電發生 人員誤操作， sabotage故意破壞

煉鋼廠金屬熔爐被惡意倒出融漿的影片
https://www.bbc.com/news/technology-62072480

駭客組織同時入侵監控系統，等人員離開才作破壞，還算有道德(?)

名詞定義很多書講的不一樣怎麼辦? 老師推薦看ISO定義

很多ISO的要錢，但剛好 27000 不用錢

從這邊進去 download
https://www.iso.org/standard/73906.html
這邊有下載點
https://standards.iso.org/ittf/PubliclyAvailableStandards/index.html

nist 也有 他是用字母順序排序
https://csrc.nist.gov/glossary

wiki 也是一個來源，但可信度要留意一下

來講 GRC 的 G 治理 P23

屬於 Corporate Governance 公司治理的環節
所有面向都是公司治理，大大小小都在公司治理，包含資安治理，跟決策有關的都是資安治理
台灣2018年金管會讓證交所當決策單位

何謂公司治理? 指導及管理企業的機制，目的是

1. 落實企業經營者的責任
2. 保障股東的合法權益
3. 兼顧其他利害關係人的利益

主要機制：性質偏向防弊，但上面說的機制是什麼?

1. 法令法規：法律
2. 主管機關：主管機關的輔導 (有公司治理專責網站，輔導上市上櫃公司去作，建立公司治理機制)
3. 內控機制：企業組織自律 (董事會組成要有獨立董事還有監事，這兩個就是監督，但很難作，做得好壞都有責任，做好會被修理進醫院、做不好就進法院) 某些公司有內控機制，也是組織自律

西元2000年內控造成顯學：美國有一些enron(假財報) worldcom，這兩個大公司造成很大的危害，美國頒布法案叫沙賓法案《沙賓·歐克斯法案》（英語：Sarbanes-Oxley Act），沒做好的話要去坐牢

冷知識：四大會計師事務所本來有五大，原本有一個安達信會計師事務所(Arthur Andersen)，他們就是做enron的會計，但沒查核到假財報，從此就垮了

資安治理 - 資安要對齊 align 企業目標 P25

資安是要了解企業目標，協助企業達成，做不好可能會阻礙達成企業目標
公司常常訂明年營業目標，高層第四季年尾開明年目標 break down到部門 > 到個人目標
自己不能獨立訂一個跟公司無關的目標

假設目標營業額10億，公司有10萬筆PII，結果10萬筆個資洩漏出去，公司受到最高罰款1500萬，營收少1500萬，加上賠償當事人，假設賠到上限2億，馬上少了2億

怎麼做資安治理 ? P26

可以參考這兩個的規範

• iso 27014
• cobit 5

Governing Body 有兩類

1. 董事會BoD(小公司就是負責人自己做)
2. 委員會committee(跨部門編組，薪酬委員會 審計委員會都是這種)

Governing Body的任務

• 任務1. 評估 Evaluate
• • 評估公司現況
• • 評估公司未來
• 任務2. 下指導 Direct
• • 目標 objective
• • 策略 strategy
• 任務3. 提供proposal文件

