CISSP Day Two Questions

# CISSP Day Two Questions ## 1. 何謂戰略(strategy)？戰略要唸那些主題？戰略的組成元素有那些？ 1. 戰略(strategy)為達成目標的高階方法或計畫。 2. 戰略主題：戰略組成 + 戰略發展 + 戰略實施。 3. 戰略的組成：投資組合(portfolio) + 計畫(program) + 專案(project) ## 2. 何謂業務企畫案(business case)、專案章程(project charter)與專案(project)？請簡述它們之間的關係。商業案例(buisness case)用以證明該專案的可行性，重點在於成本效益的評估(cost/benefit analysis)；專案章程(project charter)是正式正名和授權專案的存在；在建立專案章程後則會開示進行專案管理(project management)，確保產出符合範圍、時間、成本且兼顧品質。 ## 3. 何謂政策(policy)？請說明戰略與政策的關係。戰略(strategic)為達成目標的高階方法(對齊組織目標、使命與願景)；政策(policy)為管理意圖下所下達的政策指示。 ## 4. 政策框架(policy framework)包含那些項目？政策框架高至低階縮包含的項目分別為：策略(policy) - 最高階的規範，由高接管理層(senior management)或董事會(Board of Directors, BoD)在戰略(stategic)的範疇下所制定的概述框架。標準(standard) - 在符合主要策略的框架下，由中階管理層(middle management)在戰術層面(tactical)針對各項標準的一致性所制定的標準。指引(guideline) - 非強制性，用以補充上述項目交代不清的項目。程序(procedure) - 在營運層面(operation)上所制定日常營運層級的標準作業流程(Standard Operation Procedure)。 ## 5. 請根據ISO 31000，簡述風險管理(risk management)的重點。 1. ISO 31000 對風險的定義：影響目標達成的不確定因素(正面 opportunity / 負面 threat) >> 必須對目標有所影響才能稱之為風險 2. 風險管理：一大目標、兩大程序、三大步驟、四大絕招 - 目標：將風險降低到經營高層可接受的程度(風險胃納, risk appetite) - 程序：風險評鑑(risk assessment)、風險處置(risk treatment) - 步驟：風險評鑑步驟 1. 風險識別(risk identification) / 2. 風險分析(risk analysis) / 3. 風險評估(risk evaluation) - 絕招：風險處置方式 1. 規避(avoid) / 2. 轉移(transfer) / 3. 緩解(mitigate) / 4. 接受(accept) ## 6. 風險評估(risk evaluation)與風險評鑑(risk assessment)有何不同？風險評鑑(risk assessment)為風險管理兩大步驟的第一步驟；而風險評估(risk evaluation)則為風險評鑑三步驟：識別(identification) > 分析(analysis) > 評估(evaluation) 中的最後一個步驟。 ## 7. 風險評鑑、安全評鑑(security assessment)與弱點評鑑(vulnerability assessment)有何不同？安全評鑑透(security assessment)過查驗、訪談及測試等方法來確保安全控制措施的有效性以及符合性；風險評鑑(risk assessment)用以鑑別可能對目標產生影響的不確定因素，為風險管理的其中一個步驟；弱點評鑑(vulnerabilty assessment)則是針對資訊資產有可能存在的弱點進行相關評估。 ## 8. 請簡述NIST的一般風險模型(generic risk model) ？為什麼要學習這個模型？ NIST 一般風險模型由以下元素組成：威脅來源(source) >> who / 威脅事件(event) >> what / 弱點(vulnerability) / 影響(impact) 一個威脅來源(threat source) + 一個威脅事件(threat event) = 威脅情境(threat scenario) >> 若威脅情境有可利用的弱點(vulnerability)或誘發條件(predisposing condition)，則會產生不利影響(adverse impact)，進而造成組織風險(organizational risk)。 ## 9. 上課提到的符合性(compliance)要求有那些？法律(laws)與監管(regulations)要求有何不同？ 1. 從組織層面：法律與監管(laws & regulations) & 業界標準(industry standards) & 合約規範(contracts) 從個人層面：組織政策(organizationsal policies) & 善盡調查與合理注意(due dilignece & due care) & 職業道德(professional ethics) 2. 法律為立法機關經過正式立法程序所頒佈之相關規範條文；監管則為行政主管機關所提出在符合法律框架下的相關要求 ## 10. 