CISSP 資安獨孤九劍

# CISSP 資安獨孤九劍 * CISSP 為經過 ISO 17024 的人員職能驗證主要國際標準的認證 * 此標記為2024年版Exam-Outline的條目中有被特別舉例提出的項目::100: * 此標記為在2024年版Exam-Outline中變更或新增的項目::new: * 此標記為在2024年版Exam-Outline中的項目/子項目::memo: * 此標記代表該主題Overview中的念書重點::eye: * 此標記代表為2024年版Exam-Outline改版之後的新資訊::newspaper: ## (ISC)² 道德準則:memo: * Protect society, the common good, necessary public trust and confidence, and the infrastructure. * 保護社會、公共利益與基礎設施，贏得必要的公眾信心與信任 * Act honorably, honestly, justly, responsibly, and legally. * 行事端正、誠實、公正、負責、守法 * Provide diligent and competent service to principals. * 勤奮盡責、專業勝任 * Advance and protect the profession. * 推動產業發展、維護職業聲譽 ## 總訣式(WISE Model) * **定義**: 資訊安全是透過[**安全管制措施**](#securityControls)，保護[**資產**](#informationSystem)免於受到[**危害**](#riskManagerment)，以達到[**機密性、完整性及可用性**](#fismaCIA)的目標。進而[**支持組織業務**](#business)、[**創造價值、實現組織使命與願景**](#governance)的一門學問。 * **3T目標**: :::spoiler T1:**創造價值、實現組織使命與願景。** **達標方法**:[戰略管理](#strategicManagement)、[風險管理](#riskManagement)、[問題解決](#solveProblem)。 ::: :::spoiler T2:支持組織[**業務**](#business) **達標方法**:支持組織產品與服務的持續交付，並將安全(控制措施)溶入組織的各個業務流程。 ::: :::spoiler T3:**機密性、完整性、可用性(C、I、A)** **達標方法**:對資產進行[**盤點**](#inventory)、[**分類**](#classification)與[**保護**](#protection)。 ::: ## CISSP 八大 Domain :::spoiler Domain 1. **Security and Risk Management(安全與風險管理)** * **Tip:** [**CIA**](#fismaCIA)+[**GRC**](#governance) * **安全(Security)**:安全即**保護**，在此就是要保護組織的**資產免於受到危害(風險)**，以達到T3(C、I、A)、T2(支持組織業務)與T1(創造價值、實現組織使命與願景)的**三階目標**。 * **風險(Risk)**:根據ISO31000，風險是影響**目標**達成的**不確定因素**。風險有好有壞，好的叫機會，壞的叫威脅。 * **保護**的方式是下安全控制措施，[**安全控制措施(Security Controls)**](#securityControls)指的便是處置**風險**的具體手段。 * **目標(Objectives)**:為了實現願景而設定的，對於未來狀態的具體描述。 * 通常可以用SMART原則來衡量目標是否具體。 * 目標是可拆解、有階層、有遠近的，因此有**上位目標(goals)及下位目標(objectives)**。 * **願景(Vision)**:可實現的美好未來。 * **T1目標的達標方法**是[戰略管理](#strategicManagement)、[風險管理](#riskManagement)、[問題解決](#solveProblem)。 * **戰略(Strategy)**：達成目標的高階方法或計畫。 * **管理(Managerment)**:達成目標的一套有系統的方法。 * **治理(Governance)**:組織高層的管理行為叫做治理。 ::: :::spoiler Domain 2. **Asset Security(資產安全)** * **Tip:** [**盤點**](#inventory)、[**分類**](#classification)、[**保護**](#protection) * [**資產(Assets)**](#informationSystem):有**價值**且**值得保護**的東西。 * **價值(Value)**:對**利害關係人**重要、有意義且有用的東西我們稱他有價值。 * 在CISSP中要保護的**資產(Assets)**指的是**資訊系統(Information System)** * **系統(System)**: 為了特定目的而一起協作的一群元素的總成。(元素+目的). * 資訊系統的目的是把資料轉換為資訊, 其組成元素為八根毛. * 資訊系統中的網路系統的目的是共享資源及互傳訊息，其組成元素為節點(nodes)及傳輸媒介(media)。 ::: :::spoiler Domain 3. **Security Architecture and Engineering(安全架構與工程)** * **Tip:** [**時時都安全、處處都安全**](#securityEngineering) * **架構(Architecture)**:eye:：一個系統的主要元素，以及它們之間的關係稱架構。 * **工程(Engineering)**：**作東西**以滿足利害關係人的一門學問；也就是**運用專業知識**，把一個東西（系統、軟體、網路、機房等）作出來，讓它**上線、使用它、維運它，一直到它除役**的整個**生命週期**都必須考慮到利害關係人的需求，以**抓住未來的機會、避免可能的威脅，以及解決眼前的問題**的一門學問。 ::: :::spoiler Domain 4. **Communication and Network Security(通訊與網路安全)** * **Tip:** [**處處都安全**](#network) ::: :::spoiler Domain 5. **Identity and Access Management，IAM(身分與存取管理)** * **Tip:** [**I+3A**](#accessControl) * **存取(Access)**:存取即使用，描述的是**主體(Subject)**使用**客體(Object)**的行為。 * **主體(Subject)/客體(Object)**:都是**實體(Entity)**。主體為**主動方**，客體為**被動方**。 * **實體(Entity)**:可以**被唯一識別**的東西(Thing)。 * **身分(Identity)**:用來唯一識別實體(Entity)的**屬性** ::: :::spoiler Domain 6. **Security Assessment and Testing(安全評鑑與測試)** * **Tip:** [**查驗、訪談、測試**](#securityAssessment) * 這裡的安全(Security)指的是[**安全控制措施(Security Controls)**](#securityControls)。(處置**風險**的具體手段)。 ::: :::spoiler Domain 7. **Security Operations(安全營運)** * **Tip:** [**日常營運、持續改善**](#securityOperations) ::: :::spoiler Domain 8. **Software Development Security(軟體開發安全)** * **Tip:** [**時時都安全、處處都安全**](#software) ::: ### 心智圖(v2.7.2) ![WISE-Mind-Map-v2.7.2](https://hackmd.io/_uploads/HJfZMuqXp.png) ### 名詞解釋 * **目標(Objectives)**:為了實現願景而設定的，對於未來狀態的具體描述 * 通常可以用SMART原則來衡量目標是否具體。 * ***明確的(Specific)*** * ***量化的(Measurable)*** * ***可達成的(Achievable)*** * ***相關的(Relevant)*** * ***有時效性的(Time-based)*** * 目標是可拆解、有階層、有遠近的，因此有上位目標(goals)及下位目標(objectives)。 * 由願景行生而來，也就是有了願景才能發展目標，進行發展出達標的戰略(strategy)。 * **資安管理系統(ISMS, Information Security Management System)**： * ISMS是設定**組織資訊安全戰略、政策、程序和控制**的框架。從管理承諾和政策開始，推動資訊安全，以滿足利害關係人（或相關方）的保護需求和安全要求。它涵蓋網路存取控制、IT 流程以及業務連續性的資訊安全方面。 * **系統即制度**，**管理系統(Management System)** 就是**管理制度**，**資安管理系統**就是**【資安管理制度】** * **【管理制度】先行、【資訊系統】次之** * 有了制度才能訂定罰則，也才有**強制性**。 * 制度始於**【政策(Policy)】** * 政策發於**【戰略(Strategy)】** * 戰略來自**【目標】** * 目標源於**【願景與使命】** * **ISO 27001**: * 為ISMS的國際標準，也就是**資訊安全管理制度**的要求。客戶對於有制度的公司才會有信心。 * 系統除了有【管理系統】之外，還有配套的【資訊系統】，亦即**資訊系統只是反應或實現管理制度的工具**。 * 因為人會出問題，所以要靠**管理系統來規範人的行為，並藉由資訊系統來防呆及把關**。 * 【管理系統】跟【資訊系統】是一個銅板的二面，但**資訊系統只是反映管理制度**而已，空有資訊系統是沒有用的。 * **ISO 27002**: * 關注於**安全控制的實施**並提供了資訊安全控制措施的指南和最佳實踐 * **ISO 27005**: * 專門提供了**資訊安全風險管理**的指南，涵蓋了**風險評估、風險處理和風險監控**的過程，適合用來滿足ISO 27001對風險管理的具體要求。 * **ISO 31000**: * 國際**通用的風險管理框架**，提供了風險管理的原則和指南，適用於各種組織和管理層面的風險評估和處理。 * 內容相較於專門針對資訊安全的框架，更加的一般性和廣泛。 * [**ISO 15288**](#iso15288): * 用於**系統工程領域**，提供了**系統生命週期過程的框架和要求**的一個國際標準。 * [**ISO 17788**](#cloudComputing): * 關於**雲端計算**的概念和術語的國際標準，提供了雲端服務和部署模型的基本定義，包括公有雲、私有雲、社區雲和混合雲等類型。 * [**ISO 22301**](#continuousDelivery): * 制定了**業務持續管理系統/制度(Business Continuity Management System，BCMS)** 的政策框架，主要元素包含**政策、標準、程序、指引**。 * 讓組織可以準備並回應可能干擾正常運營的事件，確保商業活動在發生突發事件時能迅速恢復和繼續。 * [**ISO 29100**](#pii): * 針對**隱私保護**的國際標準，涵蓋了隱私保護的原則、對象和組織的角色，以及隱私保護策略的制定和實施指南。 * **安全功能(Security Function)**: * **CISSP**所謂的安全功能或安全職能是**組織處理資安相關事務的能力**，而不是資訊系統層級的安全功能或特色。 * 安全功能可以指派**專責人員**兼任，也可以將其部門化，並聘用**專職人員**專任，甚至設立資安⾧(CISO)角色。 * 為避免產生利益衝突或是影響行政獨立性，CISO不對CIO或稽核委員會報告，而是**直接向CEO(優先)或COO(次之)報告**。 {%hackmd 2OAS4PUjRLebRaHPSQRkDA %} {%hackmd IegCIH4QQCeBt3NJ1-EgKw %} {%hackmd wYERkgQNS6WFh_ddnGb6iQ %} {%hackmd Zupe1bcYRieMk2A89O-9cg %} ## Exam-Outline-2024 {%hackmd ThvvkAKQS9CLreTLukLVug %}