例如有個競爭對手，要比他好

1. 目標：證明服務資安品質
2. 策略：請第三方提出證明

Top Management 資安長 (CSO CISO)
根據我的理解，ISO 27001 第三方驗證具有公信力

• 任務5. BoD下決定認可以及監控 monitor 這件事是否有確實執行
  通過後成立 ISMS 小組推行 ISO 27001 驗證這件事

• 任務5. 溝通： 跟利害關係人溝通

• • 溝通方式：制定資安政策公布在網路上
• • 公開發行公司揭露資訊

可參考 台積電例子：台積電資訊安全組織
（https://investor.tsmc.com/chinese/information-security）

怎麼建立資安管理制度? 文件化 P27

有 4 種文件，前3種在 ISMS 裡面是強制要有的，不然描述不夠完整

1. 政策 policy ，為什麼要做資訊安全 Why，組織的最高指導原則，管理階層的承諾，通常都是1階文件
2. 標準 Standard，全組織說要做到的 What
   *. 例如密碼規定長度多長、多久要改；
   *. 防毒規定 筆電等終端設備要安裝；
   *. 每年要資產盤點風險評鑑。
   *. 其實顧問比較常會用程序書 控制程序，ISO可能也叫 2 階文件，功能性的政策 functional policy，功能性沒有大政策這麼高，新版 27001 用了一個名詞叫 topic specific 意思是特定主題的政策
3. Procedures ，就是 SOP，3階文件， How 具體說怎麼操作，裡面包含 step by step 一步步的描述
4. guidelines 不一定要有，僅供參考 FYI，如果組織內沒有專家不知道怎麼制定，可以參考外部指引 ISO 或 美國聯邦政府NIST 或PCI 或 OWASP 的規範等等

Operationalizing Frameworks (PDCA)

制度要讓它動起來持續改善，要透過 Procesing model ，最常見的就是 PDCA

執行要確定有效，有提到要達成的目標和策略，有無達到方向是否走偏
所以要做PDCA的 A 就是 Improvement ，持續改善

Roles and Responsibilities (角色和責任 R&R)

另一個是 P&P Policy and Produceres 政策與程序

Governing Body 有那些角色呢?

• 策略階層 Strategical
• • Senior management (CEO/ COO/CIO/CISO CSO/CTO/CFO etc…) 有 C 的系列
• • 例如資安政策訂完，要高階主管核定，就是這個層級要做的事
• 戰術 tactical 制定行動計畫 standards、procedure
• • Security manager/officer/director
• 執行 Operational 的人，像是網管人員
• • 資安人員 Security personnel
• • 系統管理員 技術作業人員 Administrators/techincans
• • 使用者 Users

Due Care and Due Diligence P30

Due 來源是拉丁文 = Proper 適當的

Due care 意思是：應該要採取、應該要做的 should do，所以要去做某些措施或行為，必須謹慎和合理

例如有個資，要怎麼保護? 謹慎和合理 的措施

要有權限設定 不能直接丟 fileserver
資料要加密 要合理的加密方式

• 有一個詞 prudent man rule(謹慎的人規則) 一般情況下會處理的做法，通常跟疏失 neglience 會有關連

Due Diligence 事前要分析 (To know)

1. 事前評估：例如個資保護的作法有無符合上級或主管機關要求 (所以要去看個資法)
2. 事後追蹤：執行後還要 Followup 和 monitor，看法規或是技術是否有更新，持續評估

Organizational Processes 組織的決策可能對資安造成影響

• 合併跟併購 Mergers & acquisitions 可能對資安造成影響

台哥大和台灣之星併購，台哥大可以直接取得台灣之星的個資嗎?
當時台灣之星跟客戶簽約是僅限於台灣之星範圍，台哥大要重新跟客戶簽個資收集才能拿

企業併購與資料隱私 – 收購方應注意事項（https://www.pwc.tw/zh/services/legal/point-view/legal-clouds/legal-clouds-2204-1.html）

• 切割Divestitures 部門分割出去變獨立法人

資料洩漏的問題 Data disclosure

• 合作夥伴 競爭對手 供應商 客戶 等等利害關係人 Partnering, strategic, supplier/customer relationships
  例如

1. 客戶的密碼只要長度8，沒有複雜度要求，到時候被偷走說是我們的問題
2. 供應商有物流業，供貨物流廠商在外包裝上個資裸露造成外洩

會不會考 27001 條文? 不會，但是了解27001可以幫助了解觀念

ISO 27001 是主流條文，例如風險管理觀念，在 27001 也有，通用觀念是相同的

其他例子，但這些例子出現的機率不高

1. nist 的 csf 框架
2. SSAE 是由美國會計師協會（AICPA）制定的一組審計和鑒證標準。
3. GDPR 歐盟個資外洩，多少時間內要通報到主管機關