身為資安主管，你如何支持組織業務(business)？將安全融入組織業務流程，並支持組織產品及服務的持續交付。 ## 11. 請就員工的生命週期，簡述人事的風險及控制措施。職務描述(job description) >> 招募(recruitment) >> 入職(onboarding) >> 在職(DEVELOPMENT & retention) >> 離職(seperation) 1. 職務描述階段： - 風險：關鍵機敏資訊 - 控制措施：職責分離(seperation of duties) / 工作職責(job responsibilities) >> 最小權限(Least Privilege) & 最小需知(Need to Know) 2. 招募階段： - 風險：基於職務描述階段所定義的機敏資訊及工作職責篩選應聘者 - 控制措施：面試(interviewing) / 候選人篩選(screening) / 背景審查(background check) / 推薦信調查(reference check) / 安全調查(security clearance) 3. 入職階段： - 風險：工作內容機敏資訊及放問權限設定 - 控制措施：供裝(provisioning) / 保密條款(non-disclosure agreement, NDA) / 競業條款(non-compete clause, NCC) / 合理使用原則(Acceptable use policy, AUP) 4. 在職階段： - 風險：稽核、舞弊風險 - 控制措施：教育訓練(awareness, training & education) / 職務輪調(job rotation) / 法定休假(medatory vacations) / 權限潛變預防(privilege creep prevention) 5. 離職階段： - 風險：工作內容機敏資訊及放問權限解除 - 控制措施：系統相關權限移除(de-provisioning) / 離職訪談(exit interview) / 公司財產回收(property recovery) / 戒護離開(escorted leave) ## 12. 何謂Security Clearance? 那個時候會用到？安全等級(security clearance)經過正式程序審核該人員機密等級，確保人員無法存取超過其權限的資訊。 ## 13. 請說明資安意識(Awareness), 訓練(Training)及教育(Education)的對象與內容。 1. 資安意識 - 對象：所有人 / 內容：公司政策、安全宣導 2. 訓練 - 對象：特定對象 / 內容：專業技能、職務相關工作內容 3. 教育 - 對象：專業人員 / 內容：整合專業技能和能力到共同知識體系中(結訓後有證書或學位) ## 14. 請就甲、乙、丙方的角度來簡述採購的安全議題。 1. 乙方對甲方提供的產品與服務關係：軟體開發 CMMI / 雲端服務 CSA STAR / 一般資安 ISO 27001 / SOC Report 2. 甲方對乙方的合約關係：採購需求 / 說明公告 / 選商 >> FoCI / 議價簽約 / 服務水準要求 / 安全要求 / 稽核權 3. 丙方對乙方的驗證關係：軟體開發 CMMI / 雲端服務 CSA STAR / 一般資安 ISO 27001 / SOC Report 4. 丙方對乙方產品或服務的檢驗關係：TCSEC / Common Criteria 5. 丙方對甲方的關係：保證關係(確保提供的保證具有公信力及參考價值) ## 15. 根據ISO 22301，何謂業務持續(business continuity)？ ISO 22301 中所指業務持續為一項組織能力，意旨組織持續交付產品與服務的能力。 ## 16. 請列出業務持續管理的步驟。 1. 分析內外部環境 2. 找出利害關係人及需求 3. 訂定範圍 - 依據內外部環境分析 & 利害關係人及需求訂定範圍 4. 業務衝擊分析 - 最大容許停擺時間(max tolerable downtime, MTD) - 復原時間目標(recovery time objective, RTO) - 復原點目標(recovery point objectvie, RPO) 5. 風險評鑑 - 風險識別(risk identification) >> 紀錄 >> 風險登錄表(risk register) - 風險分析(risk analysis) - 風險評估(risk evaluation) >> 依照評估順位決定處置順序 ***重點是決策*** 6. 風險處置依照處置方式： - 避免(avoid) - 轉移(transfer) - 緩解(mitigate) - 接受(accept) 依照處置時間： - 事前預防(prevention) - 事中處理(incident response)與事後復原(recovery) 7. 計畫測試及演練 Tabletop： - 查核表(checklist)：檢查計劃書是否撰寫 - 導讀(read-through)：計劃書全內容確認 - 模擬(walk-through)：模擬情境查找對應計畫 Actions: - 模擬測試(simulation)：模擬測試 - 平行測試(parallel)：透過類似或鏡像環境測試 - 全中斷測試(full interruption)：實戰演練、直接中斷進行測試 ## 17. 