CISSP Day One Questions

# CISSP Day One Questions ## 1. 何謂治理(governance)、管理(management)及營運(operations)？治理是經營高層(BoD + Sr. Management)的管理作為(目的為創造價值)；管理是達成目標的一套有系統的方法；營運是確保日常運行的技術作業。 ## 2. 設定目標應注意的二個重點為何？ 1. 目標設定須符合 SMART 原則：Specific / Measurable / Acheivable / Realistic / Timely 2. 目標有階層關係。 ## 3. 請簡述安全(security)的概念，並解釋何謂國家安全？安全：保護資產免於危害；國家由領土、政府、主權以及人民所組成，國家安全意即保護上述四項國家資產。 ## 4. 何謂資訊安全？資安的目標為何？如何達成上述資安的目標？ 1. 資訊安全是一門 [透過安全管制措施，保護資訊資產免於受到危害，以達到 C、I、A 的目標，進而支持組織業務，以創造價值、實現組織的願景與使命] 的一門學問。 2. 資訊安全的目的共分為三個不同階層： Tier 1: 創造價值、實踐組織的使命與願景 Tier 2: 支持組織業務 Tier 3: C、I、A 3. 目標的達成需透過目標管理 => 目標設定 = 戰略管理 + 風險管理 + 問題解決 ## 5. 何謂價值(value)？業務 (business)的本質為何？何謂資產(asset)？ 1. 價值即為對於利害關係人而言重要的、有價值的物品(例如：錢)。 2. 業務的本質為：透過將成本投入業務流程(Process)中，以產出商品(Product)及服務(Service)並創造價值。 3. 資產：有價值的資產，且值得保護。 ## 6. (Deleted) ## 7. 請簡述安全功能(security function)的概念。資安專職人員與專責人員有何差異？ 1. Secutriy Function 為組織處理資訊安全相關事務的能力，雖然針對資訊安全所設置的部門可能解散或拆分，但其司掌的資安事務仍須有人進行。 2. 資安專職人員以資訊安全為其主要且專職工作 / 專責則可能強調誰都能做、只要有人做就好。 ## 8. 何謂系統(system)、架構(architecture)與資訊系統(information system)？系統由一群元素為了達成特定目的而組成 / 架構則是所有主要元素及其關係 / 資訊系統是將資料(data)轉化為資訊(information)的系統。 ## 9. 為何要談CIA？請說明機密性(confidentiality)、資料完整性(data integrity)、真實性(authenticity)、不可否認性(nonrepudiation)及可用性(availability)。 1. CIA 為資訊安全的目標 >> 由 FISMA 訂定。 2. 機密性：資料不可外洩可用性：資料可於請求後合理的時間內取得完整性：確保資料不被未經授權而竄改 >> 除了資料本身不被竄改外，真實性可確保資料來源的真實性、不可否認性則確保資料在法律上無法被拒絕承認。 ## 10. 上課介紹的風險管理概念根據什麼標準？何謂風險? 風險有那三個主要的元素或因子？ 1. 課程中所引用的風險管理概念基於 ISO 31000 系列標準。 2. 風險為影響目標達成的不確定因素。 3. 風險的三個主要元素：不確定性 (有機率發生、可量化或質化)、標的(會影響目標)、影響(包含面 opportunity 以及負面 threat) ## 11. CISSP的Domain 2的標題為資產安全，何謂資產安全？請重點說明。資產安全透過一系列保護資產的手段以確保資產免於危害。 ## 12. 請列出上課所介紹的四種安全控制措施的分類法(taxonomy)。 1. HIPAA：將 Security Safeguards 分為三類 Administrative / Technical / Physical 2. (ISC)2: 將控制措施以時間序分類 >> Before: Directive / Deterrent / Preventive | During: Detective / Corrective | After: Recovery | Others: Compensating 3. ISO 27001: 2013 分為 14 大類 114 個控制項 (Annex A) / 2022 則分為四大面向(組織面/人員面/實體環境面/技術面)共 93 個控制項 5. NIST RMF：分為 20 個大類(families) ## 13. 