GRC 的 C Compliance 遵循 1.4 1.5 P35

Compliance 翻合規 遵循性ok，法遵就比較狹隘(因為還有包含內規)

The Legal Environment ，指 對組織有強制性mandatory

• 法律
• • 台灣不分部門的個資法
• • FISMA 美國聯邦政府的資安法
• 國際法規 (GDPR 歐盟或其他單位的跨國法規)
• 合約
• 公司內規

Control 翻成 控制措施，或是資安控制措施 P35

控制措施主要達成：

1. 資安目標 ：CIA
2. 緩解風險

• 控制可以降低風險，例如管理類的
• 資訊安全風險管理計畫 降低服務中斷風險
• CCTV 也是一種控制措施，實體類的，可以偵測有無人進入指定場域
• 防火牆也是一種控制措施，網路存取類

不能隨便建立控制措施，必須有效 (前面的 Due care and Due Diligence)

Demonstrating Compliance，稽核會看是否有效(due diligence)，所以要 compliance 27001，就可以在稽核報告展現

ISO27002 : 新版四大類控制措施
NIST SP 800-53 : 分類較細共20類
PCI DSS :支付卡產業
CSA :199個控制措施
SWIFT's :雲端

ISO 27001 也可以看標檢局 CNS 的中文版，比較便宜(或是線上是看)

但某些翻譯不太好，例如 Owner 以前都翻成擁有者，新版的問題

資產Owner翻成當責者
風險Owner翻成擁有者

明明是同一個字…

為什麼要有資安要求 Why? P36

• 法規 主管機關要求 Laws, regulations, or the government actions (時程最急)
  不用很頂尖也可以達成，因為需求太高了，資安法影響政府機關>主要供應商>分包公司
• 標準 Stndards, Mandatory, "genreally accepted" or advisory 在台灣大家都用 27001，顯得你不做就落後了，驅動你去做 (時程次急)
• 合約要求 Contractual(such as PCI DSS) ，外部驅動的
• • 為什麼要用 PCI DSS舉例? 這是支付卡規範，PCI是五大發卡組織，要進入到這個生態，就會要求要遵循這些合約規範

Privancy Protction 隱私保護 P37

全球這麼多國家有制定專法的超過一半，算很普遍

在這個框架通常有幾個角色

• Controller：收集 處理 應用別人個資的。 例如我們公司請人簽個資使用同意書或是收集員工資料
• Processor：接收 Controller 的委託，例如公司收集員工資料，公司把個資放到 104 個資系統，104 就是公司的 Processor
• Subject：被收集個資的當事人

三者各自有責任和權力，Controller 責任最重，少部分規範到Processor
如果法規沒有要求 Processor，那就是 Controller 要自己約束 Processor

• subject 有 Right to be Forgotten (被遺忘權，可以要求刪除)，首次出現在西班牙
  台灣個資法也有
• Data Portability 可攜權，個資在不同Controller 間可以移動
  台灣個資法沒說這麼多，我在A醫院照過X光，可以請A醫院轉到B醫院
• Data Localization 資料要在境內
  台灣在個資法有一些些，但沒有 GDPR 那麼明顯，台灣主要是放在國際傳輸

個資法21條
https://law.moj.gov.tw/LawClass/LawSingle.aspx?pcode=I0050021&flno=21
非公務機關為國際傳輸個人資料，而有下列情形之一者，中央目的事業主管機關得限制之：
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞。
四、以迂迴方法向第三國（地區）傳輸個人資料規避本法。

