Cissp 2024 Domain 2 資產安全

Outline P3

2.3 Provision resources securely 其中 resources就是指Asset

Assets, Supplies and Materials P6

圖片中最重要的就是Assets(包括people process know-how, facilities, Equipment, Retained Knowledge)

資產價值 P7

老師覺得這一塊感覺是生產製造的觀念編寫的

IT Asset Management Life cycle P8

圖沒畫完

Planned 是要經驗豐富才會走到這一塊
Plan 中的Goal 是Business Goal(組織目標)

我是當上爸媽才學會當爸媽。沒有小孩前是學不會的

Information Asset Inventory P9

Relate a business or organizational 這個最重要

2.2 2.4 2.5 資料生命週期 P16

Create 建立
Store 儲存
USE 使用
Share 分享
Archive 封存
Destory 銷毀

在資料中，CIA哪個最重要?
I最重要，正確建立正確銷毀
Create及Destory 是CIA中的I
Store及Archive 是CIA中的A
Use及Share是CIA都有

Information Asset Ownership 找出擁有者 P17

Owner = 負最終責任的人
當資產遭受損害時，Owner 會付出代價，這個就是 Owner

如何識別資安神棍養套殺

製造恐懼心生畏懼需要我們的XXX

Roles of Managing the Data Security Lifecycle P18

活動收集處理利用
流程Data subjcec –(personaldata) ->Data collector/controller ->data user
角色 owner(Accountability) custodian/steward(Resiposibility)

有role就要想到Resposbility

Data Security Policy Needs P21

Data Security Policy 不是總綱的Policy，而是具有明確方向的Policy，次一級

policy分為General policy(指導總綱)跟functional policy(主題明確的policy如Data Security Policy)

這種已經冠上功能(Data Security)的，主題明確的是Functional Policy
看到 XXX Policy 就是 Functional Policy
要給你明確的原則、方法

要有 labels 和 levels
誰可以存取
如何正確地使用
1. 存取限制
2. 加密
3. 作業流程
保存方法
銷毀方法

Data LifeCyle Considerations P28

跟前面一樣

Data States 資料三態

儲存中 Data at rest
移動中 Data in motion/transit 透過網路傳輸
使用中 Data in use

三種狀態都要有對應的保護

Data Retention 保存/封存 P30

使用頻率變成0，需要保存

資料不用就銷毀嗎? 有些資料不能銷毀法律規定的，例如交易資料保存10年

Data Disposal 資料刪除銷毀 P32

刪除救得回來
清除救不回來
怎麼分呢? 想想excel按鍵盤上的刪除delete，它會清除文字、公式、數字和日期。但它不會清除格式，也不會刪除您選擇的儲存格。
要徹底消掉要按清除格式

Image Not Showing Possible Reasons

The image was uploaded to a note which you don't have access to
The note which the image was originally uploaded to has been deleted

Learn More →

Clearning overwriting 覆蓋
Purging degaussing, crypto-erase
Destruction 銷毀
美國資料銷毀標準 NIST SP 800-88r1

Solid-State Drives (SSDs) 清除 P33

SSD 使用快閃式記憶體，
讀取一次壽命就少一次(底層運作是平均寫入在記憶體空間)，
所以其運作機制類似陣列寫入，
清除時無法用消磁或覆蓋方式。

清除方式:

Purging: 加密刪除法、特殊媒體刪除指令
Destruction: 實體破壞

實體破壞在歐盟的環保法規是不允許的，必需分解成可回收的零件

雲端資料保存議題 Cloud-Based Data Remanence P34

雲端資料刪除並非真正清除，仍然可能被回溯、甚至外洩。
Google Drive檔案無故消失

儲存媒體 EOL/EOS P36

第三方服務提供商若終止服務，無法提供原本的使用習慣，
也會造成可用性的維護。

使用時要考慮封存資料保存問題
社群媒體資料

自行該保存的還是要備份

無名小站消失

控制框架 Standard and Framework P41

NIST 800-53(美國國家標準局→政府)
ENISA
ITU
ISO
信用卡
CIS CSC(Critical Security Control)美國民間組織 Center for Internet Security提供資安管理相關規範

大部分 ISO標準是英國提出來的，美國會自己另外提出來的

Baseline Tailoring 標準剪裁→量身訂做 P43

標準是訂製還是成衣? 大多是成衣非量身訂做
使用標準框架時，不見得能夠和組織文化相符，容易產生不適應問題
一般標準框架不會提供實際做法，自行拿捏做到什麼程度，
Tailoring:設計流程時符合標準框架的精神，適當調整。

Scoping: 用到的留下來，不適用的拿掉。
Compensatings control: 不適合的措施替換掉
Altering baselines: 做一些更改或調整，但是會碰到保守稽核員挑戰標準框架條文的問題。