01.CH1 D1 The Information Security Environment

###### tags: `CISSP` ### 免責聲明本筆記僅作為個人學習與參考用途，部分內容參照了ISC2的CBK培訓課程（由恆逸資訊提供）的教材，以及人工智慧工具（如ChatGPT）進行資料查詢及生成。筆記內容不作為任何商業用途，並且無意侵犯ISC2、恆逸資訊或其他相關版權擁有者的權利。筆記中的觀點、解釋和描述均為個人理解，不代表ISC2、恆逸資訊或任何其他官方機構的立場。筆記內容不構成對官方資料的完整或準確解釋。部分資料可能需要進一步核實。如有錯誤或不準確的地方，或發現本筆記涉及任何版權或智慧財產權問題，請立即聯繫我，我將迅速採取適當措施，進行修改或刪除。您可以通過以下方式聯絡我：ttc989a@gmail.com CH1 資訊安全環境 === The Information Security Environment CBK Domain D1.Security and Risk Management - Basic Concept - Governance - Compliance - Ethics ## M1-1 關於道德 ### 道德 Professional Ethics 蠻荒時期：茹毛飲血有標準後：仁義禮智因為：你的標準可能跟我不一樣所以：要標準化但是：職業道德基於 - local and international legislation 資安法、GDPR - standards 業界SOP - religious code 佛教教義不殺生 - heritage 中國文化仁義禮智 ISC2 Code of Ethics --- 有優先排序 :::success 1. Protect society, the common good, necessary public trust and confidence, and the infrastructure. 2. Act honorably, honestly, justly, responsibly, and legally. 3. Provide diligent and competent service to principles. 4. Advance and protect the profession. ::: :::warning 1. 保護社會，公眾利益，公眾信任和信心，基礎設施 2. 有榮譽感，誠實，公正，負責，守法 3. 提供客戶認真專業的服務 4. 精進和保護專業 ::: ### (OSG補充) 19.3.2 - 道德規範的序言道德規範的序言強調了社會安全和公共利益的重要性。安全專業人員應該遵循最高的道德行為標準，對社會和對彼此負有責任。遵守這些標準是CISSP考試的要求。 - 道德規範的準則道德規範由四個主要準則構成： 1. 保護社會、公益、基礎設施的安全 - 安全專業人員負有重大的社會責任，要確保自己的行為對社會有益。 2. 行為得體、誠實、公正、負責和守法 - 誠實和正直對履行責任至關重要。如果外界質疑我們的行為或指導，將無法有效履行職責。 3. 為委託人提供盡職和合格的服務 - 除了對社會的責任外，我們還需對委託人負責，確保提供無偏見且合格的服務。 4. 發展和保護職業 - 這個職業在不斷變化，作為安全專業人員，我們必須不斷更新知識並應用到通用知識體系中。 3. 道德規範投訴如果(ISC)2成員發現道德規範被違反，可以提交正式的道德投訴。投訴必須指出具體的違規行為，並根據以下情形進行投訴： - 準則1或準則2的投訴可以由任何公眾人士提出。 - 準則3的投訴只有雇主或與個人有合同關係的人才能提出。 - 準則4的投訴其他專業人士也可以提出，包括那些已經獲得認證或許可的專業人士。 - 投訴必須以書面形式提交，並在必要時進行正式調查。如果違反道德規範，可能會受到制裁，包括撤銷個人認證。 ### (OSG補充) 19.3.1 組織道德規範 - 員工道德指導 - 美国政府服务道德规范（1980年）例如，美国政府有一套写入联邦法律的《政府服务道德规范》。该规范强调了政府服务人员应遵循的一些基本原则： - 忠诚度：把对国家的忠诚置于对个人、党派或政府部门的忠诚之上。 - 法律遵守：维护美国联邦及州政府的宪法、法律和法规，永远不要逃避责任。 - 职业责任：认真履行职责，努力为国家工作，确保公平与公正。 - 效率与经济性：寻求并采用更有效和经济的方式完成任务。 - 反腐败：不得通过不公平的区别对待为他人提供特殊优惠或特权，也不得为自己或家庭成员接受不当利益。 - 公职诚信：不做出任何影响政府职责履行的私人承诺，并避免与政府的业务存在任何利益冲突。 - 保密与诚实：不得泄露在政府职责履行中获得的任何信息以谋取私利。 - 揭露腐败：发现腐败行为应及时报告，保持政府职务的廉洁性。 - 公众信任：时刻意识到自己作为公职人员，代表的是公众的信任。 ### (OSG補充) 19.3.3 互聯網與計算機領域的道德 1. RFC 1087：《道德规范和互联网》 - 1989年，互联网架构委员会（IAB）發布了RFC 1087文件，提出了關於正確使用互聯網的道德規範。 - 此文件概述了不道德的行為，包括： - 未經授權訪問互聯網資源。 - 破壞互聯網的正常使用。 - 浪費資源（例如人力、容量、計算機）。 - 破壞資訊的完整性。 - 危害用戶的隱私權。 RFC 1087的內容至今仍然有效，並且為許多道德規範提供了基礎，許多道德準則都能追溯到此文件。 2. 計算機道德規範的10條戒律計算機道德規範協會（Computer Ethics Institute）提出了10條戒律，旨在指導計算機使用者的道德行為： - 不准使用計算機危害他人。 - 不准妨礙他人的計算機工作。 - 不准窺探他人的計算機文件。 - 不准使用計算機進行偷竊。 - 不准使用計算機作偽證。 - 不准私自複製未付費的專用軟件。 - 不准在未經授權或未適當補償的情況下使用他人的計算機資源。 - 不准盜用他人的知識產品。 - 必須考慮所編寫程式或所設計系統的社會後果 - 必須以關心和尊重同伴的方式使用計算機。 3. 公平信患實務守則 1973年，政府咨詢委員會制定了《公平信息實務守則》，該守則概述了負責任和道德地處理個人資訊的五項原則： - 任何保存個人數據記錄的系統都不是保密的。 - 任何人都必須能夠查明記錄中有哪些與其相關的信息，以及這些信息如何被使用。 - 必須有方法防止將為特定目的收集的個人信息在未經同意的情況下用於其他目的。 - 必須有方法來修改或更正與個人相關的可識別信息記錄。 - 任何創建、維護、使用或傳播可識別個人數據記錄的組織必須確保數據的可靠性，並採取措施防止數據被濫用。小結這些道德規範提供了指導原則，幫助從事數字和計算機技術的專業人員做出道德決策。儘管它們對特定組織沒有強制約束力，但它們仍然是建立健全道德行為的重要參考依據。 ## M1-2 了解安全的內涵 - 資訊安全特性 (characteristics) - 保護您的組織免受傷害或損失 - 防止他人濫用您的私人或秘密資訊 - 確保決策支援資訊在需要時及時、準確、完整 - 隱私和安全：需要安全專業人員更多關注 - 職責和義務 (Duties and obligations) ### The CIA Triad 套用27001裡的講法 - Confidentiality：避免未經授權的存取。 - Integrity：避免未經授權的竄改(tamper)。 - Availability：授權的使用者要用時可用。 CIA的範例： - C：個資、療數據、律師與客戶的對話、商業機密、新業務營運概念、協商中的併購案 - I：醫療醫囑處方籤、金融交易轉帳、軟體更新 - A：空中交通管制數據、工控系統、個人財務醫療專業記錄的報告 - Ransomware：一種惡意軟體，會加密受害者檔案或鎖定系統，並要求贖金才能解鎖。 - 影響 I 是過程，影響 A 是結果 - 雙重勒索 (Double Extortion)：一種勒索軟體攻擊手法，攻擊者除了加密受害者資料外，還會竊取資料並威脅公開，藉此增加勒索成功的機率。 ### Authenticity & Non-repudiation - Authenticity是指 ==來源可靠性== (trustworthy source) - 用MAC保護或數位簽章 - Authentication => 驗證身份 - Non-repudiation (不可否認性) - 防止事後否認某個動作或訊息（例如智慧合約） - 若發送者否認送過訊息，用==數位簽章==提供不可否認性 - 若使用者故意抹去痕跡，用Audit log 保護才以做到可歸責性(Accountability) - 若真的無法做到要有補償措施 - 例如共用帳號的緩解措施CCTV (可歸責性) ### 隱私 Privacy 通常與機密性 (C) 相關 - 兩個重點： - 保護您的合法秘密(個人隱私)不被他人知曉 (legitimate secrets) - 防止您的身份（PII個資）被複製和欺詐性使用 (fraudulently used) - PII：個人身份識別資訊 (Personally Identifiable Information) - 特權通訊：保密的資訊要共享時 (Privileged communications: Information shared => kept private) - 醫患、神職人員與懺悔者、律師與客戶、家庭事務 (Doctor-patient, priest-penitent, attorney-client, family matters)，有些國家在法庭上不用揭露 - 隱私保護要求：法律、監管要求不斷增長為什麼？GDPR、主管機關...... - 隱私與人身安全 VS. 保障：失去平衡？ ### Safety - 安全：避免因 ==資料錯誤== 而造成意外的傷害、死亡或損壞 - 核心概念： - 安全在這裡指的是確保資料的正確性，避免因為資料錯誤而導致人員傷亡或財產損失。 - 這不僅僅是資訊安全，更關乎實體安全。 - 資料錯誤的可能原因 - 授權原因 (Authorized)： - 警察、消防、軍事行動 (Police, fire, military action)：在緊急情況下，為了應對威脅，可能會故意修改或使用錯誤的資料。 - 臥底、誘捕偵查、火災模擬演練、緊急疏散、戰術欺騙、網路戰 - 未經授權原因 (Unauthorized)： - 意外 (Accident)：人為疏失或系統故障導致的資料錯誤。 - 蓄意破壞 (Sabotage)：惡意攻擊者故意篡改資料。 - 資料錯誤可能造成的損害 - 內部 (Internal)： - 您的員工 (your employees)：錯誤的資料可能導致員工操作失誤，造成自身或他人傷害。 - 您的設施和庫存 (your facilities and inventory)：錯誤的資料可能導致生產流程混亂，損壞設備或產品。 - 外部 (External)： - 損害鄰里 (damages neighborhood)：例如，錯誤的交通號誌資料可能導致交通事故。 - 損害流域 (watershed)：例如，錯誤的環境監測資料可能導致污染擴散。 - 重點： - 資料安全不僅僅是保護資訊不被洩露或竄改，還要確保資料的正確性，避免造成實質性的傷害。 - 組織需要建立完善的資料驗證和錯誤處理機制，以降低資料錯誤的風險。 - 在涉及人身安全或環境安全的領域，資料安全尤其重要。 - 舉例說明： - 醫療領域：錯誤的病歷資料可能導致醫生開錯藥，危及病人生命。 - 交通領域：錯誤的導航資料可能導致駕駛員迷路或發生交通事故。 - 工業領域：錯誤的生產數據可能導致設備故障或產品缺陷。 ![image](https://hackmd.io/_uploads/HyhORBHsJe.png) 三者關聯 - OT（Operational Technology，營運技術）指的是用於監控和控制工業流程和基礎設施的硬體和軟體。 - ICS（Industrial Control Systems，工業控制系統）：用於控制工業流程的系統，例如製造、能源和運輸。 - IoT（Internet of Things，物聯網）：連接到網際網路的實體裝置的網路，用於收集和交換資料。 - CII（Critical Infrastructure Information，關鍵基礎設施資訊）：與關鍵基礎設施（例如電力、水和交通）相關的資訊。 - 網路系統（Cyber System） - 網路系統指的是用於儲存、處理和傳輸資料的電腦系統和網路。 - 它與實體世界連結，因為它可以控制和監控實體裝置和流程。 - 與實體世界有連結 (CPS) - CPS（Cyber-Physical Systems，網路實體系統）指的是將網路系統與實體世界整合的系統。 - 這些系統使用感測器和執行器來監控和控制實體流程。 - 它們在許多領域中都有應用，例如製造、醫療保健和運輸。 - 總結： - OT、網路系統和 CPS 之間的關係。 - OT 系統用於控制實體流程 - 網路系統用於儲存和處理資料 - CPS 系統將這兩個領域整合在一起，實現對實體世界的更精確控制和監控。 - 重點： - OT 系統越來越多地連接到網際網路，這帶來了新的安全風險。 - 保護 OT 系統免受網路攻擊至關重要，因為這些攻擊可能會導致嚴重的後果，例如停電或工廠停工。 - CPS 系統的安全性也至關重要，因為這些系統可以直接影響實體世界。 ### Due Care & Due Diligence +2 ※※重要※※ :::warning - Due Care (proper) 應有的注意 / 应有的谨慎 - 定義：==日常、主動做==採取合理措施以保護資產並符合義務。 - 核心特徵： - Should Do 應==主動==做，不用外部觸發，是日常責任 - Prudent 謹慎：避免極端風險（如忽視明顯威脅）或異常行動（如過慢反應）。 - 执行维持尽职调查努力的个体活动 - Reasonable 合理：合乎邏輯，有證據支持，適合具體情況 - 計劃、行動和管理這些行動 (Plan, act, and manage those actions) - 實務重點： - 建立基礎安全措施（Setup）：制定長期安全政策與流程。 - 執行（Act）：將政策轉化為日常行動。 - 持續運作（Keep Running）：確保安全措施長期有效並正常執行。 - 這是指例行性、持續性的工作，例如定期更新軟體、檢查設備狀態，屬於組織日常營運的一部分。 - 不針對特定事件，而是廣泛適用於整體安全狀態。 - 例如: - 放置「小心地板溼滑」警示牌，及及時擦乾地版 - 實施安全政策和程序 - 組織制定並實施合理的安全政策（例如存取控制政策、密碼政策），並確保員工了解並遵守這些政策。 - 定期做風險評估 / 審查防火牆規則 / 定期进行安全审计 - 每季執行員工資安意識培訓 - 防火牆、防毒軟體、備份系統 - 建災難復原計畫 - 「應有的注意」徧重組織日常營運，應主動採取的安全措施 ::: :::success - Due Diligence 應有的盡責 / 盡職調查 - 定義：在特定行動前或事件後，進行詳細==調查與評估==，確保行動==正確與有效==。 - To Know 要了解哪些資訊和風險 - Assess - 制定计划、政策和流程以保护组织的利益 - 包括根据风险管理确定所需的所有安全控制措施；制定政策、标准、指南和程序；以及建立董事会。 - 實務重點： - 事前評估與準備（Assess & Prepare） => 行動前計畫與調查，確保行動==有效和正確== - 做之前要評估 - 事後監督（Monitor） => 跟進、監控、管理 (Follow-through, monitoring, managing) - 確認行動結果並記錄成效。 - 情境意識 => 維持外部和內部情境意識 (Awareness)，了解內外部環境變化，及時調整策略 - 做後要檢查監督持續有效 - 例如: - 定期檢查地板狀況，確保沒積水，並記錄檢查結果 - 銀行的KYC(know Your Customer)是DD 盡職調查 - 供應商合作前，進行安全審查 - 事件回應調查，督復復原措施是否有效 - 滲透測試與弱掃，監督弱點是否修補 - 變更管理流程 - 「應有的盡責」徧重組織特定情況下(合作、事件、變更)要進行詳細調查和評估 ::: Due Care 的計畫像「每天規劃家裡的安全檢查」（鎖門、開警報器），是例行公事。 Due Diligence 的計畫像「買車前計畫如何檢查車況」（查引擎、試駕），是針對特定目標。 Due Care 的「持續運作」像「每天檢查家裡電器是否正常運轉」，是例行維護。 Due Diligence 的「監督」像「修好漏水後檢查是否還有滲漏」，是針對性確認。 ###### 如何避免搞混Due Care 與 Due Diligence？ - 問自己兩個問題： - 「這是日常責任還是特定事件？」→ 日常 = Due Care，特定 = Due Diligence。 - 「計畫是廣泛的還是針對性的？」→ 廣泛 = Due Care，針對性 = Due Diligence。 - 情境練習： - 「制定年度安全培訓計畫」→ Due Care（日常責任）。 - 「計畫新系統上線前的安全測試」→ Due Diligence（特定行動前評估）。 - 重點：理解兩者的法律含義： - Due Care 未做到可能構成疏忽（Negligence） - Due Diligence 未做好可能導致決策失誤。 - Due Care：日常建立與維持安全基礎，主動且持續。 - Due Diligence：針對特定行動或事件的調查與準備，階段性且詳細。 - Due Care 的「持續運作」是指日常保持安全措施的狀態，屬於主動責任，不需要特定事件觸發。 - Due Diligence 的「監督」是指特定行動後的檢查與跟進，屬於階段性任務。 - 關鍵區別：「持續運作」是例行保持，「監督」是針對性檢查。 ## M1-3 評估與應用安全治理原則治理是指有達到C-Level 有進到Strategy - 組織目標和目的 (goals and objectives) - 對齊：Due Care 與 Due Diligence，應用於目標(組織實踐目標的關鍵) - PDCA - 把概念用在各個目標，確保組織追求目標過程，採取合狂安全措施 - 治理：引導和控制決策的制定方式 - 安全治理：與目標和組織治理保持一致 - 角色和職責 (R&R, Roles and responsibilities) - 與安全相關的角色和職責要定義明確並找的到人負責。 ### 公司治理 (Corporate Governance) - 怎麼管理公司，決策(制定)、權力(分配)、責任(劃分)。 - 組織制定決策所有層面，包括： - 政策 (Policy)：指導組織行為的原則和規則。 - 角色 (Roles)：組織內各個成員的職責和權限。 - 程序 (Procedures)：組織執行特定任務的步驟和流程。圖表解釋： - 公司治理 (Corporate Governance)：位於圖表中心，表示其核心地位。 - 目標 (Business Goal)：組織的目標是公司治理的驅動力。 - 興利：促進組織的利益。 - 防弊：防止組織內部出現舞弊行為。 - 內部控制、法律 (Internal control、laws)：公司治理受到內控、法律的約束。 - 監管 (Regulatory) 主管機關：公司治理受到主管機構的監督。 - 人力資源 (HR)、審計 (Auditing)、財務 (Financial)、資訊科技 (IT)、資訊安全 (IS)：這些是公司治理的組成部分，它們在公司治理中扮演不同的角色。重點： - 公司治理是一個全面的管理框架，旨在確保組織以負責任和有效的方式運作。 - 它不僅關注財務績效，還關注組織的道德行為、風險管理和合規性。 - 良好的公司治理有助於建立投資者、客戶和員工的信任，並提高組織的長期價值。總結： - 公司治理是組織成功的關鍵因素。透過建立有效的治理機制，組織可以確保其決策符合其目標，並在不斷變化的環境中保持競爭力。參考 Google 公司治理評鑑資料專區 ### 安全功能要align with business goals - 安全功能要align with - 業務策略(Business Strategy) - 目標(Goals) - 使命(Mission) - 目的(Objectives) - 安全是一種支援功能 (support function) - 安全部門的存在是為了支援組織實現其業務目標 (Support Business Goal) - 糟糕的安全做法可能對公司造成損害，好心做壞事。 - 對齊：將計劃和資源整合在一起以實現目標和目的的過程 - 安全措施與組織的整體目標和策略保持一致。 - 安全專業人員與業務部門密切合作，了解組織的運作方式和目標。 - 安全專業人員必須是業務合作夥伴 - 安全專業人員不應該只關注技術細節，而應該將自己視為業務合作夥伴。 - 需要了解組織的業務運作方式，業務流程、文化和風險偏好。 - 確定安全部門如何協助組織達成其目標。 - 主動與業務部門溝通，了解他們的目標和需求，並提供相應的安全解決方案。 - 重點： - 安全不應該被視為獨立的職能，而應該融入到組織的整體運營中。 - 安全專業人員需要具備業務思維，才能有效地為組織提供安全保障。 - 透過與業務部門的密切合作，安全部門可以成為組織實現其目標的重要推動者。 - 總結： - 有效的安全措施不僅可以保護組織免受攻擊，還可以提高組織的競爭力和效率。安全專業人員應該將自己視為業務合作夥伴，共同為組織的成功努力。 ### 安全治理 (Security Governance) - 組織用來制定安全決策的完整政策、職責和流程。 - 每個組織都有其獨特的治理結構，同樣，它也會有針對其目標與宗旨的特定安全治理機制。 #### 資訊安全IS 治理 ![image](https://hackmd.io/_uploads/B1XLv_Bokx.png) 「資訊安全治理」（Information Security Governance）的框架，根據 ISO 27014 和 COBIT 5 的標準，解釋了不同角色在治理過程中的作用。資安治理怎麼做 => Business Goal - 治理機構（Governing Body）：通常指的是企業的最高決策層，比如董事會、CEO 或是 C-Level 高層（如 CFO、CIO 等）。這些人負責制定企業的總體策略與目標，包括資訊安全的高層次決策。他們設立方向（what）和原因（why），但不會具體參與運營或操作的細節（how）。 - Evaluate（評估）：治理機構需要對現有的資訊安全策略進行評估，確保其與企業目標一致。上方的註解「老闆 or 董事」表示，這個角色通常是高層管理者，如董事會或企業領導人，他們不會參與細節實施（how），但會負責決策方向（what 和 why）。 - Direct（指導）：治理機構為資訊安全策略提供指導或方向。這裡的註解「Strategy」強調治理機構會負責策略的制定，將目標傳遞給高層管理人員。 - Monitor（監控）：治理機構負責監控資訊安全執行情況，確認策略是否達成並根據需求進行調整。註解「report」表示管理層會向治理機構報告進展。 - 高層管理層（Top Management）：這一層級是具體負責執行治理機構所定策略的管理層，通常是企業的業務主管、部門處長或資訊安全主管。他們將治理機構的指導方針轉化為具體的行動，並負責組織內部的管理和執行。 - ISMS（資訊安全管理系統）：高層管理層負責執行治理機構設定的策略，具體實施資訊安全管理系統的運行。這個層級負責具體的操作和管理，會將結果報告回治理機構。「不會講 how」的標註指出，高層管理層執行具體操作，治理機構只負責方向和目標，而不會深入操作層面。中間的箭頭表示這些流程是互相循環的，需要不斷地監控、評估和指導。 - 總結來說，治理機構的決策層級高於高層管理層，治理機構負責設定方向與評估結果，而高層管理層負責具體的實施和操作，並向治理機構報告執行情況。 ### 組織流程如何影響資訊安全 - 每個組織都會決定自己的決策制定流程 - 組織的決策制定流程是獨特的，它受到組織文化、規模和行業的影響。 - 有些組織使用治理委員會 (governance committee) - 所有業務決策都可能影響資訊安全 - 不僅僅影響財務和運營，還可能對資訊安全產生重大影響。 - 併購（「併購風險」）(Mergers & Acquisitions ("M&A risk")) - 併購會帶來資料整合、系統合併和存取控制等安全挑戰。 - 台灣大併台灣之星，之前的個資？ - 資產剝離 (Divestitures) 公司將某些業務單位、子公司或資產出售、分拆或轉讓給其他公司或個人。 - 賣掉公司的一部分 - 涉及到相關資料和系統的分離，並帶來資訊安全的挑戰，比如確保資料不會在出售過程中洩漏或被未經授權的人取得。 - 合作夥伴關係、戰略供應商/客戶關係 (Partnering, strategic supplier/customer relationships) - 與外部組織共享資料和系統可能會增加安全風險。 - 重點： - 組織應該意識到業務決策對資訊安全的潛在影響，並在決策制定過程中考慮安全因素。 - 治理委員會可以在確保決策符合組織的安全目標方面發揮重要作用。 - 併購、資產剝離和合作夥伴關係等業務活動需要特別注意資訊安全風險。 - 總結： - 資訊安全不應該被視為獨立的職能，而應該融入到組織的整體運營中。透過將安全因素納入決策制定流程，組織可以更好地保護其資訊資產。 ### R&R (Roles and Responsibilities) - **組織角色和職責** - 戰略 (Strategic) (what? why?) - **治理機構 (Governing Body)**：負責制定組織的整體策略和方向。 - Senior management 包括 CEO、COO、CIO、CISO (CSO)、CTO、CFO 等。 - 負責定義組織的願景、使命和價值觀。 - 負責設定組織的長期目標和策略方向。 - 負責監督組織的整體績效和風險管理 - 戰術 (Tactical) (how？) - **安全經理/主管/總監 (Security manager/officer/director)**： - 負責將治理機構制定的策略轉化為具體的行動計劃。 - 負責制定和實施安全政策和程序，確保資訊安全。 - 程序 (procedure)：負責制定具體的安全操作流程和指南。 - 營運 (Operational) 執行 - **安全人員 (Security personnel)**：負責執行安全操作和監控。 - 資訊安全 (IS)：負責監控安全事件、執行漏洞掃描、管理安全設備等。 - **管理員/技術人員 (Administrators/technicians)**：負責管理和維護資訊系統。 - 資訊科技 (IT)：負責系統配置、軟體更新、網路管理等。 - **使用者 (Users)**：負責遵守安全政策和程序。 - 負責報告安全事件、正確使用資訊系統、保護個人帳戶等。 ## M1-4 法律層面要求(合規) - 資料保護的==法律==需求持續增長 - 通常仍落後於技術和使用 (lag technology and use) - 法律、法規、合約和標準驅動安全 (Laws, regulations, contracts and standards drive security) - 多種國家/本地變體 (Multiple national/local variants) - 不同的社會和市場有不同的期望 - 隱私保護：複雜性不斷增加 (Privacy protection => complexity) - 網路犯罪和資料外洩 (Cybercrime and data breaches) - 其他 ### 什麼驅動安全需求要看上下文，是需求，或是要求 - 法律(Laws)、法規(regulations)、行政命令(政府行動) - WHY? 保護公民的資料和隱私，並確保關鍵基礎設施的安全。 - "best practice" - 標準：強制性、「普遍接受」或顧問建議 - 標準可以由政府和私人標準機構制定、發布 - 標準可以是強制性，也可以是建議性。 - 產業一致性規範(業界標準)，不一定指國際標準 - 合約 (例如要求有PCIDSS) - 稽核提供受控審查(controlled review)，以展示(demonstrate)或聲明合規性(assert compliance) - 資安法 (FISMA)：美國聯邦資訊安全管理法案 (Federal Information Security Management Act)，是一個美國聯邦法律，要求美國聯邦機構和承包商建立和實施資訊安全計劃。 - 重點： - 法律、標準、合約和稽核共同驅動著組織的安全需求。 - 組織需要了解並遵守相關的法律法規和標準，以確保其資訊資產得到充分保護。 - 稽核是確保組織合規性的重要手段。 ### 法律環境 (The Legal Environment) - 本地、國家法律和法規 - 國際法律（歐盟和其他框架），例如 GDPR - 合規性需要安全控制措施 - 控制措施 - 行政、實體和技術 (Administrative, physical, and technical) - 控制措施有效 (effective) -> 有效率 (efficient) Ex: DLP - 展示合規性（Due diligence 應有的==盡責==）通常需要稽核和披露報告 - 為何不是Due care? 涉及對風險、法律要求、安全標準評估，DD比較適合 - 組織在投資和策略方面面臨選擇，以平衡合規性和其他風險 ### 隱私保護 (Privacy Protection) - 隱私權：個人控制自身資訊的能力（作為資料主體-當事人） - 查個人資料保護法 - 時間、程度(scope)、方式(how) (Timing, extent, manner) - 包括 PII、偏好、活動歷史、通訊 - 特權和非特權 (Privileged and non-privileged) - 如系統管理員、IT 人員、或擁有管理職責的個人。 - 普通員工 - 隱私保護關注誰能夠接觸到特定資料，特權與非特權很重要。 - 與可信度密切相關 - 客戶信不信任你?若能妥善保護隱私，外界會相信組織可信賴。 - 如何增加可信度? - 透明性：組織對如何收集、使用、保護個資保持透明，遵守法律規範(GDPR、個資法)，客戶會更有信心提供個資。 - 安全承諾：若能證明有嚴格安全措施保護PII。 - 良好的隱私實踐可提高聲譽、競爭力 (Good privacy practices enhance reputation, competitiveness) - 在多個國家、國際法律框架中定義 - role - 資料控制者 (data controller) (接收當事人data) 委託 - 資料處理者 (data processor) (CSP) - 重點： - 隱私權是基本人權，受到法律保護。 - 組織需要採取有效的措施來保護個人資料的隱私。 - 良好的隱私保護措施可以提高組織的可信度和競爭力。 ### 被遺忘權 (The Right to Be Forgotten) 指的是個人有權要求搜尋引擎、社群媒體和其他網路平台移除與其相關的過時或不再具有新聞價值的資訊。這項權利旨在保護個人的隱私和聲譽，使其免受過去錯誤或不當行為的持續影響。 - 個人有權要求移除不再具有新聞價值的資訊 - 這項權利並非絕對的，移除資訊的請求需要經過評估，以平衡個人隱私權和公眾知情權。 - 評估的因素包括資訊的性質、敏感度、是否涉及公共利益等。 - 已在歐盟、歐洲經濟區、阿根廷、巴西、南韓和印度等國家的法律中實施 (EU, EEA, Argentina, Brazil, South Korea and India) - 歐盟的 GDPR 是被遺忘權的重要法律依據。 - 其他國家也陸續將這項權利納入國內法律。 - 中國法院（2016年）否認這項權利 - OECD 指南、GDPR 和其他框架作為起點 - OECD 指南和 GDPR 等國際框架為被遺忘權的發展提供了重要參考。 - 快速發展、不斷變化的主題領域 - 隨著技術的發展和社會觀念的變化，被遺忘權的內涵和適用範圍仍在不斷演變。 - 重點： - 被遺忘權是一項重要的隱私權，旨在保護個人免受過去資訊的持續影響。 - 這項權利的實施存在爭議，需要在個人隱私權和公眾知情權之間取得平衡。 - 被遺忘權的發展受到法律、技術和社會觀念等多重因素的影響。 ### OECD隱私保護8大基本原則 - 8.管理者責任 (data controller) - 7.當事人權利 - 6.公開原則 - 3.目的規範 - 1.蒐集限制 - 4.使用限制 - 2.資料品質 (accuracy) - 5.安全防護 (CIA) ### 資料可攜權 Data Portability - 當事人(Data subjects, individuals)有權移動他們的資料，從A服務商到B服務商 - 例如「信用報告」「健康資料」「手機門號可攜」 - 在GDPR強調不受干擾(Without hindrance) - 不能刁難，可以收一些合理轉移費用 ### 資料本地化 Data Localization - 限制個資不能跨境傳輸，GDPR原則禁止，例外允許 - 當涉及到某些類型的資訊時，會有相關的法律來規範該資訊的　追蹤、保護、和稽核。這些法律適用於： - 資訊跨越國界時 - 資訊與任何國家公民或人士有關 - 通常要求有關公民的資料儲存在該國的管轄範圍內 (jurisdiction) - 一些國家（例如俄羅斯）要求有關其公民的所有資料都實際儲存在其管轄範圍內 - APEC 的跨境隱私規則 Cross-Boarder Privacy Rules(CBPR) - 可驗證的隱私框架 - GDPR 對於將個人資料傳輸到歐盟以外的國家有嚴格的限制。 - 只有當該國的隱私保護水平被歐盟認為是「足夠的」時，才能進行資料傳輸。 CBPR是APEC定的，較強調證明隱私資料保護符合CBPR要求，從而可跨境傳輸，強調「透明度」「責任」「合規性」並強制本地化(自願性參加、合規性) GDPR則保護歐明公民隱私，對數據轉移、跨境傳輸有嚴格限制要求(強調數據主體權利保護)。 GDPR禁止任何歐盟公民隱私資料流向沒有適足性(equivalent privacy law)隱私法律的國家 - 重點： - 資料本地化是一項複雜的議題，涉及隱私、安全、經濟和政治等多個方面。 - 不同國家對資料本地化的要求不同，組織需要了解並遵守其運營所在地的相關法律法規。 - 資料本地化可能會對組織的運營和成本產生影響，組織需要評估其影響並採取相應的措施。 ### 跨境資料傳輸 (Transborder Data Flow) - 指的是個人資料或其他敏感資料跨越國界的傳輸 - 隨著網際網路和雲端運算的普及，跨境資料傳輸變得越來越普遍。