例如遊戲廠商 IP 在中國大陸，會被禁止，但是跳板先到新加坡再往中國就會被繞過

Privacy Example 隱私法規案例 P38

• 美國
• • Fourth Amendment 憲法第四修正案
• • 第四修正案保證人們的人身安全及財產免遭非法搜查和扣押。
• • 主因是美國911後公布的愛國者法案，因為這個法案會讓執法單位擴權後要保護人民隱私，所以增加第四修正案
• 歐盟
• • OECD 指引 8大基本原則
• • EU Directive 2002/58/EC 本來是針對電子隱私的規範，通訊要怎麼保護，但這是舊版的，新的是 ePrivacy Regulation (老師 update而已 應該不會考)
• • GDPR 關注一下，曾經考過
• • GDPR兩個目的，(1)達成CIA (2)Security Controls

OECD 隱私保護8大基本原則 P39，1980出來 2013小改版，很多國家都有參考這份

• 8. 管理者Controller的責任，具有最終責任

管理者收集個資，要有

• 3.目的規範
• • 1. 蒐集限制
• • 4. 使用限制

例如我使用電子購物買東西，為什麼要我的身分證字號? 不合理
如果我是電子購物賣家，合理收集但你就要妥善保管

• 2. 資料品質
     職缺說不能有前科 有個人他去應徵都沒上，明明沒前科，結果是警察局key資料輸錯身分證字號
• 3. subject 當事人權利，可看台灣個資法 第 3 條
     當事人就其個人資料依本法規定行使之下列權利，不得預先拋棄或以特約限制之：
     一、查詢或請求閱覽。
     二、請求製給複製本。
     三、請求補充或更正。
     四、請求停止蒐集、處理或利用。
     五、請求刪除。
• 6. 公開原則
     上面這些東西必須要公開，要給一個窗口(電話 email)方便讓人聯絡

GDPR 99條文，其實是6項隱私原則 P40

• GDPR 和 OECD 有對應

• • OECD Lawfulness(7),fairness(7) and transparency(8) (6)
• • Purpose limitation (3)
• • Data minimization(1)
• • Accuracy(2)
• • Storage limitation(4)
• • INtegrity and confidentiality(5)

• 法規衝突時，個資法位階有時候比較低
  例如員工資料收集是人事管理，離職後要立刻刪除嗎? 勞基法規定保留5年，就可以拒絕刪除

自動化方式應用個資，例如使用演算法判定某一個人喜好是什麼，這就是不公平
booking 知道你特別喜歡定某個旅館，因為知道你喜歡就給你這家喜歡的旅館貴一點價格(反正你喜歡還是會買單)，這就是不公平

Transborder Data Flow

GDPR 預設 deny(禁止)
例外原則，其中一個是國家等級
例如預設不准輸出到國外，但某個國家隱私要求跟GDPR相當，適足性就 ：可以輸出
Countries of adequacy 適足性原則，亞太地區 新加坡 日本都在裡面，台灣沒有

驅動個資法相關 P44

• 各國都在推了
• 消費者對隱私更重視
• 企業家重視

Cybercrimes and Data Breaches 網路犯罪與資料外洩 P45

法律其實跟不上技術發展，台灣只有刑法36 妨礙電腦使用罪

如果知道資料外洩要通報，要通報2個角色

1. 主管機關Authority GDPR 要求 72 小時通報
2. 當事人

ISC2 對考題很嚴格，例如答對率90%以上可能就會拿掉這題目(沒鑑別力)

Ransomware 除了是網路犯罪，同時也會偷走資料，如果是針對資料加密
DDoS 阻斷服務就是單純屬於網路犯罪

智財權 (俗稱 IP) Protection Intellectual Property P46

要 表達出來expressed 才算數，假設我看到有人寫書，然後說我10年前就想到，這樣想要主張書本作者侵權是沒用的，因為我沒有表達出來

範圍包括音樂 影片 電影 演算法(方法) ，數位紀錄或其他表達方式

• 專利 (10~15年)，失效後別人就可以用
• 著作權，完成當下就獲得，認定很輕鬆
• 商標法
• 營業秘密 Trade secrets
• • 但營業秘密必須要做 due care，有做適當保護才算營業秘密，司法院有判例，公司沒有告知員工哪些是秘密就不行