請簡述常見的計畫書測試與演練方式。 Tabletop： - 查核表(checklist)：檢查計劃書是否撰寫 - 導讀(read-through)：計劃書全內容確認 - 模擬(walk-through)：模擬情境查找對應計畫 Action: - 模擬測試(simulation)：模擬測試 - 平行測試(parallel)：透過類似或鏡像環境測試 - 全中斷測試(full interruption)：實戰演練、直接中斷進行測試 ## 18. 請簡述備援站點(recovery site)的類型。 - 鏡像站點(mirror site)：不間斷同步 - 復原時間目標：0 - 30 秒 / 復原點目標：0 - 熱站點(hot site)：維持開機狀態且完成環境準備、需從原站點取得最新資料 - 復原時間目標：30 秒 - 30 分鐘 / 復原點目標： >0 - 溫站點(warm site)：只有設備 - 復原時間目標：30 分鐘 - 72 小時 / 復原點目標： >0 - 冷戰點(cold site)：只有地點 - 復原時間目標：72 小時以上 / 復原點目標： >0 - 移動站點(mobile site)：站點設置在移動環境內 - 互惠站點(reciprocal site)：與其他組織協議於特殊情況下互相支援 ## 19. CISSP Domain 2是資產安全，口訣為盤點、分類與保護，請簡述重點。 1. 盤點(inventory)：整理並列舉所有資料、指派 Owner 2. 分類(Classification)：將資料依重要性、機密性或其業務價值加以分類 >> 美國軍方分類(Executive Order 12356) / 民間組織可自行定義分類 3. 保護(protection)：選擇並執行安全控制措施 >> NIST RMF / ISO27001 Annex A / HIPAA / (ISC)2 ## 20. 責任(responsibility)與當責(accountability)有何不同？責任(responsibility) : 事務執行時確保完成度及品質的行動當責(accountability) : 對於特定事物所負的責任 ## 21. 請列舉出NIST RMF的七個步驟，並簡述重點。 1. Prepare 準備：準備執行 RMF 步驟 >> RMF 未識別的風險須在此階段進行辨識 2. Categorize System 分類系統：資料盤點、系統重要程度取決於其處理資料的重要程度 >> CIA / 最高水位原則(high-water mark) 3. Select Controls 選擇控制：根據系統影響等級選擇 RMF 控制措施 >> 範圍訂定(scoping) - 排除 & 補償性措施 & 新增 ***須註明原因*** / 量身訂做(tailoring) 4. Implement Controls 實施控制：執行安全控制措施 5. Assess Controls 評鑑控制：透過查驗(examination)、訪談(interview)、測試(testing)等方式查驗安全控制措施的有效性(effectiveness)及符合性(compliance) 6. Authorize System 授權系統：主管授權系統上線 7. Monitor Controls 監控控制：上線後持續監控安全措施 ## 22. 請簡述個資(personal data)議題的重點。個人資料(personal data)：可以直接或間接追訴當事人的資料；隱私(privacy)：當事人決定個人資料如何被運用的權利。 1. 個人資料相關角色： - 當事人(principal / subject) - 控制者(controller) - 處理者(processor) 2. 個人資料收集原則： - 告知收集目的 - 取得當事人同意 - 資料收集最小化 - 資料可被當事人閱覽、更新、刪除 3. 個人資料分享階段原則： - 匿名化(anonymization) - 你匿名化(psedonymization) ## 23. 請簡述企業自有資料的角色。 - 擁有者(data owner)：當責(accountability) / 資料分類() / 資料保護 - 資料處理者(data steward)：資料品質(data quality) / 資料處理規則(data rules) / 資料語法與關係(data sematics) - 保管人(data custodian)：資料安全(data security) ## 24. 請根據資料的生命週期簡述可能的資安議題及因應的方式。 1. 建立(Create) >> 資料建力或收集時需取得當事人同意、告知收集目的、秉持最小化收集原則 2. 儲存(Store) >> 資料的儲存安全應採取管控措施、讓當事人進行更新 3. 使用(Use) >> 資料使用不得在合理適用範圍之外 4. 分享(Share) >> 需進行去識別化作業 >> anonymization & psedonymization 5. 封存(Archive) >> 資料的儲存及移動應採取相關安全管控措施 6. 銷毀(Destroy) >> 區確保資料徹底銷毀 >> purge & destroy ## 25. 請簡述生命週期(life cycle)與狀態(state)的差異？生命週期(life cycle)為從無到有再到結束的多個狀態的週期；狀態(state)特指某一事務在特定時間下的型態。