，但在法律上變得更複雜 - 組織需要了解並遵守不同國家的法律法規，才能合法地進行跨境資料傳輸。 - GDPR 防止==歐盟居民==的==隱私==資料流向沒有同等隱私法律的國家 - GDPR 是歐盟的一項法規，旨在保護歐盟公民的個人資料。 - GDPR 對於將個人資料傳輸到歐盟以外的國家有嚴格的限制。 - 只有當該國的隱私保護水平被歐盟認為是「足夠的」時，才能進行資料傳輸。 - 重點： - 跨境資料傳輸是一項複雜的議題，涉及隱私、安全和法律等多個方面。 - 組織需要了解並遵守相關的法律法規，才能合法地進行跨境資料傳輸。 - GDPR 對於跨境資料傳輸有嚴格的規定，組織需要特別注意。 ## 歐盟 (European Union) - 在資料隱私方面比世界其他國家更為重視。監管基於： - (OECD) 隱私保護指南（2013 年修訂版） - GDPR - 2018 年 5 月 25 日在所有歐盟、歐洲經濟區 (EEA) 國家生效 - GDPR 防止任何歐盟公民的隱私資料流向沒有同等隱私法律的國家 - 「適足性」是指一個國家的隱私保護法律與 GDPR 的標準相當。 - 當歐盟認為某個國家的隱私法律與 GDPR 的標準相當，便會給予該國「適足性認定」（Adequacy Decision），這代表歐盟認可該國的資料保護機制足夠保障個人隱私。 ### GDPR 6隱私原則 - 1.資料最小化蒐集 Data minimization - 不需要的一開始就不要蒐集 - 2.品質與正確性 Accuracy - 3.目的限制 Purpose limitation - 4.儲存期限Storage limitation - 5.integrity and confidentiality - 6.合法(lawfulness)、公平(fairness)、透明(transparency) GDPR知悉個資外洩72小時要通報 ### 什麼驅動了隱私保護法律的改變 - 立法變更（Frequent legislative changes）：法律經常變更，影響國內和跨國數據保護規範。 - 消費者意識抬頭：要求更強大的隱私保護，尤其是在發生大規模數據洩露後，消費者期望更高的保護水準。 - 企業的==主動==行動（Entrepreneur initiatives）：企業主動推出滿足==市場需求==的新產品和服務，越來越多市場認可隱私保護可以增強聲譽、提升盈利能力和市場份額。 - B2B、C2B ### 網路犯罪和資料外洩 (Cybercrimes and Data Breaches) - 網路犯罪的法律定義很多（即涉及電腦的犯罪）：並非都涉及機密資料的損失 - 法律跟不上科技 - 小玉深偽換臉事件，最後依《個人資料保護法》判刑，另外有《刑法》加重誹謗罪。 - 資料外洩：在大多數司法管轄區被定義為犯罪 - 許多國家/地區的公開報告（披露）要求 - 事件的基本事實 - 處於風險中的客戶或私人資料類型 - 法律或法規要求的其他資訊 - 例如 GDPR 72hr內通報 - 以資料或整個系統為重點的 ==勒索攻擊== - 法令法規多如牛毛，大方向要知道做什麼 ### 美國隱私權議題 - 多項聯邦、州法律試圖定義資料隱私權 - 911後的愛國者法案(Anti-terrorism laws) 加劇了國家安全與個人隱私之間的緊張關係 - 國家安全 VS 個人隱私 - 憲法第四修正案(Fourth Amendment enshrines protection) - 保障美國公民免受政府不合理搜索和扣押 - 第四修正案的限制對象是聯邦政府、州政府，以及代表政府行事的執法人員（例如警察）。 - 第四修正案並不限制「私人」行為。這意味著，私人公司或個人在收集、使用或披露個人資料時，不受第四修正案的直接限制。 - 例如，一家私人公司可以在其服務條款中規定收集用戶資料的範圍和方式，即使這些行為在政府進行時可能違反第四修正案。 - 美國還有許多其他聯邦和州法律，以及行業法規，對私人公司的資料收集和使用行為進行限制 - 例如，各州制定的隱私法，以及特定行業的法規（如醫療保健行業的HIPAA法案）。 - fair use policies - 私人資料所有者可以制定公平使用政策（包括披露），不受第四修正案的限制簡單來說：第四修正案是為了防止「政府」濫權。「私人公司」的行為，則由其他相關法律規範。 - 重點： - 美國在資料隱私方面的法律環境複雜且分散。 - 《愛國者法案》等反恐法律擴大了政府的監控權力，引發了關於個人隱私權的爭議。 - 第四修正案保障公民免受政府不合理的搜查和扣押，但這項保護僅適用於政府行為。 - 私人公司可以制定自己的資料使用政策，但可能會受到州法律和行業法規的限制。 ### 進出口管制 (Import and Export Controls) - 輸入輸出禁令 - 進口管制 (Import controls) - 進口管制是指有些國家不允許某些技術或工具進入他們的國家，因為這些技術可能會威脅到他們的國家安全。 - 特別是加密技術：加密技術可以用來保護資訊，但有些國家會擔心這類技術可能被用於非法活動，所以他們會對這些技術進行嚴格管制。 - 俄羅斯、中國、烏克蘭限制最多 - 出口管制 (Export controls) - 國際法律限制：有些技術被禁止出口到其他國家，特別是敵對國家或恐怖組織。這樣做是為了防止這些技術被不當使用。 - ==瓦聖納協議==（Wassenaar Arrangement, 1996）： - 目的：一個自願性的多邊出口管制機制。 - 管制對象：針對常規武器 (Conventional Arms) 和軍民兩用商品與技術 (Dual-Use Goods and Technologies) 的國際轉讓進行管制。 - 核心關注：防止這些物品被用於破壞區域和國際安全與穩定，尤其要防止其被恐怖分子或不穩定國家獲得，導致武器擴散。 - 與資安關係最密切的點：將某些資訊安全技術（特別是加密技術、入侵軟體/監控技術等）列為軍民兩用商品，要求成員國對其出口進行限制。 - 關鍵字：雙用途、出口管制、加密技術、自願性、多邊。 - 瓦聖納協定是個國際俱樂部，成員國自願同意管制武器和像加密技術這種「軍民兩用」的東西的出口，防止壞人拿到手。 - 影響隱私保護產品：因為進出口管制，加密技術或涉及個人隱私保護的產品可能會受到影響。例如，某些隱私保護應用程式可能無法在特定國家進口或出口，這會影響使用者的隱私保護效果。 - (補充)ITAR 和 EAR 則是美國為了履行這些國際協定（以及自身的國家安全和外交政策目標）而制定的具體國內法規。它們都旨在控制某些商品、軟體和技術的出口，以防止其落入不當之手。 - ITAR 是「軍事專屬」，EAR 是「軍民兩用和其他」 - 兩者主要區別 (CISSP 考試重點) - 管制範圍： - ITAR: 僅限軍事/國防專用。 - EAR: 主要針對軍民兩用，也涵蓋一些商業物品和未被 ITAR 管制的軍事物品。 - 管理機構： - ITAR: 美國國務院 (DDTC)。 - EAR: 美國商務部 (BIS)。 - 清單： - ITAR: 美國軍火清單 (USML)。 - EAR: 商業管制清單 (CCL)。 - 嚴格性： ITAR 通常比 EAR 更嚴格。 - 「視同出口」(Deemed Export)：兩者都有，指的是在美國境內向外國人披露受管制的技術或資訊，這也被視為一種出口行為。 ### 保護智慧財產權 Itellectural Property(IP) - 智慧財產權 (IP) - 想法及其表達方式 - 音樂、影片、電影、演算法，記錄在數位或其他媒介上 - 專利、商業機密、商標、版權 - 擁有者必須保護他們的智慧財產權（否則可能損失權利）- 自己的要保護 - 保密協議、使用許可（一般與限制性） - 複製保護、按次付費安排 (pay-per-use arrangements) - 不侵權 No infringement - 別人的不侵權 - 關於「合理使用 fair use」與侵權 infringement 的法律一致性很少 - 專利 Patents - 核心概念 - 保護「新穎、進步、可產業利用」的發明。 - 賦予發明人在一定期間內獨佔該發明的權利。 - 商業武器，具有排他性，他人未經授權不得製造、使用、銷售。 - 重點 - 鼓勵創新，但需公開技術細節。 - 保護期有限，期滿後技術成為公有領域。 - 是商業武器，可用於競爭。 - 商業機密 trade secrets - 核心概念 - 保護「具有經濟價值且不為公眾所知」的商業資訊。 - 例如：配方、製程、客戶名單。 - 需採取合理保密措施，才能受到保護。 - 重點 - 無需註冊，但需嚴格保密。 - 護期無限，只要能保持秘密。 - 一旦洩露，保護即失效。 - 商標 trademarks - 核心概念 - 保護「用於識別商品或服務來源」的標誌。 - 例如：品牌名稱、標誌、口號。 - 防止消費者混淆商品或服務的來源。 - 重點 - 需註冊才能獲得保護。 - 可無限期續展，只要持續使用。 - 建立品牌識別和聲譽。 - 著作權 copyrights - 核心概念 - 保護「原創性的文學、藝術、科學作品」。 - 例如：書籍、音樂、電影、軟體。 - 賦予作者複製、發行、改編等權利。 - 重點 - 作品完成時自動獲得保護。 - 保護期長，通常至作者逝世後數十年。 - 鼓勵文化創作和傳播。 - 總結： - 專利：保護技術發明。 - 商業機密：保護商業資訊。 - 商標：保護品牌識別。 - 著作權：保護原創作品。方式例如 - NDA - license - DRM(Digital Right Management) - Copyright - pay-per-use ## M1-5 基本安全設計原則老生常談 Best practices ### 最小權限原則 Least Privilege 使用者僅需要得到工作所需的最小權限例如： - 用戶使用網路銀行不該有異動用戶條款和條件的權限只能操作網路銀行提供的正規功能 - 飛行員有權限更新飛行器系統嗎? - 資深員工需要系統管理者權限嗎? ### 蹤深防禦 Defense in Depth Roles SA=>SysAdmin=>User=>Customer Layers Data=>APP=>PC=>Client Controls encryption=>SSDLC,DevSecOps=>AV,EDR=>FW,IPS,WAF ### Secure Default Configurations 與系統強化有關，關閉不需要的服務減少攻擊面 - GCB 381項 - 預設設定要包含強制安全措施，啟動驗證，訪問權限等 - 27001:2013 重變更管理 - 27001:2022 Secure configurations ### Privacy by Design 系統設計時就要考慮到隱私原則很多框架都有談到 - 27701 PIMS國際標準 - GDPR 歐盟隱私保護法 - U.S. FTC 美國聯邦貿易委員會，要求企業保障消費保隱私 - CPDP 國際隱私會議 - Victorian public sector(Canada) 確保公部門保護隱私 ### Fail Securely VS. Fail Safe 失效時的預設模式? - Fail open/safe:保護人 - Fail close/secure:保護系統和資料 - 設計系統時要考量失效時的安全狀態如果FW故障時，會Fail open/close? 答:BYPASS BYPASS後是透通會有風險，如何處理? - 要切入的點應該不是考量要不要BYPASS 而是要做Redundancy 實例：捷運緊急停車鈕的投計，通常是具有fail safe設計，確保在系統失效或緊急狀況可停止運作保護人命。 ### Separation of Duties(SoD) 職權區隔 - 一個流程有前後兩步驟，不能全由一個人做完(球員兼裁判) - 自我稽核、程式開發兼測試、會計兼出納、大小章同一人持有 - SoD可被破壞 - 共謀collusion - 繞過安全機制要靠accountability和audit 例如：測試完自動記錄無法造假修改 ### Keep it Simple 資安大師 Bruce Schneier說：安全最大的敵人就是「複雜」 737 MAX 空難 - micro service可達成此原則嗎? micro service是軟體架構風格，把大應用程式拆成更小單元，讓每個服務專注執行單一任務，並可獨立開發，有助簡化系統和維護，每個服務都更小相對好理解。所以對Keep it Simple有幫助，仍需確保適當拆分，清楚界面、一致性、監控調試 ### Shared Responsibility - CSP - IaaS,PaaS,SaaS - SLA,責任範圍要注意合約contracts要事先確認清楚 ### Trust,but Verify vs. Zero Trust 傳統做法 Verify,then trust - reconnaissance 進到內網後來偵查 Zero Trust因應邊界漸漸模糊不再用邊界來區分 - microsegmented 技術上是把最小權限做到極緻用情境Workload來限制以前是限制A電腦能連DB 現在用A流程連DB情境限制 ## CH1 Summary - 道德倫理與法律 => 塑造引導約束資安環境資安人員職責履行 - 職責包含 due care(應有的注意) 與 due dillgence(應有的盡責) - 資安需要 align with 組織目標 - Effective governance 有效治理是資安關鍵 - 隱私與安全是資安重要成份總結： - 資訊安全專業人員的倫理和法律責任、組織目標一致性、有效治理以及隱私和安全的重要性。簡單來說： - 資訊安全專業人員應在倫理和法律框架下履行職責，並確保安全措施與組織目標一致，同時重視隱私和安全。 --- ### (OSG補充) CH1 實現安全治理的原則和策略 - D1. 安全與風險管理 - D1.2 理解和應用安全概念 - D1.2.1 機密性、完整性、可用性、真實性、不可否認性 - D1.3 評估和應用安全治理原則 - D1.3.1 安全功能與業務戰略、目標、使命和宗旨保原一致 - D1.3.2 組織流程(收購、資產剝離、治理委員會) - D1.3.3 組織的角色與責任 R&R - D1.3.4 安全控制框架 - D1.3.5 Due care & Due Diligence - D1.7 制訂、記錄和實施安全策略、標準、程序、指南 - D1.11 理解與應用威脅建模的概念和方法 - D1.12 應用供應鏈風險管理(SCRM)概念 - D1.12.1 與硬體、軟體、服務相關的風險 - D1.12.2 第三方評估與監測 - D1.12.3 最低安全要求 - D1.12.4 服務水平要求 - D3. 安全架構與工程 - D3.1 利用安全設計原則研究、實施、管理工程過程 - D3.1.1 威脅建模 - D3.1.3 縱深防禦 #### (OSG補充) 1.1 安全101 - 概述： - 安全是業務管理工具（非僅IT問題），確保組織面對**數據竊取**或**物理/邏輯破壞**時持續運營。 - 支持組織==目標==與==使命== - 安全框架（如NIST）是起點，經==評估==微調。 - 三種評估： - **風險評估**（識別資產、威脅、漏洞） - **漏洞評估**（掃描已知弱點） - **滲透測試**（模擬攻擊）。 - 安全需具==成本效益==（賠錢生意沒人做）、==合法==(法律是安全後盾)、動態持續調整防護。 - **CISSP考試重要性**： - Domain 1 高頻考點，考**安全治理**如何融入業務（例：如何選成本效益高的控制）。 - 情境題常考**評估類型**辨識與**法律支持**（例：風險評估vs.滲透測試）。 - **融會貫通**： - 安全與**風險管理**（Domain 2）連結：風險評估驅動安全策略。 - 合法性與**法律合規**（Domain 7）相關：如GDPR影響安全決策。 #### (OSG補充) 1.2 理解和應用安全概念 - CIA三元組（機密性、完整性、可用性）是安全核心，指導控制設計與風險評估。 - 機密性：防止未經授權的存取（故意或意外）。相關概念如下 - 敏感性資料泄漏的損害 - 判斷力決策讓損害降至最低 - 關鍵性級別越高越要保密 - 隱藏(concealment)通過晦澀獲得安全? - 保密、隱私、隔絕、隔離 - 完整性：保護資料正確性（例：哈希驗證），防未授權修改（病毒或疏忽）。相關概念如下 - 准確性、真實性、有效性、問責性、職責、完整性、全面性 - 可用性：有權限的人要用時要可以存取（例：冗餘伺服器），防**DoS攻擊**或故障。相關概念如下 - 可訪問性、及時性 - DAD三元組 - 洩漏(disclosure) - 修改(alteration) - 破壞(destruction) - 真實性(資料來源可信、傳輸沒被竄改) - 不可否認性 - AAA服務 - 認證(authentication) - 授權(authorization) - 問責(accounting) / 審計(audit) - 五要素： - 標識(identification)，例如主體ID - 身份==認證==，例如核對PIN碼 - 授權，例如主體有什麼權限 - 審計，追蹤記錄主體操作，日誌活動... - 問責(翻成記帳?怪怪的)，只有主體對行為負責，才能確保安全性。 - 保護機制：縱深防禦（多層控制）、抽象（簡化權限）、數據隱藏（限制存取）、加密（保護通信）。 - CISSP考試重要性： - Domain 1 核心考點，CIA三元組是基礎，情境題考**控制措施**（例：加密防洩漏）。 - AAA與不可否認性常見於Domain 5/7（如認證強度影響問責）。 - 保護機制（縱深防禦、加密）頻考Domain 7（例：如何設計多層防護）。 - 融會貫通： - **CIA**與**風險評估**（Domain 2）：漏洞影響CIA，驅動控制選擇。 - **AAA**與**訪問控制**（Domain 5）：認證與授權確保問責。 - **縱深防禦**與**安全運營**（Domain 7）：多層控制防單點失效。 #### (OSG補充) 1.3 安全邊界 - **安全邊界 (Security Boundary)**：「高安全區域」和「低安全區域」的分界線，例如公司內部網路（局域網）和外部網路（互聯網）。 - 分類間的邊界：不同的資料**分類**有不同的保護需求，例如「機密資料」和「公開資料」。安全邊界需要根據資料的分類來限制存取。 - 物理邊界 vs 邏輯邊界： - 物理邊界：就像辦公室的圍牆，用來實體保護公司範圍。 - 邏輯邊界：用電子方式控制存取，例如密碼、權限設置。 - 明確定義邊界的重要性：你需要清楚標示哪些區域受到保護，例如公司內部網路，以及哪些區域是未受保護的。未經授權進入邏輯或物理邊界，都可能涉及法律責任。 - 控制措施：設置限制跨越邊界的信息流，比如防火牆、防止未授權流量進入。要考慮成本和保護價值的平衡。 #### (OSG補充) 1.4 評估和應用安全治理原則 - 概述： - **安全治理 (Security Governance)**：支持、評估、定義、指導組織安全工作的實踐集合，白話說是「管理公司整體安全工作的規則和流程」，它包括各方的職責和規範。 - 就像一個「企業安全的總指揮」，由董事會負責整體方向，小型組織則交由 CEO 或 CISO（首席信息安全官）執行。 - 重點在於對內部安全政策進行監管，並與外部規範（如法律、行業標準）對齊。 - **第三方治理**： - 外部監督：由法律、標準、合同強制，涉及外部審計員（如COBIT協議）。 - 外包監督：確保第三方（如安保、技術支持）遵守組織安全立場。 - 現場評估：驗證安全目標、需求與合規性。 - **文件審查**： - 過程：驗證所有安全文件是否齊全，避免現場審查時因資料缺失影響授權。 - 重要性：不完整文件推遲審查，影響操作授權（ATO）有效性。 - 內容：審查業務流程與策略，確保高效、成本效益與風險減輕。 #### (OSG補充) 1.5 管理安全功能 - 概述： - **安全功能 (Security Function)**：業務營運的一個面向，負責評估和改善安全，像是「公司安全的例行檢查與升級」。 - **安全治理**：透過風險評估推動安全策略，確保治理有效。 - **安全度量 (Security Metrics)**：檢查安全措施有沒有效，像意外事件減少或偵測次數增加。可考：度量是預防還是==偵測==控制。 - 預防與偵測常會搞混，重點在「阻止事件發生」或「事件發生後發現」度量在此明顯是事件發生後。 - **安全管理計劃**：讓安全與公司目標一致，採自上而下方式： - 角色： - 組織中資安團隊(InforSec)由CISO領導，CISO向高管(CIO、CEO或董事會)匯報。 - CISO及團隊若獨立於組織外可避免跨部門問題。 - CSO(首席安全官)/ISO(資訊安全官)在許多組織是CISO的下屬。 - CIO/CTO：CIO資訊應用，CTO設備運作 - 計劃類型： - **戰略計劃 (Strategic Plan)**：長期（約5年），定安全願景。 - **戰術計劃 (Tactical Plan)**：中期（約1年），如項目或預算計劃。 - **操作計劃 (Operational Plan)**：短期（月/季），如培訓或系統部署。可考：計劃的時間跨度。 - 流程： - 收購/兼併：需評估風險，防資料洩漏，算生命週期成本。 - 資產剝離：清空媒介，防資料外洩，離職面談確認保密。 - 第三方評估：現場檢查、文件審查、策略審查，確保外包安全。 - SLR服務級別需求，客戶在SLA建立前提供 - SLA服務級別協議，確保合約包含安全規定 - 安全控制框架： - COBIT(ISACA):信息和相關技術控制目標 - IT最佳安全實踐 - 安全控制的目標和需求 - IT安全思路映射業務目標 - 審計人員工作指南 - ==6原則==進行企業IT治理和管理 1. 為利益相關方創造價值 2. 採用整體分析法 3. 動態治理系統 4. 把治理從管理中分離 5. 依企業需求量身定制 6. 採用端到端的治理系統 - NIST SP 800-53:信息系統和組織的安全和隱私控制 - 組織安全的通用性建議 - CIS:互聯網安全中心，對OS、APP、硬體安全配置指引 - NIST RMF:聯邦機構==強制性==要求 - 6階段(分類、選擇、實施、評估、授權、監控) - NIST CSF:網路安全框架 - 關鍵基礎設施、商業組織 - 5功能(識別、保護、檢測、響應、恢復) - ISO/IEC 27000系列：國際標準，信息安全和相關管理實踐基礎 - ITIL, Information Technology Infrastructure Library:信息技術基礎設施庫: - 原英國政府制訂 - 優化IT服務、支持業務 - 理解IT和安全需求，和何與組織目標進行集成，保持一致 - 在已建立的基礎設施，制訂IT安全解決方案時，常做起點 OSG 8th 9th 簡中翻譯與 10th 英文版定義不一樣 - Due Care - ~~制定計劃、策略、流程保護組織利益~~ - ~~制訂一種正式安全框架、包含安全策略、標準、基線、指南、程序~~ - Due Diligence - ~~實踐和維持Due Care的活動~~ - ~~把安全框架應用到IT Infra~~ ##### Due Care & Due Diligence OSG 10th - 作業安全是指組織內所有負責單位持續保持due diligence 和 due care。 - Operational security is the ongoing maintenance of continued due diligence and due care by allresponsible parties within an organization. :::success - Due diligence - 建立保護組織利益的計劃、政策與流程。 - Due diligence is establishing a plan, policy, and process to protect the interests of an organization. - 開發正式安全結構，包括安全政策、標準、基準、指南與程序。 - due diligence is developing a formalized security structure containing a security policy, standards, baselines, guidelines, and procedures. - 知道該做什麼並為之規劃，規劃安全並動態調整。 - Due diligence is knowing what should be done and planning for it. - 檢測機制（“do detect”）監督並確認行動，記錄過程；根據新威脅、風險或業務任務更新計劃。 - Due diligence is also used as a detection mechanism, referred to as “do detect.” - 尽职调查 (Due Diligence) 用于监督并确认正在采取正确行动，并创建这些行动的记录。。 - due diligence is used to oversee andconfirm that the proper actions are being taken and that a record ofsuch actions is being created. - 这是基于持续监督的规划概念的延伸，确保任务正确执行。 - This is an extension of the planning concept based on continued oversight while performing tasks properly. - 此外，随着条件变化（无论是新威胁、风险或业务任务），尽职调查是对先前计划的调整，以考虑新的条件和关切。 - Additionally, as conditions change (whether new threats,risks, or business tasks), due diligence is the adjustment of priorplans to take into account new conditions and concerns. - 更新后，應盡關心 (Due Care) 实施修订后的计划。 - Once updated, due care implements the revised plans. ::: :::info - Due care - 實踐維護 (Due Diligence) 努力的個體活動。 - Due care is practicing the individual activities that maintain the due diligence effort. - 持續將安全結構==應用於組織 IT 基礎設施== - Due care is the continued application of this security structure onto the IT infrastructure of an organization. - 執行安全並確保及時性，做正確的事情在正確的時間。 - due care is doing the right action at the right time. - 正確行動（“do correct”）在適當時間執行措施。 - The idea is that while due care (aka “do correct”) activities are being performed ::: :::warning UUU教材 - Due care - 一般人知道要做的正常行為，reasonable合理合邏輯、prudent謹慎避免極端風險或不正常行動 - ==P==lan, ==D==o, Manage 有規劃，有執行 - 做"合理(reasonable)和謹慎(prudent)的措施(保護組織的資訊安全)--> DO. - Due diligence - 確保措施仍然有效正確 - ==C==heck, ==A==ct, Monitoring - 做之前的評估,調查,分析及做之後的成效追蹤.--> KNOW ::: #### (OSG補充) 1.6 安全策略、標準、程序和指南 - **安全策略 (Security Policy)**：==強制性==的最高層文件，定義安全範圍與資產保護需求，為其他所有文檔提供方向。 - **可接受使用策略 (AUP, Acceptable Use Policy)**：規範員工行為，如違規可警告或解雇。 - **標準 (Standards)**：硬體軟體的==強制==要求，確保一致性。 - 這裡的標準不是「國際標準」 - 是組織在策略下統一實施技術、程序的操作過程。 - **基線 (Baselines)**：==強制性==系統最低安全要求，不符合不可上線運行，常參考政府/行業標準。 - **指南 (Guidelines)**：非強制，提供如何實現標準和基線的建議。 - **安全程序/作業程序 (Procedures, SOP)**：==強制性==詳細操作步驟，如部署某控制的SOP，需隨系統更新。 #### (OSG補充) 1.7 威脅建模 ※重要※ - 威脅建模 (Threat Modeling)：識別、分類、分析潛在威脅的過程，像是「預測壞人怎麼攻擊」。 - 主動式（防御式）：==設計==和==開發==階段預判威脅，成本效益高。可考：主動式在==設計階段==。 - 微軟用安全開發生命周期 SDL 在每階段實現安全 - SD3+C 設計安全、默認安全，部署和通信安全，目標是 - 降低安全相關設計和編碼的缺陷數量 - 降低剩餘缺陷的嚴重程度 - 被動式（威脅狩獵）：部署後找缺陷，如道德黑客、滲透測試，成本高。 - 找到漏洞後，用補丁，可能讓用戶不滿 - 識別威脅： - 方法： - 關注資產：找有價值資產的威脅，如資料庫。 - 關注攻擊者：分析攻擊者動機與TTP（策略、技術、程序）。 - 關注軟體：檢查軟體的潛在威脅。 - STRIDE模型： - 欺騙 (Spoofing)：偽造身份繞過存取控制。 - 篡改 (Tampering)：未授權改資料。 - 否認 (Repudiation)：否認操作，栽贓他人。 - 資訊洩漏 (Information Disclosure)：機密資料外洩。 - 拒絕服務 (DoS)：阻斷合法存取。 - 特權提升 (Elevation of Privilege)：低權限變高權限。可考：STRIDE涵蓋==6種==威脅。 - 確定與繪製攻擊： - 畫資料流程圖（DFD）：顯示系統組件、邊界、資料流動，如Web伺服器到資料庫，為何要畫? 對圖表中的每個元素進行攻擊 - 考慮邏輯、物理、社會工程攻擊。 - 執行==簡化分析==： - 分解系統為子單元（如模組、協議），分析輸入、處理、存取。 - 關鍵概念： 1. ==信任邊界==：安全級別變化處。 2. ==資料流路徑==：資料移動路線。 3. ==輸入點==：接收外部輸入處。 4. ==特權操作==：需高權限的活動。 5. ==安全聲明和方法細節==：策略與假設。可考：信任邊界是==安全級別變化==點。 - 每個組件的脆弱性、攻擊點 => 識別威脅手段、目標、後果 - 完整記錄，然後考慮漏洞利用所需技術，列出安全對策、防護措施 - 優先級排序與響應： - 排序方法： - 概率*損失：1-100分，100最嚴重。 - 高/中/低：風險矩陣，HH（高概率高損害）優先。 - ==DREAD：對每個威脅都問5個問題== 1. 評估破壞 2. 可再現性 3. 可利用性 4. 受影響用戶 5. 可發現性。 - 響應：調整架構、流程，實施工藝與偵測。可考：DREAD評==5項==因素。 - 其他方法： - ==PASTA==：7階段==風險==為核心，含目標定義、攻擊模擬、風險管理。 - Process for Attack Simulation and Threat Analysis - 每階段都要要完成目標和交付物清單 1. 風險分析定義目標 2. 定義技術範圍 3. 分解分析APP 4. 威脅分析 5. 弱點和脆弱性分析 6. 攻擊建模與仿真 7. 風險分析和管理 - VAST：可視化、敏捷和簡單威脅，整合威脅到程式設計。 - 可考：PASTA有==7階段==。 #### (OSG補充) 1.8 供應鏈風險管理 - 供应链风险管理 (Supply Chain Risk Management, SCRM) - 定义与重要性 - 供应链：电脑、设备、网络、系统及云服务的生产涉及多实体，非单一公司完成。 - SCRM：确保供应链各环节可靠、可信，防止伪造或恶意操纵，如“检查零件来源有没有问题”。 - CISSP 应用：考试关注供应链作为威胁向量，评估外部风险影响。 - 风险来源 - 供应链复杂：CPU、内存等硬件来自多方，易被中毒或修改。 - 外部因素：延误交付、材料短缺影响生产。 - 攻击类型： - 产品篡改 (Product Tampering)：恶意修改产品。 - 伪造 (Counterfeits)：假冒组件混入供应链。 - 植入 (Implants)：嵌入远程访问或监听，如固件恶意程序。 - (补充) 风险点：第三方修改 (Third-Party Manipulation) 可能引入安全隐患。 - CISSP 应用：考试可能涉及识别==第三方修改==的风险。 - SCRM 关键实践 - 评估供应商：检查供应商信誉、披露实践，确保稳定性和资源可用性。 - 最低安全要求：硬件、软件需达到最终产品安全标准。 - SLR (Service Level Requirements)：客户在签订 SLA 前提出服务安全需求。 - SLA (Service Level Agreement)：合同中写入安全规定，纳入 SLR 元素。 - 持续监控：通过内部或第三方审计，验证供应链安全操作。 - (补充) 重点：SLR 在==SLA 前==提供，合同安全条款需明确。 - CISSP 应用：考试强调 SLR/SLA 在供应链风险管理中的作用。 - 安全机制与工具 - 硅根信任 (Silicon Root of Trust, RoT)： - 定义：硬件中的防篡改组件，确保系统启动安全。 - 特性：防篡改、安全启动、加密操作、远程证明。 - CISSP 应用：考试可能涉及 RoT 在设备安全中的角色。 - 物理不可克隆功能 (Physically Unclonable Function, PUF)： - 定义：基于物理特性生成唯一标识，用于设备认证。 - 应用：防止伪造与植入，常见于物联网与安全启动。 - CISSP 应用：考试关注 PUF 增强供应链硬件安全。 - 软件物料清单 (Software Bill of Materials, SBOM)： - 定义：记录软件组件及依赖关系，提升透明性。 - 作用：追踪漏洞、确保组件来源可信，支持合规性。 - CISSP 应用：考试可能涉及 SBOM 在软件供应链管理中的应用。 - 挑战与应对 - 微型芯片难查：固件/软件攻击更隐蔽，难以检测。 - 即时生产风险：依赖即时交付，需评估备用材料。 - 解决措施：选择信誉供应商，优先国内生产，检查设备。 - (补充) 难点：SCRM 核心挑战是==隐蔽攻击==，需持续监控。 - CISSP 应用：考试可能问如何应对==隐蔽攻击==与供应链延误。 --- - 总结 - 本内容整合供应链风险管理，涵盖定义、风险来源、关键实践、安全工具与挑战，强调第三方修改、SLR/SLA 应用及隐蔽攻击，与 CISSP 考试安全与风险管理领域高度相关。 --- - 简单来说 - 供应链复杂易攻，SCRM 靠评估、工具与监控防风险，CISSP 考==第三方修改==与==隐蔽攻击==应对。 #### (OSG補充) 1.9 本章小結 - 概述： - 安全治理與管理：定義安全環境的規則與目標，像是「公司安全的總指揮部」。 - CIA三元組：機密性（防洩漏）、完整性（防篡改）、可用性（防中斷）。 - 機密性常考，防止未授權存取是基礎。 - 安全原則： - AAA服務：識別（聲明身份）、認證（驗證身份）、授權（給權限）、審計（追蹤行為）、問責（負責）。可考：AAA含==5要素==。 - 其他：不可否認性（防抵賴）、縱深防禦（多層保護）、抽象（簡化權限）、資料隱藏（限制存取）、加密（保護傳輸）。 - 安全角色： - 高級管理者：簽署策略，負責安全成敗。 - 安全專業人員：執行策略。 - 資產所有者：負責資料分類。 - 托管員：管備份與完整性。 - 使用者：依最小特權操作。 - 審計人員：檢查策略執行。可考：審計人員負責==檢查合規==。 - 安全策略結構： - 策略：強制性最高層文件。 - 標準：硬體軟體要求。 - 基線：最低安全標準。 - 指南：非強制建議。 - 程序：詳細操作步驟。可考：策略是==強制性==文件。 - 威脅建模：識別與分析威脅，主動（設計階段）或被動（部署後）。可考：主動式在==設計階段==。 - 供應鏈風險管理 (SCRM)：確保供應鏈可靠，防偽造與攻擊，需評估風險與監控。 #### (OSG補充) 實現安全治理的原則和策略 1.10 考試要點 - CIA三元組： - 機密性：防未授權存取。 - 完整性：防未授權修改。 - 可用性：確保授權存取。 - AAA服務： - 識別：聲明身份。 - 認證：驗證身份。 - 授權：分配權限。 - 審計：追蹤行為。 - 問責：行為負責。 - 身份認證：驗證聲稱身份，需匹配資訊。可考：認證是==驗證身份==。 - 授權：根據認證身份給權限，確保合法存取。 - 審計：記錄行為，驗證合規。可考：審計確保==行為追蹤==。 - 問責制：主體對行為負責，靠認證與審計。可考：問責靠==行為追蹤==。 - 不可否認性：防止否認行為，如數位簽章防抵賴。可考：不可否認性防==行為抵賴==。 - 縱深防禦：多層控制，防單點失效。可考：縱深防禦用==多層控制==。 - 抽象：將相似元素分組，簡化權限管理。 - 資料隱藏：防資料被發現或存取。 - 安全邊界：不同安全需求的區域分界，如內網與外網。可考：安全邊界分==不同安全需求==。 - 安全治理：指導安全工作的實務，與業務目標對齊。可考：安全治理是==指導安全==。 - 第三方治理：外部監督，如法律或審計員檢查。 - 文件審查：驗證文件齊全，防ATO失效。可考：文件審查防==ATO失效==。 - 安全管理計劃： - 戰略計劃：長期（5年），定願景。 - 戰術計劃：中期（1年），如預算。 - 操作計劃：短期（月/季），如培訓。可考：戰略計劃是==長期==。 - 安全策略結構：策略（強制）、標準（強制）、基線（強制）、指南（建議）、程序（強制）。可考：指南是==非強制==。 - 組織流程：收購（評估風險）、資產剝離（清空媒介）、治理委員會（監督）。 - 安全角色：高級管理者（負責）、安全專業人員（執行）、資產所有者（分類）、托管員（管理）、使用者（操作）、審計人員（檢查）。 - COBIT：IT安全框架，訂控制目標。可考：COBIT是==控制框架==。 - 應盡關心與盡職審查： - 應盡關心：訂安全框架。 - 盡職審查：執行框架。可考：應盡關心是==訂計劃==。 - 威脅建模： - 主動（設計階段）、被動（部署後）。 - 資產/攻擊者/軟體、STRIDE（6種）、PASTA（7階段）、VAST、DREAD（5因素）。 - SCRM：確保供應鏈可靠，評估風險、監控第三方、設最低要求、SLR/SLA。 --- ### (OSG補充) CH2 人員安全與風險管理的概念 - D1. 安全與風險管理 - D1.9 促進並執行人員安全策略與程序 - D1.9.1 候選人篩選與招聘 - 確保招聘流程包含背景調查和資格驗證，以降低內部風險。 - D1.9.2 僱傭協議及策略 - 包含合同、法律要求及內部政策，明確員工的安全責任 - D1.9.3 入職、調動和離職程序 - 規範員工生命週期管理，涵蓋內部政策執行 - D1.9.4 供應商、顧問和承包商的協議與控制 - 確保外部合作方的合規性與安全控制 - D1.9.5 合規策略要求 - 全面理解企業內外部法律與監管要求 - D1.9.6 隱私策略要求 - 處理跨境數據流及進口/出口控制，保護資料隱私 - D1.10 理解並應用風險管理概念 - D1.10.1 識別威脅與脆弱性 - 分析內外部風險源，結合法律與監管要求 - D1.10.2 風險評估／分析 - 評估風險要求與潛在影響 - D1.10.3 風險響應 - 制定應對策略，減輕或轉移風險。 - D1.10.4 選擇與實施控制措施 - 根據風險評估結果選擇適當控制。 - D1.10.5 適用的控制類型（如預防、偵測、糾正） - 分類並應用多層次控制措施。 - D1.10.6 控制評估（安全與隱私） - 定期檢查控制措施的有效性。 - D1.10.7 監控與測量 - 持續監察風險與合規狀態 - D1.10.8 報告 - 生成風險管理報告，提供決策依據。 - D1.10.9 持續改進（如風險成熟度模型） - 優化風險管理流程，提升成熟度。 - D1.10.10 風險框架 - 採用標準化框架（如NIST、ISO）管理風險。 - D1.13 建立並維護安全意識、教育和培訓計劃 - D1.13.1 展示意識與培訓的方法和技巧（如社會工程、網路釣魚、安全帶頭人、遊戲化） - 設計互動式培訓，提升員工安全意識。 - D1.13.2 定期內容評審 - 確保培訓內容與最新威脅和法規同步。 - D1.13.3 計劃有效性評估 - 測量培訓成果，調整計劃策略。 #### (OSG補充) 2.1 人員安全策略和程序 - **概述**：用流程與合約防員工風險。 - 2.1.1 崗位描述與職責：職位考慮相關安全問題，因為依員工職責有需訪問的對象、資源、服務，管理人員要審核特權分配，確保==最小權限==。 - 2.1.2 候選人篩選及招聘：查犯罪紀錄、教育，防假履歷。 - 技能挑戰、藥物測試、信用查核、駕駛記錄、性向測驗 - 社群媒體資訊及發言，確認是否符合企業文化 - 不同國家對背景調查(犯罪記錄)有很大不同，也要了解對歧視法律限制。 - OPT有考不調查「體能測驗」 - 2.1.3 入職:雇傭協議及策略：簽**NDA**，AUP，通過IAM給帳號(最小權限原則)。 - 2.1.4 員工監管：經過時間員工特權可能漂移或特權蔓延造成風險。幾個人共同犯罪行為叫共謀(collusion)，可用常見管理與評估技術如下： - 強制休假(發現欺詐) - 職責分離(預防欺詐) - 崗位輪換(發現欺詐) - 交叉培訓 - 嚴格監控特權帳號(admin、root) - UBA、UEBA監控可改進人員安全。 - 2.1.5 離職、調動和解雇流程：收回帳號、門卡，防報復。 - ==離職斷權限急==，防洩密。 - 歸還所有公司財產。 - 以下都會透露解雇意圖： - IT要求歸還NB - 停用網路帳號 - 停用ID及智能卡 - 撤銷停車證 - 公司重組圖表 - 把新員工安排加入工作區 - 解雇信息泄露給媒體 - 2.1.6 供應商、顧問和承包商的協議和控制： - 共同參與有多方風險 - **SLA**要包含組織生存關鍵組件(電路、APP、SYS、DB...) - VMS, Vendor Management System 供應商管理系統 - 2.1.7 合規策略要求：遵守規則、策略、法規、標準、要求 - 例如PCI DSS維持信用卡處理能力 - 2.1.8 隱私策略要求： - 防未經授權訪問PII - 保護個人或機密未經授權存取 - 防止未經同意或不知情被監視或檢查 - 個人權利與組織權利取得平衡 - 隱私與法律 - HIPAA《健康保险流通与责任法案》 - SOX《萨班斯－奥克斯利法案》 - FERPA《家庭教育权利和隐私法案》 - GDPR《通用数据保护条例》 - 組織安全策略需考慮隱私問題 #### (OSG補充) 2.2 理解並應用風險管理概念 - **概述**： 1. 系統性識別資產面臨的風險 2. 依資產價值、控制成本，評估及實施有成本效益的解方降風險 3. 支持組織使用、製定維護資訊安全策略 4. 目標，把風險降至可接受水平 - 風險管理的兩大要素（Risk Assessment/Analysis）： 1. 風險評估：分析環境風險，評估威脅可能性、損失、控制措施成本。對風險進行優先級排序，確保資源用在關鍵風險。 2. 風險響應（Risk Response）：評估控制措施成本效益（Cost-Benefit Analysis），調整響應策略，選定實施控制、記錄過程。 - 風險意識，提升組織風險認知。 - 2.2.1 風險術語和概念：威脅利用資產脆弱性導致暴露風險 - 資產(Asset)、資產價值AV - 威脅(Threat) 可能造成資產損害的潛在事件(外部或內部、故意或意外) - 威脅代理/主体（Threat Agent/Actor）：通常是人，用威脅來危目標。 - 威脅事件，例如火災、地震、洪水、人為錯誤 - 威脅向量，路徑或手段，例如EMAIL、網頁瀏覽、USB、WIFI、社交媒體、供應鏈、商業軟體 - 脆弱性(Vulnerability)資產的弱點，使威脅能造成損害的缺陷、漏洞、疏忽、錯誤... - 暴露(exposure)威脅導致資產受破壞的可能性，不表示真的發生，是指有可能，例如暴露因子(EF)：造成的損失 - 風險(risk) = 威脅 * 脆弱性 / 可能性 * 損害嚴重度 - 防護措施(safeguard) - 攻擊(attack) 威脅主體故意利用脆弱性造成資產破壞，不成功也算 - 破壞(breach) 成功的攻擊 - 2.2.2 資產估值：資產盤點評估價值。 - 2.2.3 識別威脅和脆弱性： - 參考NIST 800-30 - 附錄D 威脅來源 - 附錄E 威脅事件 - 評估與分析風險，應該是一個團隊包含各部門，而非單獨個人 - 2.2.4 風險評估/分析：定量算損失，定性分高中低。 - 目的是識別風險，按重要性排優先序 - 定性風險分析： - 基於場景，對威脅分級，評估風險成本影響 - 可用技術：頭腦風暴、故事板、焦點小組、調查、問卷、檢查清單、一對一會議、採訪、場景、Delphi技術 - 場景，是對單個主機威脅的書面描述，如何產生，帶來影響，限制一頁內，威脅級別用高中低，或1-10 - Eelphi技術，小組匿名反饋，提交給風險分析小組評估，過程不斷重複直到達成共識。 - 2.2.5 風險響應： - 風險緩解(risk mitigation) - 風險轉移(risk assignment) - 風險接受(risk acceptance) - 風險規避(risk avoidance) - 風險威懾(risk deterrence)讓威脅主體失去攻擊意願 - 風險拒絕(risk rejection)直接忽略，鴕鳥心態 - 故有風險是指做風險管理前原來的風險水平 - 採防護措施後剩下的風險叫殘餘風險 - 2.2.6 安全控制的成本與收益： - ALE（年度損失期望）= AV（資產價值） × EF（暴露因子） × ARO（年度發生率） - ALE1（防護措施實施前的年度損失期望）- ALE2（防護措施實施後的年度損失期望）- 防護措施的年度成本（ACS）若結果為正才有成本效益 - 2.2.7 選擇與實施安全對策： - 控制措施選擇： - 成本效益 - 真實解決問題，而不是跟風 - 成效可檢測驗證、可行的控制措施經得起公開披露 - 實施要求： - 一致性保護(應用於所有用戶、系統...)，減少依賴項，避免一連串故障。 - 防篡改，故障安全或保護選項 - 最低限度人為干預 - 縱深防禦： - 管理性控制措施(組織級)：策略、程序、背景調查、安全意識培訓等。 - 邏輯性/技術性控制措施（技術級）：身份驗證、加密、防火牆、入侵檢測系統（IDS）等。 - 物理性控制措施（設備級）：保安、門鎖、攝像機、警報器等。 - 2.2.8 適用的控制類型： ※※重要※※ 可以考各種措施或情境是哪一類型 - 我的記法是，「預防」重於治療，不教(指導)而殺(威懾)謂之虐。 - 中間是「偵測」，後面「補償」、「糾正」，最後「復原」 - 預防控制 (Preventive Control)，阻止、事前 - 例子：栅栏、锁、身份认证（authentication）、访问控制（access control）、加密（encryption）、FW、IPS。 - 指示控制 (Directive Control) 引導和限制，事前 - 例子：安全政策要求或標準、發布通知、安全指引、逃生標誌、監控監督和SOP... - 威慑控制 (Deterrent Control) 阻止、事前 - 例子：策略（policy）、安全意識培訓、鎖、柵欄、安全標識、CCTV、保安、訪問控制門廳。 - 檢測控制 (Detective Control) 發現、事中事後 - 例子：保安、运动探测器、CCTV、崗位輪換、強制休假、审计踪迹（audit trails）、蜜罐蜜網、IDS、違規報告、用戶監督審查、事件調查。 - 補償控制 (Compensating Control) 補充或替代、事後 - DRP、文件恢復、備份系统。 - 纠正控制 (Corrective Control) 恢復、事後 - 補償的加強版。 - 重開機、隔離病毒、DRP、備份復原、IPS、自動關門、文件完整性檢查如windows的sigverif替換受損啟動文件。 - 恢復控制 (Recovery Control) 恢復、事後 - 備份和恢復、容錯驅動系統、系統鏡像、服务器集群（server clustering）、防毒軟體、DB或VM鏡像、熱站溫站冷站、備用處理設施、服務機構、互惠協議、CSP...。 - 2.2.9 安全控制評估：security control assessment, SCA - 根據基線或可靠性期望對安全基礎設施進行正式評估。 - 確保安全機制有效性 - NIST SP 800-53 Rev.5 是政府機構的標準指南 - SCA 是政府流程，也適用想精進的組織 - 2.2.10 監視和測量： - 可監視與可測量性，才能量化、評估、比較證明有效 - 安全措施執行前要記錄，才有初始風險水平 - 2.2.11 風險報告和文檔： - 風險報告（Risk Report）是風險分析結束時任務，報告給利益關係人 - 有內部、外部第三方/公眾 - 準確、及時、全面，並定期更新 - 風險登記冊（Risk Register）： - 已識別的風險 - 風險嚴重性及優先級 - 追蹤風險緩解進度 - 2.2.12 持續改進： - 風險分析目的=>向管理層提供資訊，用於決策 - 緩解、轉移、規避、接受、威懾 - 是時間點度量，會不斷變化 - 風險成熟度模型(RMM)：※※重要※※ - 評估企業風險管理計畫(ERM) 1. 初始级 (Ad hoc)：混乱状态。 2. 预备级 (Preliminary)：初步建立流程，但部门间不一致。 3. 定义级 (Defined)：采用标准化风险框架。 4. 集成级 (Integrated)：风险管理融入业务流程，收集指标数据。 5. 优化级 (Optimized)：通过战略规划增加业务成功几率，并纳入经验教训。 - 遺留設備風險 - EOL(End-of-Life)：产品停止生产。 - EOSL (End-of-Service Life)：停止支持服务，导致设备存在未修补漏洞，高安全风险。 - 完整生命週期順序總覽 1. **Development & Testing** → 產品開發與測試。 2. **General Availability (GA)** → 正式上市，進入市場。 3. **Active Support** → 提供完整支持。 4. **End of Sales (EOSales)** → 停止銷售。 5. **End of Life (EOL)** → 終止生產，進入有限支持。 6. **End of Support (EOS)** → 停止所有支持，最後階段。 - 2.2.13 風險框架(Risk Framework)： - 評估、解決、監控風險方法或指南 - NIST 風險管理框架 (Risk Management Framework, RMF)：聯邦機構==強制==性要求 - 定義於 NIST SP 800-37 Rev.2 - 準備 (Prepare)：分析組織安全和隱私風險背景及優先序。 1. 分類 (Categorize)：對系統或資訊分類。 