上述這些法條都伴隨刑事責任

對組織來說做兩件事：

1. 自己要保護好： 簽保密協議、限制付費使用、 DRM 數位版權管理
2. 不要侵權 No infringement：用別人資料是否是合理使用，例如教科書1000頁，老師印10頁給學生當補充資料還算合理，印500頁可能有點誇張了

輸入與輸出控制限制 P47

• 輸入控制
• • 這些國家的東西常常有限制 俄羅斯 中國大陸 烏克蘭

例如某個機架上面鍵盤刻了 made in china，就不行

• 輸出限制 出口也有限制
• • 國際公約 Wassenaar arrangement，40幾個會員國列了一個清單，包含各種商品 IT技術資安技術，要求不能輸出到某些國家(台灣中國 北韓南韓)，因為這樣輸出可能影響到區域平衡

這些規範可能會衝擊到一些隱私保護的東西，利用使用演算法加密限制保護這些東西，例如對稱式金鑰超過某個長度 RSA 512bit，就需要送審

隱私框架 Privacy Framework P50

• AICPA 美國註冊會計師協會 PMF
• 另一個框架是 SSAE SOC report
• BS 10012
• 2019年後 ISO 框架出來了多一個 27701 PIMS 隱私框架

資安框架 Cybersecurity Framework P51

• ISO 27001/27002
• NIST Cybersecurity Framework (CSF) 本來是給關鍵基礎設施的，但框架很好用大家都拿來用， 2023/11/19 目前1.1快要出2.0了
• CSA(Cloud Security Alliance) 雲端安全聯盟的 STAR，這個是可以驗證的 L1自評，L2找第三方驗證 例如BSI https://www.bsigroup.com/zh-TW/CSA-Star-Certification/
• HITRUST 知名度不高
• 英國政府使用ITIL框架解決管理的問題，OSG有出現 ITIL

風險管理框架 P52

• ISO 31000 通用的
• COSO　企業風險管理　https://www.coso.org/guidance-on-ic
• ISACA's Risk IT Framework
• NIST SP 800-37 聯邦政府重要框架
• ISO 27005 風險管理
• NIST SP 800-30 風險管理 後面這兩個內容差不多

看看 NIST RMF 風險管理框架

從 Prepare 開始順時針走，800-37 就是在講這個圖詳細該怎麼做，完整資料可以點圖片觀看
每個步驟都對到 NIST 條文

nist 800 很好用，缺點是?

• 政府文件用語難懂
• 很多頁 一份1~200頁

為了考試可以重點參考就好，學關鍵字

控制措施框架 Security Controls Framework P53

• SWIFT's Customer Security Controls Framework SWIFT是跨境匯兌封閉網路
• • 例如其中一個要求是雙因子認證
• PCI DSS 支付卡產業，12個大項要求
• • 發卡銀行 店家 依照交易量要求
• CSA 針對 IOT物聯網框架 SCF
• NIST SP 800-53 少數有baseline概念的框架，題到根據資產重要性(高中低)，給予的 baseline 不一樣

Personnel Security Policies and Procedures 人員安全，人資流程有關的 1.9 P58

• 招募的時候就要避免失誤
• 組織信任這些人

Candidate Screening and hiring

• Job descriptions 需要哪種人 要那些技能
• 驗證references 例如成績單 證照真偽
• 求職歷史 前公司工作情形
• 人員背景 有無犯罪紀錄
• 評估財務狀況 (容易遭受社交攻擊賄賂)

特斯拉案例，駭客想放勒索軟體進內網，於是在網路上找特斯拉員工100萬美金，請他把勒索軟體帶進去

注意：即使人員不符合部分公司規定，但如果高層覺得有特殊專才，還是可以破格任用

錄用後要準備什麼? P61

• 員工守則
• 聘僱合約
• 保密協議(Non-disclosure agreement，NDA)

Onboarding 到任的時候、調部門 Transfers 或離職Termination P62

Onboarding 到任的時候

• 簽屬保密協議 Sign NDA
• 教育訓練 Training (公司資安相關)

離職 Termination

• 非友善離職(非自願離職) 員工可能懷恨在心要小心，停用使用者帳號 Suspend user account，離職生效前就要做 (刪除remove或停用disable，或是公開的客服帳號信箱就改密碼)
• Review NDA
  例如 NDA 有分行政人員和技術人員，技術人員罰則不一樣，員工 onboard是行政，職位轉移變成技術人員，入職簽的是否充足?