存取控制(access control)與安全控制(security control)有何不同？何謂存取控制？ 1. 存取控制為安全控制的其中一種手段。 2. Access Control >> 由安全核心(security kernel)進行監控，於主體 (subject)對於客體(object)進行存取行為(access)時，對主體身分(identity)進行驗證(authentication)、對主題存取行為驗證授權(authorization)、並對客體更便行為進行紀錄(accounting)。 ## 14. 何謂安全評鑑(security assessment)? 安全評鑑的標的為何? 1. 透過查驗、訪談及測試等方法來確保安全控制措施的有效性以及符合性。 2. 安全評鑑的標的包含所有資訊哀全資產：Data, Computer Systems, Operating Systems, Software, Network, Data Centers, People, Business ## 15. 何謂有效性(effectiveness)與符合性(compliance)? 1. 有效性：是否有達成控制 / 安全目標 2. 符合性：是否有達到相關的要求 ## 16. 安全評鑑與測試(testing)有何不同? 請簡述測試的概念及常見的測試類型。測試為安全評鑑的其中一項方法。測試是透過在特定條件下對評估對象進行預期和實際行為的比較。測試種類與方式： 1. 對受測標的物了解程度區分 >> Black-box / Grey-box / White-box 2. 依照受測標的有無執行區分 >> Static / Dynamic 3. 依照測試方法區分 >> Manual / Automatic 4. 依照測試者與受測標的是否有無直接互動 >> Active / Passive ## 17. 評鑑與稽核(audit)有何不同? 有誰可以進行稽核? 1. 稽核就是由獨立單位所做出的評鑑。 2. 稽核可分為內部及外部：組織內部：獨立的稽核單位可進行 1st Party Audit / 組織外部：由客戶進行的 2nd party audit 或由第三方單位做進行的 3rd party audit ## 18. 請簡述工程(engineering)的本質及定義，以及"時時都安全、處處都安全"的概念。工程：運用專業知識將系統從無到有做出來，且在整個生命週期從上線到除役為止，都需考量資訊安全(時時都安全)；從系統的設計、架構與元素皆須確保安全(處處都安全)。 ## 19. 請簡述專案(project)的本質及定義，以及與工程的關係。專案為一次性的事務需產出成果，需在範圍內、時間內、成本內並且兼顧品質；專案與工程的共同點在於兩者皆有時間、範圍概念。 ## 20. 請簡述改善、持續改善及變更管理的概念。 1. 改：矯正行動(corrective actions) 善：採取行動將符合事項做得更好 >> 精益求精 2. 改善的重點：不能亂改善 >> 若需更動基準(baseline)必須先完成更便管理程序要持續改善 >> 持續乃頻率概念，動應到營運(operations)中的日常(定期與不不定期)。 3. 更變管理：當基準(baseline)需進行變更時，須完成變更管理流程，以建立新的基準。 ## 21. 何謂範圍(scope)？何謂基準(baseline)？常見的基準有那些？ 1. 範圍即清單 >> 符合清單內的條件極為符合範圍 2. 基準 >> 經過核定後的結果即為基準 3. scope / controls / configurations...... ## 22. 何謂保證(assurance)？請簡述常見的保證方式。 1. 保證的目的是消除疑慮、提升信心。 2. 第一方的自我宣告：採購關係中的甲方自我保證第二方的見證：採購關係中乙方的客戶見證第三方的檢驗或稽核：採購關係中丙方對產品或服務的檢驗 ## 23. 何謂資安管理系統(ISMS)? ISO的ISMS國際標準為何? 1. Management System 即為管理制度 / ISMS, Information Security Management System 為資訊安全管理制度 2. ISO 27001 (現行最新版為 ISO 27001:2022)