2. 選擇 (Select)：選擇控制措施以降低風險。 3. 實施 (Implement)：部署控制措施。 4. 評估 (Assess)：==驗證==控制措施是否==有效==。 5. 授權 (Authorize)：基於==風險接受水平==授權系統上線。 6. 監控 (Monitor)：持續評估控制措施有效性及環境變化。 - NIST 網路安全框架 (CyberSecurity Framework,CSF) - ==關鍵基礎設施、商業組織== 1. 識別 2. 保護 3. 檢測 4. 響應 5. 恢復 - ISO 風險管理指南： - ISO/IEC 31000 提供高層次風險管理理念 - 適用任何組織 - 配套文件：31004 實施指南，27005 資訊安全風險管理 - 其他風險框架 1. COSO（Committee of Sponsoring Organizations） – 企業風險管理綜合框架（ERM） - 這是一個非常權威的企業級風險管理框架 - 將風險管理融入企業的戰略與業務流程，幫助企業穩健運營並實現目標。 - 特點： - 將風險管理納入策略與目標設定過程。 - 提出八個組件（後來更新為五個基本要素）來指導企業風險實踐。 2. ISACA IT風險框架（如：Risk IT Framework） - ISACA 推出的 Risk IT Framework 專注於資訊技術領域的風險。 - 專注於信息技術相關風險，提供從識別到應對的全面方法，支持企業的IT風險管理。 - 特點： - 將IT風險與業務風險接軌。 - 協助從識別、評估、應對到監控的整體流程。 3. OCTAVE（Operationally Critical Threat, Asset, and Vulnerability Evaluation） - 由美國CERT（Software Engineering Institute, SEI）提出的風險評估方法。 - ==以組織為中心==，識別關鍵資產、威脅和脆弱性，制定針對性的保護策略。 - 特點： - 強調組織主導、風險驅動。 - 關注關鍵資產與其遭遇的威脅。 4. FAIR（Factor Analysis of Information Risk） - 業界常用的定量風險分析模型。 - 量化信息風險，將風險轉化為財務數據，幫助企業進行更精準的決策。 - 特點： - 將資訊風險轉化為可量化的財務損失（如預期年損失）。 - 支援成本效益分析與風險投資回報。 5. TARA（Threat Agent Risk Assessment） - 並非像 FAIR/OCTAVE 一樣是一個「完整框架」。 - 基於威脅代理的行為與目標，優先處理最關鍵的風險，提升整體安全性。 - 實際情況： - 主要由Intel提出，用於威脅建模與評估。 - 著重於分析攻擊者的動機、能力、資源與潛在目標。 - 用於幫助評估哪些威脅代理最有可能帶來影響。 #### (OSG補充) 2.3 社會工程 - 2.3.1 社會工程原理： - 服從權威(Authority)：例如伪造CEO身份发送指令邮件。 - 恐嚇(Intimidation)：声称员工不及时行动会面临处罚。 - 共识 (Consensus/Social Proof)： - 利用目标想要模仿社会规范或他人行为的倾向。 - 声称同事曾承诺某些优惠以促成交易。 - 稀缺性 (Scarcity)：声称只剩最后两张门票，若不购买将错失机会。 - 熟悉 (Familiarity/Liking)：伪造医生办公室来电ID进行钓鱼攻击。 - 信任 (Trust)： - 建立关系以获取目标的信任，从而诱导目标泄露信息或采取行动。 - 透過誘餌建立對陌生人的信任。 - 紧迫性 (Urgency)：声称若不立即支付发票，公司服务将被切断。 - 2.3.2 獲取信息：從系統或人員收集或匯聚。 - 防範措施：信息分類，限制敏感資訊傳輸移動、監控權限、培訓、回報 - 2.3.3 並置詞：在通信标题中添加术语或短语，以伪装攻击消息并建立借口。 - 常见前置词，如 RE:、FW:（表“关于”或“转发”） - 插入伪造的电子邮件头部值（如 X-Spam-Category: LEGIT 或 X-Spam-Condition: SAFE），绕过垃圾邮件过滤器、防火墙、IDS等安全措施。 - 2.3.4 網絡釣魚(Phishing)：窃取凭证、身份信息或安装恶意软件。 - EMAIL偽裝、惡意軟體、瀏覽器插件 - 2.3.5 魚叉式網絡釣魚（Spear Phishing）： - 针对性的网络钓鱼形式，信息精心设计针对特定用户群体。 - 商业电子邮件泄露 (BEC)： - 鱼叉式钓鱼的一种，冒充高层指令，诱骗财务人员转移资金或支付虚假发票。 - 又称“欺诈CEO”或“欺骗CEO” - 带外验证：通过不同媒介（电话、短信等）确认可疑通信的真实性。 - 2.3.6 網絡釣鯨(Whaling)： - 网络钓鲸是鱼叉式网络钓鱼的一种高级变体，专门针对高价值人员（如 CEO、高管、管理员、高净值客户）。 - 如果考題描述的是針對高層人員或特定目標的網絡攻擊，且選項中有釣鯨 (Whaling)，就選釣鯨，因為它是更精確的術語。 - 但是如果選項中沒有釣鯨，而有魚叉式網絡釣魚 (Spear Phishing)，那就選魚叉式網絡釣魚，因為它是釣鯨的父概念（更廣義的術語）。 - 2.3.7 短信釣魚(Smishing)： - 基于短信（SMS）的社会工程攻击，用于窃取信息、引导对话或触发费用扣除。 - 短信要求回复可能引发强制扣费。 - 短信内包含链接触发恶意代码或诈骗网站。 - 2.3.8 語音網絡釣魚(Vishing)： - 利用 VoIP 技术伪造呼叫 ID 或电话号码。 - 伪装本地号码诱骗目标接听电话。 - 2.3.9 垃圾郵件(Spam)： - 防範使用垃圾邮件过滤器（SPF、DKIM、DMARC） - 部署反垃圾邮件软件，可用于服务器级或客户端级保护。 - 2.3.10 肩窺：偷看螢幕，偷密碼。 - 显示器避免对外可见。 - 使用屏幕过滤器、屏蔽密码字段。 - 禁止公共场所处理敏感信息。 - 2.3.11 發票詐騙：通过虚假发票诱使目标付款，通常针对财务部门。 - 结合 BEC (商业电子邮件泄露) 增强欺骗性。 - 防范措施： - 职责分离：下订单与支付发票人员需分离。 - 审计与批准：所有发票与预期账单进行对比。 - 向行政部门报告异常发票。 - 2.3.12 惡作劇(Hoax)： - 核实信息真实性后再行动，不轻信威胁或急迫要求。 - 2.3.13 假冒和偽裝(Impersonation & Masquerading)： - 使用通行证验证身份。 - 非公司人员需预先安排访问并护送全程。 - 2.3.14 尾隨和捎帶(Tailgating & Piggybacking)： - 尾随：未经授权者趁合法人员开门时溜入建筑。 - 用户确保门已关闭。 - 使用访问控制门厅、安全摄像头和安保人员。 - 捎带：未经授权者通过伪装请求帮助进入设施。 - 要求提供授权证明。 - CCTV、旋轉門、保安 - 2.3.15 垃圾箱搜尋(Dumpster Diving)：翻垃圾找機密文件。 - 2.3.16 身份欺詐(Identity Fraud)：假身分騙權限。 - 身份盗窃 (Identity Theft)：窃取个人凭证（如用户名、密码、社会安全号）。 - 凭证劫持 (Credential Hijacking)：使用被盗凭证接管账户或资源。 - 2.3.17 誤植域名(Typo Squatting)：假網站騙輸入帳密。 - 拼写错误 (如 googel.com)、复数形式 (如 googles.com)、不同 TLD (如 google.edu)。 - 点击劫持：通过隐藏框架或脚本重定向用户点击到恶意目标。 - 广告软件：替换合法广告以吸引流量至恶意站点。 - 2.3.18 影響力運動(Influence Campaign)： - 通过虚假信息引导或改变公众舆论的社会工程攻击。 - 散布虚假信息、错误信息或假新闻。 - 类型： - Doxing：公开个人或组织信息进行打击或指控。 - 混合战争 (Hybrid Warfare)：将传统军事与数字影响力、心理战等结合。 - 社交媒体滥用：通过网络攻击扩散信息，影响受众。 #### (OSG補充) 2.4 建立和維護安全意識、教育和培訓計劃 - 2.4.1 安全意識(Security Awareness)： - 建立全体员工对安全的基础认知，培养安全责任感。 - 课堂教学、工作环境提示（如海报、屏保）、实时反馈。 - 2.4.2 培訓(Training)： - 所有员工需定期接受培训以跟进安全更新。 - 通过学习后测试、监控改进等评估培训有效性。 - 2.4.3 教育(Education)： - 寻求认证、职务晋升或安全专家岗位的人员。 - 2.4.4 改進(Improvement)： - 改变培训重点（个人、安全工程、设备安全等）。 - 采用多种教学形式（视频、角色扮演、VR等）。 - 鼓勵安全冠軍推廣實踐。 - 游戏化教学提升参与度（如竞赛、得分、徽章奖励）。 - 2.4.5 有效性評估(Effectiveness Assessment)： - 测验评估员工知识保留情况。 - 审查行为变化与安全事件趋势。 - 验证安全投资回报 (ROSI)。 #### (OSG補充) 2.5 本章小結核心内容：安全解决方案的设计与部署保护环境免受人员威胁：涉及招聘实践、角色定义、策略设置、标准遵守、风险管理等。 **招聘与入职：** - 招聘实践： - 撰写详细岗位描述 - 候选人筛选 - 背景调查等 - 入职流程： - 签署雇佣协议与保密协议（NDA） - 明确职责与法律责任 **员工管理与离职：** - 定期审查岗位描述、工作任务与权限分配 - 离职流程包括： - 取消网络访问权限 - 归还公司资产 - 进行离职面谈 **供应商与合规：** - 供应商控制：通过 SLA（服务等级协议）明确绩效与期望 - 合规性：遵守相关法律、法规与隐私政策 **风险管理：** - 目标：将风险降至可接受水平 - 关键活动包括： - 资产盘点 - 威胁分析 - 风险评估 - 风险响应 **社会工程攻击：** - 利用人性弱点进行攻击 - 常见形式包括： - 网络钓鱼（Phishing） - 鱼叉式钓鱼（Spear Phishing） - 商务电邮入侵（BEC） - 短信钓鱼（Smishing） - 防御措施： - 用户教育 - 定期的安全意识培训 **安全意识与培训：** - 学习层次： - 安全意识（Awareness） - 培训（Training） - 教育（Education） - 强化手段： - 定期评估与修订培训计划 - 结合安全带头人制度 - 通过游戏化（Gamification）提升学习效果 #### (OSG補充) 2.6 人員安全和風險管理考試要點 - 理解人员是安全的关键元素 - 在所有安全解决方案中，人员经常被视为最脆弱的元素。 - 无论部署了什么物理或逻辑控制措施，人总是可以找到方法来规避、绕过控制措施，或使控制措施失效。 - 当人员受到适当的培训，并被激励去保护自己和组织的安全时，他们可以成为关键的安全资产。 - 了解岗位描述的重要性 - 如果没有岗位描述，就不能对应该招聘哪类人员达成共识。 - 制订岗位描述是定义与人员相关的安全需求并招聘新员工的第一步。 - 理解雇用新员工对安全的影响 - 为实施恰当的安全计划，必须为岗位描述、岗位分类、工作任务、岗位职责、防范串通、候选人筛选、背景调查、安全调查、雇佣协议和保密协议设立标准。 - 确保新员工了解所需的安全标准，从而保护组织的资产。 - 理解入职和离职 - 入职是将新员工添加到组织的流程，包括组织特性的社会化和引导。 - 离职是在员工离开组织后，将其身份从 IAM 系统中删除的流程。 - 了解最小特权原则 - 最小特权原则指出用户应获得完成其工作任务或工作职责所需的最小访问权限。 - 理解保密协议 (NDA) 的必要性 - NDA 用于保护组织内的机密信息，使其不被前雇员披露。 - 当人员签署 NDA 时，他们同意不向组织外部的任何人披露任何被定义为机密的信息。 - 了解员工监督 - 在员工的整个雇佣过程中，管理人员应定期审查或审核每位员工的岗位描述、工作任务、特权和职责。 - 了解强制休假的必要性 - 为了审计和核实员工的工作任务和特权，可执行一到两周的强制休假。 - 该方法能够轻易发现特权滥用、欺诈或疏忽。 - 了解 UBA 和 UEBA - 用户行为分析 (UBA) 和用户与实体行为分析 (UEBA) 是为特定目标或意图，对用户、主体、访客、客户等行为进行分析的概念。 - 了解人员调动 - 人员调动可能被视为开除或重新雇用，而不是人员移动。 - 这取决于组织的政策及其认为能最好地管理这一变化的方式。 - 决定使用哪个程序的因素包括：是否保留相同的用户账户，是否调整他们的许可，他们的新工作职责是否与以前的职位相似，以及是否需要一个新的“历史清白的”账户以供新工作职位的审计。 - 能够解释恰当的解雇策略 - 解雇策略规定解雇员工的程序，应该包括有现场证人、禁用员工的网络访问权限和执行离职面谈等内容。 - 解雇策略还应包括护送被解雇员工离开公司，并要求其归还安全令牌、徽章和公司财产。 - 理解供应商、顾问和承包商的控制 - 用于确定组织主要的外部实体、人员或组织的绩效水平、期望、补偿金额和影响。 - 通常，这些控制条款在 SLA 文档或策略中规定。 - 理解策略合规 - 合规是符合或遵守规则、策略、法规、标准或要求的行为。 - 在个人层面，合规与员工个人是否遵守公司策略并按照规定的程序执行工作任务有关。 - 了解隐私如何融入 IT 安全领域 - 了解隐私的多重含义及必须保护隐私的原因。 - 探讨与隐私相关的问题，尤其是在工作环境中。 - 能够定义整体的风险管理 - 风险管理过程包括识别可能造成数据损坏或泄露的因素，根据数据价值和控制措施的成本评估这些因素，并实施具有成本效益的解决方案来减轻或降低风险。 - 通过执行风险管理，为全面降低风险奠定基础。 --- ### (OSG補充) CH3 業務持續運作計畫(BCP) - D1. 安全與風險管理 - D1.8 業務持續性(BC)需求的識別、分析、優先序 - D1.8.1 BIA 業務衝擊分析 - D1.8.2 制訂並記錄範圍與計畫 - D7. 安全運營 - D7.13 BCP和演練 - 為什麼需要BC / DR ? - 面臨災害會影響營運，想像重要業務系統無法使用時的狀況 - ISC2把 BC / DR 列入CBK #### (OSG補充) 3.1 業務連續性計畫概述 - BCP是什麼? - 評估組織流程風險 => 創建策略、計畫、程序 WHY? - 降低風險發生造成的影響 => 維持「==業務持續運作==」 - BC VS DR - 現實中是模糊的 - 硬要分就是看的==視角==不同 - BCP 重點是戰略性、關注上層、以業務流程營運為中心 - DRP 重點是戰術性，恢復站點、備份、容錯 - 上面只是用文字區分，但重點還是可達成目標 / 目的 - OPT有考==RAID是BC ? DR?==，答案是BC，主要還是看這項技術可以達成的目標。 - BC目標 - 快速、冷靜、有效響應，從破壞性事件快速恢復的能力 - BC的4個階段 1. 項目範圍、計畫 2. BIA 業務衝擊分析 3. BCP 4. 計畫批准與實施 #### (OSG補充) 3.2 項目範圍、計畫 - 目標 - 從==危機==規劃==角度==進行結構化組織==分析==。 - 獲高階管理層批准，組建==BCP團隊==。 - 評估可用於BCP的==資源==。 - 分析==法律==與監管環境==要求==。 - 流程依據 - 依組織規模與業務性質調整。 - 無通用的BCP指南，需與項目規劃專業人員合作。 - 記錄範圍與計畫，供未來參考。 - 1. 組織分析 (目的、範圍、打算怎麼做、誰來做) - **目的**：==識別==與BCP相關的所有部門與個人。 - **範圍**： - 核心服務部門（客戶服務）。 - 關鍵支持部門（IT、設施維護）。 - 物理安全團隊（第一響應者）。 - 高階管理層及其他關鍵人員。 - **識別為何重要?**： - 打基礎影響到能不能正確響應。 - **執行**： - 由BCP負責人（==專職或IT管理者==都行）進行。 - 團隊成立後，==全面審查==分析結果，修正遺漏，很重要。 - **注意**：考慮所有地點（總部、分支、雲服務商），涵蓋潛在災難。 - 2. 選擇BCP團隊 - **錯誤做法**：僅IT/安全部門負責，無其他部門參與，可能導致： - 缺乏業務知識。 - 操作細節未確定，影響執行。 - **團隊組成**：涵蓋相關部門人員 - 核心服務部門代表。 - 各職能區域業務單元成員。 - IT專家（技術專長）。 - 網絡安全成員（BCP知識）。 - 物理安全與設施管理團隊。 - 法律顧問（法規與合同）。 - 人力資源（人員配置）。 - 公共關係（危機溝通）。 - 高階管理層（願景與資源）。 - **技巧**： - 平衡多樣性與和諧，選擇適合技術、財務、政治環境的成員。 - 接受部門傾向（如認為自身最重要），有效領導轉化為計畫平衡。 - 避免地盤爭鬥，需強領導力。 - 3. 高階管理層角色 - **職責**： - 設定優先級，提供人力與財務資源。 - 仲裁關鍵服務爭議。 - **重要性**： - 積極參與傳達BCP重要性，促進員工支持。 - 法規可能要求高層參與，否則面臨法律責任。 - **案例**： - 高層支持（如發郵件、參加會議）顯著提升BCP成效。 - 需說服高層視BCP為必要投資，非可有可無。 - 4. 資源需求 - **階段**： - **BCP開發**：人力為主（團隊與支持人員）。 - **測試、培訓、維護**：硬體、軟體與人力。 - **實施**：大量資源（人力、財務），需謹慎使用。 - **重點**： - 人力是最關鍵資源，高層關注其成本。 - 需以邏輯嚴密的業務案例證明BCP必要性。 - 5. 宣傳BCP收益 - **反對意見**：認為災難機率低，可「隨機應變」。 - **應對**： - 計算停機成本（直接與間接）。 - 實施BCP成本 VS. 隨機應變成本。 - **醫療案例**：BCP對醫療系統至關重要，防勒索軟體等可用性攻擊。 - 6. 法律與法規要求 - **影響**： - 上市公司：高層需盡職，否則承擔責任。 - 緊急服務：BCP失敗可能損生命財產。 - 金融機構：嚴格法規確保運營。 - 製藥企業：證明災後藥品純度。 - **合同義務**： - SLA違約可能導致客戶流失。 - 完善BCP可提升客戶信心，贏得業務。 - **法律顧問參與**： - 熟悉法規與合同，確保計畫合規。 - 全程參與（包括測試與維護），因法規常變。 - 記憶要點 - **結構化分析**：全面涵蓋部門、地點。 - **團隊多樣性**：跨部門協作，防孤立計畫。 - **高層支持**：傳達重要性，確保資源。 - **資源管理**：人力為主，需業務案例。 - **法規合規**：法律顧問全程參與。 --- #### (OSG補充) 3.3 業務影響分析（BIA）※※重要※※ - 概述 - **定義**：**業務影響分析（BIA）**像組織的“體檢”，找出關鍵流程、任務、威脅，評估發生可能性與影響。 - **目的**：為業務連續性資源分配優先級，應對本地、區域、全球風險。 - **CISSP考點**：Domain 7，BIA常考情境題。 - 分析方法 - **定量評估**：用數字與公式（如金錢價值）評估（例如：停機一天燒多少錢）。 - **定性評估**：考慮非數字因素（如聲譽、客戶信心）(例如：失去大客戶的長期影響)。 - **注意**：要取得平衡。 - 與風險評估比較 - **相似**：均用標準風險評估技術。 - **不同**： - 風險評估：聚焦單一資產。 - BIA：聚焦==業務流程==與任務。 - **記憶**：風險評估是“點”，BIA是“面”。 1. 確定優先級 - **任務**：列出關鍵業務功能，按重要性排序。 - **方法**： - 分擔任務，各部門列功能清單。 - 再依組織優先序彙整成一列表。 - **注意**： - 確保跨部門代表性，防遺漏。 - **定量指標**： - **資產價值（AV）**：為資產分配貨幣價值。 - **最大允許中斷時間（MTD）**：功能故障不致重大損害的最長時間。 - 例：零售網站MTD幾分鐘，內部郵件數小時。 - **恢復時間目標（RTO）**：實際恢復所需時間，需小於MTD。 - **恢復點目標（RPO）**：可接受數據丟失時間（如15分鐘備份）。 - **記憶**：MTD是對業務產生無法彌補損害的底線，RTO中斷後實際恢復業務所需時間，RPO是可容許的資料遺失時間。 2. 風險識別 - **類型**： - **自然風險**：暴風、地震、流行病。 - **人為風險**：恐怖活動、盜竊、斷電。 - **方法**：團隊腦力激盪，列出所有風險。 - **性質**：定性分析，僅識別風險，不評估可能性或損害。 - **雲服務注意**： - 考慮雲提供商BCP（如SaaS供應商SLA）。 - 驗證控制措施（如SOC-2/3報告，非SOC-1）。 3. 可能性評估 - **任務**：為每風險確定**年度發生率（ARO）**，即==每年預期次數==。 - **方法**： - 依公司歷史、專家建議（如USGS地震圖、FEMA洪水圖）。 - 利用保險公司風險資料庫。 4. 影響分析 - **定量指標**： - **暴露因子（EF）**：風險損害百分比（如火災毀70%建築）。 - **==單一損失期望（SLE）==**：SLE = AV × EF（如500,000美元 × 70% = 350,000美元）。 - single loss expectancy = AssetValue x Exposure Factor - **==年度損失期望（ALE）==**：ALE = SLE × ARO（如350,000美元 × 0.03 = 10,500美元）。 - Annual Loss Expectancy = single loss expectancy x Annual Rate of Occurrence - **定性影響**： - 聲譽損失、員工流失、負面宣傳。 - 例：客戶流失，業務難重啟。 - **記憶**： - 公式：EF × AV = SLE，SLE × ARO = ALE。 5. 資源優先級排序 - **定量**： - 按ALE降序排序風險，分配資源。 - 處理頂部風險，或直至資源耗盡。 - **定性調整**： - 考慮聲譽等因素調整優先級。 - 例：消防公司優先防火災，保聲譽。 - **方法**：合併定量與定性列表，與高層協商。 - 記憶要點 - **BIA核心**：優先級、風險、可能性、影響、資源。 - **定量公式**：AV → SLE → ALE，MTD/RTO/RPO。 - **定性關鍵**：聲譽、客戶，錢買不到的東西。 - **雲端提醒**：別忘了CSP的BCP！ --- #### (OSG補充) 3.4 連續性計劃 ※※重要※※ - 概述 - **定義**：**連續性計劃**像公司的“防災演練”，制定策略與流程，降低風險對資產影響（例：網站不因颱風斷線）。 - **目的**：建立**連續性運營計劃（COOP）**，中斷後快速執行關鍵功能，維持一個月運營。 - **CISSP考點**：Domain 7，常考COOP策略與資產保護。。 - **記憶**：BIA是“診斷”，BCP是“開藥”。 1. 策略開發 - **任務**：依BIA優先級（MTD與風險），決定處理哪些風險（例：新德里雨季需防，埃及暴風雪可忽略）。 - **方法**： - 審查MTD，判斷可接受風險與需緩解風險。 - 分配資源給緩解任務（例：備用伺服器）。 2. 預備與處理 - **任務**：設計流程與機制，保護三類資產：人員、設施、基礎設施。 - **資產保護**： - **人員**： - **定義**：確保員工災前、災中、災後安全，優先於業務（例：颱風來前撤離）。 - 提供資源（如食物、住所），定期更新庫存（例：換過期物資）。 - **設施**： - **加固措施**：保護現有設施（例：修漏水屋頂、裝防火牆）。 - **備用站點**：若加固不足，準備備用場地（例：異地倉庫），屬DRP執行。 - **基礎設施**： - **物理加固**：保護IT與通信（例：滅火系統、UPS電源）。 - **備用系統**：引入冗餘（例：備用伺服器、不同線路）。 - **雲服務注意**：檢查雲提供商BCP（如AWS備用站點）。 - 記憶要點 - **COOP**：中斷後快速執行關鍵業務功能，維持一個月運營。 - **策略開發**：依BIA優先級，決定緩解哪些風險。 - **預備與處理**：保護人員、設施、基礎設施，優先人員安全。 - **考點**：Domain 7，情境題常考COOP策略與MTD應用。 --- #### (OSG補充) 3.5 計劃批准和實施 - 概述 - **定義**：**計劃批准和實施**像BCP的“結案報告”，獲高層簽署後執行、培訓、文件化、測試（例：確保颱風後業務不中斷）。 - **目的**：確保BCP有效部署，維持業務連續性。 - **CISSP考點**：Domain 7，常考高層支持與BCP維護。 - **記憶**：BIA是“找病因”，計劃批准和實施是“執行療程”。 1. 計劃批准 - **任務**：獲高層（如CEO）批准BCP，確認重要性（例：老闆簽名讓計畫有分量）。 - **方法**： - 高層參與設計，簡化批准。 - 無參與則詳細解釋目的與規定。 - **注意**：高層支持對BCP工作是否成功極為重要。 2. 計劃實施 - **任務**：部署BCP資源，執行計畫（例：備用伺服器上線）。 - **方法**： - 制定實施計畫，依資源與環境調整。 - 監督維護程序，隨業務變化更新。 - **注意**：計畫趕不上變化，要不斷更新。 3. 培訓和教育 - **任務**：培訓BCP相關人員，簡報全體員工（例：教員工颱風應變）。 - **方法**： - 直接負責人接受任務培訓，備至少一名後備。 - 全員都收到簡報，增加決心。 4. 文件化 - **任務**：記錄BCP流程與關鍵內容，提供參考（例：緊急時查手冊）。 - **組成**： - **目標**：確保業務連續運營（例：呼叫中心停機不超15分鐘）。 - **重要性聲明**：高層信函，強調BCP價值（例：CEO簽名）。 - **優先級聲明**：列關鍵功能，來自BIA（例：網站優先）。 - **組織職責聲明**：全員配合BCP（例：供應商也得幫忙）。 - **緊急程度和時限**：定實施時間表（例：3個月部署）。 - **風險評估**：重述BIA定量（AV、SLE、ALE）與定性分析。 - **風險接受/緩解**：說明接受或緩解策略（例：接受低風險）。 - **重要記錄計劃**：標識與儲存關鍵記錄（例：客戶資料備份）。 - **應急響應指南**：列立即響應、通知與二級程序（例：火警撤離）。 - **維護**：定期更新BCP，版本控制（例：舊版本銷毀）。 - **測試和演練**：驗證計畫有效性（例：模擬斷電）。 - **注意**：沒有文件化就像隨便亂做，打假球。 - 記憶要點 - **BCP批准**：高層簽署確認計劃，增可信度。 - **實施**：部署資源，持續維護計畫。 - **培訓**：全員簡報，負責人培訓與後備。 - **文件化**：記錄目標、聲明、風險、記錄與應急指南，定期更新。 - **考點**：Domain 7，情境題常考高層支持與BCP測試。 --- #### (OSG補充) 3.7 BCP 考試要點 ※※重要※※ - 概述 - **定義**：**BCP考試要點**像CISSP的“重點整理”，總結BCP四階段與關鍵概念，確保業務連續性（例：颱風後網站不停機）。 - **目的**：掌握BCP流程、BIA步驟、團隊組成與文件化，應對Domain 7考題。 - **CISSP考點**：Domain 7，常考BCP階段與情境題。 - 與DRP比較 - **相似**：均確保業務恢復，依風險優先級。 - **不同**： - BCP：預防與維持運營。 - DRP：災後恢復（如備用站點）。 - **記憶**：BCP是“防災”，DRP是“救災”。 1. BCP四階段 - **任務**：執行四步驟，確保業務連續性（例：網站不因斷電停擺）。 - **階段**： - **==項目範圍和計劃==**：確定BCP參與部門與人員。 - **業務影響分析**（==BIA==）：識別風險與優先級。 - **連續性計劃**(==BCP==)：制定COOP與保護策略。 - **計劃批准和實施**：獲高層批准，部署與維護。 - **注意**：四階段像準備聯考，缺一不可。 2. 業務組織分析 - **任務**：選定BCP參與部門與人員（例：IT與法務需入隊）。 - **方法**： - 分析組織結構，確定關鍵部門。 - 組成BCP團隊，指導後續開發。 - **注意**：選人像組樂團，每個角色都得有。 3. BCP團隊組成 - **任務**：確保團隊涵蓋關鍵角色（例：不能只有IT）。 - **成員**： - 各部門代表（運營、支持）。 - IT技術專家。 - 物理與IT安全專家。 - 法務代表（懂法律與合約）。 - 高層代表。 - **注意**：團隊像夜市攤位，缺一味就不對。 4. 法律與監管要求 - **任務**：遵守法律與合約，保護股東利益（例：金融業須備BCP）。 - **要求**： - 聯邦、州、地方法規。 - 客戶合約義務。 - **注意**：法規像交通規則，不守就挨罰。 5. BIA步驟 - **任務**：執行五步驟，評估風險與優先級（例：網站斷線的影響）。 - **步驟**： - 確定優先級：列關鍵功能。 - 風險識別：列自然與人為風險。 - 可能性評估：算ARO（年度發生率）。 - 影響分析：定量（SLE、ALE）與定性（聲譽）。 - 資源優先級排序：依ALE與定性調整。 - **注意**：BIA像看病，診斷得精準。 6. 連續性策略開發 - **任務**：制定保護策略，降低風險（例：備用伺服器防斷線）。 - **方法**： - 策略開發：依BIA選緩解風險。 - 預備與處理：設計保護機制（人員、設施、基礎設施）。 - 獲高層批准與實施：培訓與部署。 - **注意**：策略像買保險，重點風險先保。 7. 文件化重要性 - **任務**：記錄BCP，提供書面參考（例：緊急時查手冊）。 - **好處**： - 緊急時有序執行。 - 記錄歷史，助修改。 - 識別缺陷，經合理性檢查。 - **注意**：文件化像寫筆記，沒寫下來就忘了。 - 記憶要點 - **BCP四階段**：項目範圍和計劃、BIA、連續性計劃、批准和實施。 - **BIA五步驟**：優先級、風險識別、可能性、影響、資源排序。 - **團隊組成**：部門、IT、安全、法務、高層代表。 - **文件化**：提供書面程序，確保緊急時有序執行。 - **考點**：Domain 7，情境題常考BCP階段與BIA步驟。 DRP 看這裡 https://hackmd.io/M8SFYL60RL682APYEl0Qww --- ### (OSG補充) CH4 法律、法規和合規 - D1. 安全與風險管理 - D1.4 确定合规和其他要求 - D1.4.1 合同、法律、行业标准和监管要求 - 确保组织遵守相关法律法规、行业标准及合同义务，以维护合规性。 - D1.4.2 隐私要求 - 保护个人资料隐私，符合全球及地区性隐私法规，如GDPR。 - D1.5 全面理解全球范围内与信息安全相关的法律和监管问题 - D1.5.1 网络犯罪和数据泄露 - 应对全球网络犯罪趋势及数据泄露事件，强化安全防防护。 - D1.5.2 许可和知识产权(IP)要求 - 管理软件许可、保护知识产权，防范侵权风险。 - D1.5.3 进口/出口控制 - 遵守国际贸易法规，管理敏感技术与数据的跨境传输。 - D1.5.4 跨境数据流 - 确保跨境数据传输符合各地法规，避免违规风险。 - D1.5.5 隐私 - 全球隐私保护要求，特别是个人数据的跨境处理与存储。 #### (OSG補充) 4.1 法律的分類 - 概述：法律體系分刑事法、民事法、行政法。 ###### (OSG補充) 4.1.1 刑法： - 刑法的目的 - 保障社會安全，維護秩序，懲罰違法行為。 - 涵蓋各種犯罪，如謀殺、襲擊、搶劫、縱火等。 - 計算機犯罪相關刑法 - 《計算機欺詐與濫用法案》Computer Fraud and Abuse Act,CFAA - 《電子通信隱私法案》Electronic Communications Privacy Act,ECPA - 《身份盜用與侵占防治法》Identity Theft and Assumption Deterrence Act, ITAD Act - 適用於嚴重的計算機犯罪案件，可進行刑事處罰。 - 執法與調查 - 執法機構利用技術調查計算機犯罪，例如追蹤電子郵件來源、審計系統日誌等。 - 計算機犯罪可能透過網絡針對個人或組織進行攻擊。 - 刑法適用範圍 - 在美國，由聯邦與州政府立法機構制定刑法。 - 聯邦法律適用於跨州案件或違反聯邦法律的行為。 - 所有法律皆須遵守《美國憲法》。 - 地方法院可對法律進行司法審查，如違憲則可推翻。 - 計算機犯罪的法律後果 - 嚴重計算機犯罪可能會被關，也會賠錢。 - 受害者、證人或被告應找律師協助。 ###### (OSG補充) 4.1.2 民法： - 民法的目的 - 維護社會秩序，解決個人與組織間的非刑事爭議。 - 涵蓋合約糾紛、房地產交易、雇傭問題、財產及遺囑公證等。 - 民法的制定與執行 - 需經立法程序通過，並受憲法及司法審查約束。 - 收錄於《美國法典》(USC)，與刑法並列。 - 政府不主動介入，爭議方須自行聘請法律顧問提起民事訴訟。 - 法院提供審理機制，但政府不偏袒任何一方。 - 民事訴訟影響 - 不會被關，但敗訴要賠錢。 - 尋求法律援助。 ###### (OSG補充) 4.1.3 行政法： - 行政法的概念 - 規範政府機構日常運作，包括政策、程序與規章。 - 涉及事項範圍廣泛，從簡單行政流程(瑣碎)到重大政策執行。 - 收錄於==《美國聯邦法規》(CFR, Code of Federal Regulations)==。 - 行政法與其他法律的關係 - 不用立法部門批准，但須符合現有民法與刑法。 - 行政法不得違背憲法，且受司法審查監督。 - 合規性的重要性 - 組織要了解適用法律、監管要求，以維持安全與合法性。 - 尋求法律專業人士協助，以確保合規性並降低風險。 #### (OSG補充) 4.2 資訊安全法律 - 概述： - 最早以前法律不完善，許多計算機案件判沒罪 - 現在州法律可能比聯邦法更嚴，罰更重 - 現在包含美國法律及國際法（如 GDPR） - 若組織涉及跨國法規，應聘當地法律顧問。 - 在灰色地帶時尋求專業法律建議。 ###### (OSG補充) 4.2.1 電腦犯罪法： 1. 《計算機欺詐和濫用法案》(CFAA) - 1984美國針對網絡犯罪的第一項重要立法。 - 為《全面控制犯罪法》CCCA一部份 - 禁止以下行為： - 未經授權訪問聯邦系統機密信息或財務信息 - 未經授權訪問聯邦專用計算機 - 利用聯邦計算機進行欺詐 - 對聯邦計算機系統造成惡意損害超過 5000美元 - 修改醫療記錄影響診斷或治療 - 非法交易計算機密碼 - 與聯邦利益有關的所有計算機(美國政府、金融機構、跨州犯罪) 2. CFAA 修正案 (1994) - ==惡意代碼==為非法行為。 - 擴展 => ==州際貿易==所有計算機。 - 允許關抽，即使尚未損害。 - 允許受害者提告民事訴訟，法律救濟和賠償。 - Aaron法案-CFAA刪除違反網站服務條款定為刑事犯罪 - Van Buren v. U.S.是一名警察。他被聯邦調查局（FBI）指控收受賄賂，以換取在執法資料庫中搜尋特定車牌號碼。 - 政府主張「逾越授權存取」涵蓋了為了不正當目的而存取有權存取的資訊（即「目的導向」的解釋）。 - 范布倫主張「逾越授權存取」僅指存取原本沒有權限存取的資訊 - 最高法院說，CFAA 的「逾越授權存取」指的是你本來就沒有權限看的東西，而不是你看了有權限看的東西但目的不對。 3. 《國家信息基礎設施保護法案》(1996) - 擴展 CFAA，使其涵蓋==國際貿易==中的計算機系統。 - 保護==關鍵國家基礎設施，如電網、天然氣管道、電信系統==等。 - 故意破壞國家基礎設施的行為可被視為重罪。 4. 聯邦量刑指南 (1991) - 設立 **謹慎人規則**，要求高級管理人員對信息安全負擔個人責任。 - 允許組織通過 **盡職調查** 降低罰則。 - 提出疏忽責任的三大舉證標準： - 責任方負有法律義務 - 未遵守公認標準 - 疏忽行為與損害結果因果關係 5. 《聯邦信息安全管理法案》(FISMA, 2002) - 要求==聯邦機構==實施==信息安全管理程序==，涵蓋合約商活動。 - NIST制訂 - 主要要求： - 定期風險評估（包含信息泄露、未授權存取等） - 制定安全策略，降低風險至可接受水平 - 為信息系統建立安全計劃 - 培訓員工，提升安全意識 - 每年至少一次安全控制測試與評估 - 規劃、實施、評估、記錄補救措施過程 - 建立事件檢測與響應機制 - 制定業務連續性計劃 6. 《聯邦網絡安全法案》(2014) - 修改 FISMA，將聯邦網絡安全責任集中至 **美國國土安全部**，但國防安全仍由 **國防部** 負責，情報事務由 **國家情報機構** 管理。 - 透過 **NIST** 制定與協調全國網絡安全標準。 - NIST 重要標準 - **NIST SP 800-53**：聯邦信息系統的安全與隱私控制。適用聯邦計算機系統，也常用作行業網路安全基礎。 - **NIST SP 800-171**：保護非聯邦政府的組織或企業中的敏感資訊，資訊不是機密級的，但因跟政府有合作，==政府承包商==需遵守。 - **NIST 網絡安全框架 (CSF)**：基於風險的安全框架，適用於企業與政府。 8. 《國家網絡安全保護法》 - 建立 ==國家網絡安全和通信中心==，充當政府與企業間的網絡安全信息共享接口。 ###### (OSG補充) 4.2.2 知識財產權： - 知識產權IP 的概念 - 包括品牌名稱、創作作品、產品秘方及生產工藝等無形資產。 - 用法律保護，防止未經授權的複製或使用。 - **主要知識產權類型** - **著作權 (Copyright)**：保護原創作品，如文學、音樂、軟體源碼等。 - **商標 (Trademark)**：保護公司名稱、產品名稱、標誌和口號，以防市場混亂。 - **專利 (Patent)**：保護創新發明，包括硬體設備、製造工藝和軟體功能。 - **商業秘密 (Trade Secret)**：保護企業機密資訊，如配方、演算法和數據模型。 - 著作權 (Copyright) - 適用於八類原創作品，包括文學、音樂、戲劇、啞劇舞蹈、繪畫圖形雕刻、電影、聲音、建築。 - 軟體屬於文學作品，保護源代碼，不保護背後思想或過程 - UI外觀感覺還有爭議 - 著作權自作品創作完成時即自動生效，無需正式註冊即可享有保護。 - **著作權保護期限**： - 作者作品：作者去世後 70 年。 - 受僱創作作品：首次發表後 95 年或創作後 120 年，以較短者為準。 - **《數位千禧年著作權法》(==DMCA==, 1998)** - 禁止繞過數位版權保護機制，如防止複製 CD/DVD。 - 對違法者最高罰款 $100W美元，關10年。 - 免除網路服務供應商 (ISP) 的版權責任，前提是符合特定條件。 - 商標 (Trademark) - 保護品牌名稱、標誌及行銷口號。 - 商標可自動獲得保護，但向 **美國專利商標局 (USPTO)** 註冊可提供更強保護。 - 商標有效期： - 初始有效期 ==10== 年，可無限續期。 - 註冊流程包括商標盡職調查，確保無與其他商標衝突。 - 專利 (Patent) - 實用專利 (Utility Patent)：保護新穎、實用、有創造性的技術發明，保護期 20 年。 - 外觀設計專利 (Design Patent)：保護產品的外觀設計，保護期 15 年。 - 軟體專利仍具爭議，某些公司為演算法申請專利，但科技業內有不同看法。 - 商業秘密 (Trade Secret) - 保護企業機密資訊，如配方、製造流程、演算法等。 - 無需註冊，但企業需實施嚴格的存取控制並簽署保密協議 (NDA)。 - 與專利和著作權不同，商業秘密==無時間限制==，但若外流則失去保護。 - 《經濟間諜法案》(Economic Espionage Act, 1996) - 竊取商業秘密若涉及外國政府，可判罰 $50W美元及最高 15 年監禁。 - 其他商業秘密竊取行為可判罰 $25W美元及最高 10 年監禁。 - 公司須採取充分的保護措施，否則商業秘密可能失效。 ###### (OSG補充) 4.2.3 許可 4.2.4 進口/出口控制 - **軟體許可協議 (Software Licensing Agreements)** - 了解不同類型的軟體許可，確保合法使用軟體。 - 常見許可協議類型： - 合約許可與書面合約：確定供應商與客戶的責任，用於高價或專業軟體。 - 開封生效許可：使用包裝封條，拆封即表示同意協議。 - 單擊生效許可：安裝點選「我同意」按鈕確認協議。 - 雲服務許可：確認框，沒看清楚就點可能會讓組織有法律風險。 - 進出口控制 (Import/Export Controls) - ==計算機==與==加密技術==可應用於軍事領域，因此受到出口管制。 - 美國政府制定規範，限制敏感技術的出口，管理跨國新技術、知識產權及個人身份資訊。 - 主要出口管制法規： - 國際武器貿易條例 (ITAR) - 管理軍事與國防相關物品的出口，包括技術資訊。 - 受管制物品列於==美國軍需品清單 (USML)==，記錄於 22 CFR 121。 - 出口管理條例 (EAR) - 監管商業用途但可能有軍事應用的技術。 - 受管制物品列於==美國商業控制清單 (CCL)==，涵蓋信息安全產品。 - 計算機出口管制 - 目前美國出口高性能計算機，無需政府批准。 - 加密技術出口管制 - 早期美國嚴格限制加密技術出口，不利競爭。 - 近期政策放寬，允許零售與大眾市場安全軟體經 **美國商務部** 審查後出口。 - 期限不超過 **30 天**，但政府機構可能延遲，企業可透過法律訴訟。 ###### (OSG補充) 4.2.5 隱私法 - 隱私權概述 - 在美國憲法未明確保障隱私，法院及美国公民自由联盟(ACLU)等支持隱私權。 - 歐洲個人隱私保護嚴格，瑞士以保密金融數據聞名。 1. 美國隱私法 - ==第四修正案==：防止政府未經授權==搜索或竊聽==私人財產。 - 1974年==《隱私法案》==：限制==聯邦機構==不能洩露公民個資(規定執法、查戶口、國家檔案、健康安全及法院命令的例外狀況)。 - ==只適用政府==，不適用公司及民間組織處理個資。 - 1986年《電子通信隱私法案》(ECPA)：禁止非法監聽通信(Email、語音、通訊等...)。 - 1994年《通信執法協助法案》(CALEA)：規定通信業者須允許執法機構在合法判決下進行竊聽。 - 1996年《健康保險流通與責任法案》(HIPAA)：要求醫療機構保護病患的健康資訊。 - 2009年《健康信息技術促進經濟和臨床健康法案》(HITECH)：強化 HIPAA。 - 商業夥伴管理：處理PHI的商業夥伴也要遵守HIPAA，簽商業夥伴協議(BAA) - 資料外洩通知：資訊外洩要通知個人，超過500人要報告 - 美國衛生與社會服務部 (HHS) - 向媒體公告 - 數據外洩通知法規 - 美國各州對個資外洩通知要求不同。 - 加州 SB 1386 (2002) 是首例，規定個人身份資訊 (PII) 外洩時需通知受害者。 - PII包含未加密內容： - 社會安全碼SSN、駕照號碼、國家身份證號碼、信用卡號、銀行帳戶(若能與安全碼或密碼結合存取)、醫療健康資訊、健康保險... - 2018年，全美50州皆已制定類似法律。 - 兒童在線隱私保護法 (COPPA, 1998) - 針對收集 **13 歲以下** 兒童資訊的網站，要求採取隱私保護措施。 - 網站必須提供： - 隱私聲明，說明收集的資訊類型及用途。 - 供父母查閱及刪除兒童資訊的權利。 - 先徵得父母同意，才能收集兒童資訊（除特殊例外）。 - Gramm-Leach-Bliley 法案 (GLBA, 1999) - 主要針對金融機構，要求銀行、保險公司及信貸提供商嚴格保護客戶資訊。 - 核心規範： - 限制子公司之間共享個人金融資訊。 - 金融機構需向客戶提供隱私政策，說明如何處理個資。 - 美國愛國者法案 (USA PATRIOT Act, 2001) - 因應 9/11 恐怖攻擊而制定，擴大執法機構監控權力。 - 關鍵影響： - 允許對個人所有通信設備進行監聽，而非單條通信線路。 - 授權執法機構取得羅列型商業記錄(如圖書館、金融、電信) - 允許網路服務供應商 (ISP) 和第三方在無需慣任下配合執法單位。 - 修正《計算機欺詐與濫用法案》(CFAA)，加重刑責，可判監 20 年。 - 法規狀態： - 2015 年部份條款過期，但部分內容由《美國自由法案》延續。 - 2020 年再次過期，未獲更新，未來狀態仍不確定。 - 《美國自由法案》2015年通過 - 限制政府對美國公民的監控，取代部分愛國者法案條款。 - 禁止美國國家安全局 (NSA) 進行大規模電話數據收集，改為透過特定「選擇器」(如電話號碼) 來獲取資訊。 - 家庭教育權利與隱私法案 (FERPA) - 適用於所有接受聯邦資助的教育機構（大部分學校）。 - 學生及家長權利： - 檢視教育機構保存的學生記錄。 - 要求更正錯誤記錄，或將個人聲明納入記錄。 - 非特殊情況下，學校不得未經書面同意公開學生個資。 - 身份盜用與侵占防治法 (1998) - 讓身份盜用的受害者為個人，而不僅限於債權人。 - **罰則**： - 最高關15 年或罰款 25W美元。 - 工作場域隱私規範 - 隱私預期：例如寄信密封，就預期郵寄中途不會被打開，預期是合理的 - 法院裁定員工在使用雇主提供的設備進行通訊時，隱私權預期較低。 - 企業可以監控員工的電腦、網絡活動、電子郵件等，只要事先通知並符合政策。 - 員工在辦公環境下使用公司設備時，隱私權的期待較低，如果要確保隱私，應該使用個人設備與私人通訊管道。 - 組織監控員工通訊可行方式： - 雇傭合約條款載明員工無隱私預期。 - 企業可接受使用政策聲明監控政策。 - 於登入畫面提供監控警示標語。 - 在電腦或電話設備張貼監控聲明。 - 建議：在監控員工通訊前，應諮詢法律顧問。 - 歐盟隱私法 - 歐盟數據保護指令 (DPD, 1995)：首部廣泛隱私法，規範個資處理標準。 - 《通用數據保護條例》(GDPR, 2018)：取代 DPD，強制所有收集歐盟公民數據的組織遵守。 - 主要條款： - ==合法、公平和透明==收集數據 - 目的限制 - 數據最小化 - 資料準確性 - 儲存限制，可遺忘權 - 安全性，要保護 - 問責制，要對保護個資負責，證明合規性 - **美國與歐盟的數據共享** - 企業可使用下列來合法跨境傳輸個資。 - ==標準合同條款== - 不同公司 - ==約束力公司規則== - 同公司跨國 - ==隱私盾 (Privacy Shield) 、安全港== 曾作為歐美資訊交換機制，但 2020 年歐洲法院判決使其==無效==。 - 加拿大隱私法 - 《個人信息保護及電子文件法》(==PIPEDA==)：規範企業如何收集、使用及分享個人資訊。 - 覆蓋個人身份識別資訊，如種族、宗教、醫療記錄、財務狀況等。 - 美國州級隱私法* - 加州消費者隱私法案 (CCPA, 2018)：借鑑 GDPR，賦予消費者以下權利： - 查詢企業如何收集及使用個資 - 要求刪除個人數據 - 禁止企業出售個資 - 確保行使隱私權時不受歧視或報復 - 其他州可能效仿加州模式，制定更廣泛的隱私法。 #### (OSG補充) 4.3 合規 4.4 合約和採購 - **合規的重要性** - 組織需遵守多種法律、監管要求或合約義務，以避免法律風險並確保安全。 - **支付卡行業數據安全標準 (PCI DSS)** - 合規要求由合同義務規定，專注於保護信用卡資訊安全。 - PCI DSS 12 項要求： 1. 安裝與維護==防火牆==保護持卡人數據。 2. 避免使用供應商的==默認密碼==與安全參數。 3. 保護存儲的持卡人數據。 4. 在公共網絡上==加密傳輸==持卡人數據。 5. 防禦惡意軟體，定期更新==防毒==程式。 6. 開發與維護安全的系統與應用程序。 7. 按業務==因需可知原則==限制持卡人數據存取權限。 8. 驗證系統訪問者身份。 9. 限制對持卡人數據的實體訪問。 10. 跟蹤與監控對數據與系統的所有訪問行為。 11. 定期測試安全系統與流程。 12. 制定全面的信息安全策略，覆蓋全員。 - 合規審核： - 視交易量與過往安全記錄，部分組織需進行年度審核。 - 非商業組織（如共享主機供應商）若處理信用卡數據也需遵守 PCI DSS。 - 合規審計的角色 - 審計可能由內部審計員、外部審計師或監管機構執行。 - 目標：確保 IT 控制符合相關法規，如《薩班斯－奧克斯利法案》(SOX)。 - 部分法規需認可的第三方進行審核，並向監管機構提交報告。 - 合同與採購中的安全審查 - 外部供應商存取敏感資訊時，需進行安全審查和控制。 - 審查關鍵問題： - 供應商處理的敏感信息類型？ - 供應商採取了哪些措施保護資訊？ - 如何區分客戶與其他客戶的信息？ - 使用的加密演算法及密鑰管理流程？ - 是否依賴第三方存儲或處理數據，第三方安全條款如何適用？ - 數據在哪些地區處理與存儲？是否涉及跨境影響？ - 事件回應流程，何時通知客戶安全事件？ - 如何確保數據的完整性與可用性？ - 安全管理職責 - 許多組織聘請專門的 IT 合規人員，負責： - 跟蹤法規變化與合規需求。 - 監控控制措施，維持持續合規。 - 協助合規審計，滿足報告需求。 #### (OSG補充) 4.5 法律法規、合規小結 - 信息安全需要法律高度參與來管理問題，例如計算機犯罪、知識產權、數據隱私和軟體許可。 - 三類主要法律： - 刑法：規範違反社會基本信任的行為並進行懲罰（如《電子通信隱私法案》、《數字千年版權法）。 - 民法：提供商業交易的法律框架（如商標法、專利法）。 - 行政法：由政府機構頒布，解釋行業特定法律（如 HIPAA）。 - 信息安全專業人員需了解並跟蹤行業及業務合規要求，尤其是在使用雲服務時，確保供應商符合合規需求。 #### (OSG補充) 4.6 法律法規、合規考試要點 1. 法律的分類與區別： - 刑法：防止嚴重違法行為，案件由聯邦或州政府起訴。 - 民法：處理商業和個人之間的糾紛，案件由相關方辯論。 - 行政法：規範政府機構的日常操作行為。 2. 主要法律內容： - 《計算機欺詐與濫用法案》(CFAA)：保護政府或州際貿易中使用的計算機免受濫用。 - 《電子通信隱私法案》(ECPA)：將侵害電子通信隱私定為犯罪。 - 《數位千禧年著作權法案》(DMCA)：禁止規避數位媒體的版權保護機制，限制 ISP 的責任。 - 《經濟間諜法案》：懲罰竊取商業秘密的人，涉及外國政府的案件懲罰更嚴重。 3. 知識財產權： - 著作權：保護創作者的原創作品（書籍、文章、詩歌等）。 - 商標：保護公司名稱、標語和標誌。 - 專利：保護新發明，提供創作者的專屬權利。 - 商業秘密：保護公司運營的機密信息。 4. 軟體許可協議： - 合同許可：供應商與用戶的書面協議。 - 開封生效許可：打開軟體包裝即視為接受條款。 - 單擊生效許可：用戶安裝軟體時需接受條款。 5. 數據外洩通知： - 加州 SB 1386 是第一個要求通報個資外洩的法律（2002 年）。 - 美國聯邦僅要求受 HIPAA 約束的實體通報健康資訊外洩。 6. 隱私法概覽： - 美國：聯邦與州級隱私法影響政府及特定行業。 - 歐盟：《通用數據保護條例》(GDPR)提供全面隱私保護。 - 加拿大：《個人信息保護及電子文件法》(PIPEDA) 管理個資使用。 7. 合規程序的重要性： - 組織需建構合規程序以應對多變的法律需求，確保持續合規。 8. 供應商管理的安全審查： - 應在選擇及管理供應商時，檢查信息安全控制，例如數據存儲地點、加密流程及事件回應能力。 9. 跨境數據與合規性： - 確定適用的司法管轄與法律，識別適用的合同、法律與行業標準，確保跨境數據傳輸合規。