保密協議NDA P63

分成很多名詞或形式

• 單向NDA (甲方要求乙方簽)
• 雙向的 (甲乙互相要求保密)
• 多邊的 (甲乙丙三方)

Compliance Policy Requirements P64

• AUP 一些更細部的政策，位階大概第二階，教育訓練時要告知員工
• Data Access
• System Access
• Data discloscsure
  …

員工會接觸到個資，需要求員工保護 P65

PII PHI (H是Healith 健康)，例如 HR

針對外部人員 (供應商 合約商 顧問) P66

• 合約限制，把資安要求和罰則寫上去
• 教育訓練
• Access restriction 存取限制
• Distinguished identification識別證要一看就知道是訪客
• Escort 要有人陪伴

案例

1. 軍方有端點偵測有無插隨身碟(小企鵝)，新廠商不知道資安規定，帶隨身碟進去沒被檢查到，廠商想要分享帶的技術文件，隨身碟往電腦一插，就被記警告了
2. 軍方網路有隔離，但是隨身碟可帶進帶出，如果要用隨身碟可以申請，某軍官在辦公室工作，時間太晚就把文件copy回家，用家裡電腦作業，結果家裡電腦其實有中毒，病毒感染了隨身碟；隔天隨身碟插回軍方電腦，病毒就在軍網亂竄了
3. 某政府單位程序 VPN 停用，廠商要申請提出 理由+期間，才能開 vpn，廠商到 vpn 還要進跳板機監控行為，時間到就停用帳號 (Access resttiction)

接下來要講 GRC 的 Risk 風險管理 (1.9 1.10)

風險的定義 Definitions P71

Risk 風險

• 對 CIA來說會有 影響 和 不確定性 (ISO 31000)

風險怎麼會發生呢?　要兩個條件同時成立

1. 資產有弱點 Vulnerability (資產包含 人員 硬體 軟體 服務 資料)
2. 弱點有相對應的威脅 Threat

舉例 http/2 有弱點，但很難寫出攻擊，威脅就很難發生
所以新版 27001:2022 增加一個 收集威脅情資，不搜集就不知道有對應的威脅

有弱點有威脅，但影響等級不見得完全一樣，例如

• 資產在 DMZ和內網，同一個弱點威脅，可能性 Likelihood 會不同
• 資產價值不同，造成的衝擊 Impact/Consequence 也

Hazard 危險因子

讓你的危險性提高的潛在因子，例如半導體機台很怕震動，廠房在一個常常地震的地方，地震就是一個危險因子

從框架到實務流程 From Framewoks to Workflows: risk managed P72

不只用在設計階段，也可以用在系統或軟體開發，用在整個 SDLC life cycle

Risk Management Framework RMF P73

NIST CSF

預計要發 2.0 的時程

看這個框架最有價值的地方 後面有 Informative references 看來源對應關係

舉例

• AM-1是要實體盤點
• AM-2是要軟體盤點
  如果看不懂，可以看後面的參考文件學看看他想表達什麼意思

風險管理程序

1.資產盤點
重要資產 (不重要的不用點，例如電腦桌不用點)
資產重要性 (資產分級)

2. 風險評鑑/風險評估risk assessment ，分三個步驟
   1. 風險識別 找威脅和弱點
   2. 風險分析 Risk Analysis 找影響和可能性
   3. 風險評估 列高中低
   4. 風險評估可以產出風險清冊，找出可接受和不可接受的風險
3. 風險處理
   1. 不可接受的風險，要做處理

其實風險評鑑是要循環一直做的有兩個時機點

1. 定時每年
2. 重大變更時，例如法令法規修法 外部要求有變動時 (個資法修法 罰金變貴了，重新檢討一次)，或者是系統/軟體等有大幅度變動的時候。

風險分析 Risk Analysis P75

兩種方法，有定性分析和定量分析

定性分析 (主觀)

• 低中高 相對等級就是定性分析
• 需要定義
• • 例如何謂低中高 3個月發生一次就是低
• • 例如何謂重大影響 對組織造成災難性影響

定量分析 (客觀)

• 例如 3個月發生一次就是低 (前面的3個月其實類似定量了)
• Imact:財務性損失去描述 需要跟相關人員討論才知道，不好定義
• 某些資產很難給財物損失，例如抽象資產 公司的聲譽 reputation 受損很難估計

實務上採用定性評估較多，或者是混合

風險評估時，風險誰來決定能否接受? P76

高階管理階層決定
Determine risk level

召集人核准風險等級或是管理階層同意風險等級

通常採用5*5 Risk Matrix (風險矩陣)評估

風險處理 P77

• Risk Mitigation 緩解 降低風險
• 減少可能性戶衝擊
  • ISO 27005 ，也叫 RISK Reduction
• Risk Avoidance 風險迴避
  • 停止會導致風險的動
• Risk Transference 風險轉嫁給第三方
  • 保險公司
  • 委外廠商 例如金流技術我不熟，就委外處理
• Risk Acceptance 接受風險 最常被濫用
  • 接受並不是兩手一攤接受，是暫時保留風險持續監控
  • ISO 27005 叫做 Risk Retention (風險保留)

Risk Treatment Decisions P78

用途

1. 風險量化分析
2. 選擇控制措施時可以做風險效益分析

SLE = AV * EF

單次損失Single Loss Expectancy= (資產價值 Asset Value) x (發生一次造成多少%的損失 Exposure Factor)

例如 單次損失$20W = 資產價值$1M x 損失程度20%

ALE = SLE(衝擊) * ARO(可能性)

假設ALE 40w

• 某控制措施A實施上去後，ALE變成 20w，少損 20w，這個控制措施帶來的效益是 20w
• 某控制措施B實施上去後，ALE變成 10w，少損 30w，這個控制措施帶來的效益是 30w
• 假設其他條件不變，控制措施B更好

風險評鑑很多種切入方向 Four Perspectives on Risk P80

Asset-based 資產角度
Outcome-based 外部影響程度
Vulnerability-based 弱點切入
Threat-based 威脅切入

Threat Modeling 風險評鑑+風險處理，不過是從威脅切入

軟體開發設計階段常用 Threat modeling 切入，domain 8 細講

STRIDE By Microsoft

STRIDE 模型
為了協助您更加清楚地闡述上面指出的這些問題，Microsoft 使用了 STRIDE 模型，它會將不同類型的威脅分類，並簡化整體安全性對話。

跟控制措施有關的名詞 P84 (寫太少回家要補)

• Safeguard 控制措施還沒做上去就預先準備
  Proactuve

• Countermeasures 風險已經發生了的對應措施

控制措施分不同型態 P85

3大型態

• 技術
• 實體
• 管理

27001 也是這樣分，只是拆成 組織類 和 人員類
老師：ISO 27001-2022 分成四大類，2013是三大類，某些覺得控制項是技術類，但2022被分類到組織類

• Nist sp 800-53 拆的更細

Security Control Categories 分成7個分類 P86

• Directive 指導類：跟政策有關 要求人員遵守行為
• Deterrent 嚇阻類：降低攻擊意願，提高攻擊成本，例如違反資安規定罰薪10%
• Preventative 事前預防：IPS 可以阻擋 FireWall 也可以
• Detective 事件發生中偵測：IDS可以偵測 ，log review 也是
• Corrective 事發應變(矯正)： CSF 用的名詞是 Response回應，例如發生火災，滅火就是這種 (拔網路線 關電源)
• Recovery 事後還原：中毒就重灌也算在這裡，有備援機也算這一種
• Compensating 補償性作法，替代方案：這邊有一個 Backup，不是備份，是替代方案 alternative，例如我環境不能裝防毒軟體，替代方案是裝白名單軟體 ，例如公共環境設備已經 EOS，只好用白名單管理。 注意，補償性作法必須是跟原本不一樣的做法，所以才叫補償或替代。

選擇哪種控制措施 Control Seletion P87

• Baseline approach (外部要求)
• 企業自己產生 (通常是參考框架不會是自己生)

Minimum Security Requirements 最小要求 P88

有 baseline 的概念

Effective requrements 制定控制措施時要跟利害關係人討論

• 例如資產擁有者、高層管理者
• 假設資產分成高中低，各要那些措施，要實務一點，可以量測
• 文件化
• 組織大家同意

Example: Data Security Baseline 美國聯邦政府 CSF 舉例 P89

• Categorize 就會做資產分級
• Select 選擇控制措施

其實資安法也有，可以參考 資通安全責任等級分級辦法 附表十 資通系統防護基準.PDF 這就是 baseline 的概念https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304

其實有漏洞，例如故意把自己列入普級，就可以少做一些控制措施

Monitoring Measuring and Reporting 監控 量測有效性與跟管理階層回報 控制措施評估 P91

可以達到三個目的

• Operational Needs 營運需求
• Management Needs 管理階層的需求
• Compliance / Regulatory Needs 遵循性

舉例：WAF本來目的是保護網頁應用程式，監控沒有看即時回報，某天發現WAF監控一段時間就會重置 reset，結果這個 Reset 造成設定的規則就回到原廠設定，防護就變弱了

風險管理成熟度評估 P92

目前沒有好的做法，但有參考能力成熟度 CMMI 1~5
但CMMI是軟體開發的

• 某廠商的例子 (自評表) P93，要再找資料
• 美國國防部 DoD cmmc (供應商)
• OWASP SAMM (軟體開發)
  第 8 章會再說

第三方監控 供應商 1.12 P96

硬體商 軟體商 都算供應商

檢查供應商的方法有這些

• 治理類 (有無 ISO 270xx)
• Site Security Survery 實體檢查 (看機房 實體安全)
• Formal Security audit 簽好合約每季稽核
• 滲透測試

相關標準有

• ISO 270XX
• CSA STAR
• AICPA SSAE 20

供應商服務品質要求 SLA P98

對服務品質設定目標，量測他是否有達到
另一個名詞 SLO Object
例如使用 GCP ice服務，你用 vm SLO 可用性 99.9，我們可以量測否有達到。

Customer-baser 可以根據不同客戶制定不同 SLA ，一般的就隨便
Service Based 客戶來用就 follow 我的 SLA，例如 Google 有 4 種 SLA

參考來源 Google SLA https://cloud.google.com/compute/sla

教育訓練 P103

可以分成三種

• Education 教育
  • Explains theories or concepts 解釋理論或概念(cissp課程就放在這裡) ，廣泛性，中高階人員
• Training 訓練
  • 防火牆管理受訓，具有專業技術性質
• Awareness 認知
  • 資安認知

教育訓練課程種類 P104

• 面對面實體課程
• 線上課程 Online synchronouse training
• 預錄課程 Cimputer-Baser training CBT
• 協做平台 Remote collaboration platforms
• 看新聞 Regular communications
• 微訓練 Microtraining (短於1分鐘)

教育訓練教材要定期更新 P105

• 內外部環境會變化，例如修法就是外部環境就變化

客製化的課程常常需要一直要改，老師不太愛接這種case

教育訓練也要量測有效性 P106

• User Participation 課後測驗是一種常見方式
• Social engineering response 社交工程回應
• Log reviews 看有無違反政策的異常狀態