# CISA (Certified Information System Auditor) **Author:陳詰昌 Email: power.shell@gmail.com** 如有錯誤請告知~ ## 章節比重 * 領域 1 — 資訊系統稽核流程 (Information System Auditing Process) (21%) * 領域 2 — 資訊科技治理與管理(Governance and Management of IT) (17%) * 領域 3 — 資訊系統的採購、開發與建置 (Information Systems Acquisition, Development and Implementation) (12%) * 領域 4 — 資訊系統營運及企業韌性 (Information Systems Operations and Business Resilience) (23%) * 領域 5 — 資訊資產保護(Protection of Information Assets)(27%) ## 教材 * CISA Review Manual, 27/e 英文版(簡稱RM) * CISA 考試復習手冊, 27/e (CISA Review Manual, 27/e)(簡體中文版)(簡稱RM) * CISA 復習考題及解答手冊, 12/e (CISA Review Questions, Answers & Explanations Manual, 12/e) (簡稱QAE) # Domain 1:資訊系統稽核流程 * 主要任務包括執行基於風險的資訊系統審計策略，符合資訊系統審計標準，並確保對關鍵風險領域進行審計。另需要了解如何規劃具體審計以確定資訊系統是否受到保護和控制。 * 必須了解如何根據資訊系統審計標準進行審計以實現計劃的審計目標。 * 透過會議和審計報告傳達審計結果並向主要利害關係人提出建議 * 如何進行後續審核，以確定管理層是否及時採取了適當的行動 ## 1-1 稽核規劃 * 進行稽核所需遵循的步驟方法，可以協助有效建立整體稽核流程 * 為規劃稽核需要先瞭解業務流程、業務應用程式與相關控制措施 * 稽核規畫需有短期與長期計劃 #### 稽核章程(charter)內容 * 組織內部稽核獨立於業務職能，並直接向董事會報告，並保持其獨立性。 * 稽核功能的獨立性透過**最高管理層批准**稽核章程來確保，其內容不可頻繁更動，因此不應包含含程序內容等細節，並於年度審視確保對齊組織業務目標。 * 稽核章程包含 * 內部稽核的使命、目標與目的 * 稽核職能範圍 * 管理者職權 * 內部稽核職責 * 內部稽核工作的授權人員  * 如將稽核工作外包給稽核公司，稽核目標與詳細範圍應在合約內納入。 #### 稽核計畫 稽核範圍(Audit Universe):盤點組織內所有功能、流程、單位的清單 量化風險評鑑:以高、中、低等質性參數評估 質化風險評鑑:以參數與數值進行量化 風險因子:影響風險的因素 * 計畫有助於識別與確定 * 稽核目標 * 稽核範圍 * 稽核期間 * 稽核成員 * 稽核方法 * 稽核計畫的好處 * 聚焦於高風險區域 * 識別稽核所需資源 * 評估稽核所需經費 * 在明確架構下執行稽核工作，對稽核與被稽核者均受益 * 標準(criteria)的選擇 * 稽核計畫的標準是先要有一個稽核範圍集合(audit universe) * 組織所有重要流程都應包含在稽核範圍 * 每個業務流程都應經過定性或定量風險評鑑，風險高低影響稽核頻率，所有風險因子經評估後，可以制定標準決定每個流程風險，而稽核計畫應先考慮高風險部分。 * 審視稽核計畫 * 稽核計畫應該由高階管理階層審視與批准(稽核委員會) * 稽核計畫應與外部風險變化進行改變 * 核准後的稽核計畫應該通知下列對象 * 高階管理層 * 業務單位與利害關係人 * 內部稽核團隊 * 個別稽核任務 * 完成整體年度稽核計畫後，下一步是規劃個別稽核任務。 * 資訊系統稽核員於個別稽核任務應該考量 * 先前稽核報告 * 風險評鑑報告 * 監管要求 * 標準操作程序 * 技術要求  #### 業務流程應用程式與控制 * 對業務環境與業務目標的相關工作知識是進行風險導向稽核所需要 * 電腦稽核員應瞭解組織使用各種應用程式的整體架構與技術規格，並對其應用程式的相關風險能瞭解 * 了解面臨議題與風險，電腦稽核員應該專注於對管理層最具意義的領域，與稽核範圍內的資訊系統 1. 電子商務系統 * 風險 * 使用者資料外洩 * 未經授權變更導致資料完整性 * 系統可用性之營運持續問題 * 交易不可否認性 * 稽核員職責 * 重新審查與防火牆、加密、網路、PKI等設備相關的整體安全架構，以確保交易的CIA * 審視交易紀錄擷取與監控電子商務交易 * 回顧事故管理流程 * 隱私與個資法控制的有效性 * 防止惡意軟體的控制 * 業務持續性安排 2. EDI (Electronic Data Interchange) * 企業間資料或資訊的線上傳輸 * 風險 * 最大風險是交易授權，因缺乏身分驗證 * 沒有貿易夥伴協議，特定法律責任可能存在相關的不確定性 * EDI應用程式效能問題可能對雙方產生負面影響 * 未經授權的存取、資料完整性、機密性及EDI交易的遺失或複製 * 稽核員職責 * 在EDI訊息中使用控制片段 * 使用VAN連續控制號碼或報告 * 對發送者確認交易 * 傳入交易的控制要求 * 接收時每個傳入交易的紀錄 * 出站交易需要保持一份紀錄 3. POS (Point of Sale)風險 * 信用卡及記帳卡交易是常見POS範例，資料在銷售時時間與地點進行捕獲 * 風險 * 盜取風險: 未經授權取得卡片資料進行複製 * 洩漏風險: 未經授權洩漏PIN * 稽核員職責 * 確認身分用信卡卡末三碼(CVV)未儲存在本地POS系統 * 確定持卡人資料是加密的 4. 電子銀行(Electronic banking) * 網站和APP已與銀行核心系統整合，在沒有任何人工干預的情況下支持自動交易，自動化處理提高處理速度，降低人為錯誤和詐欺機會；但也曾家電子銀行對網路與通信基礎設施的依賴 * 風險 * 嚴重依賴網路服務供應商、電信公司和其他科技公司 * 系統駭客、系統不可用和缺乏交易完整性等網路風險 * 稽核員職責 * 電子銀行業務的治理和監督效果 * 確定銀行基礎設施的保密性、完整性及可用性 * 確認身分驗證及交易不可否認相關安全控制的有效性 * 個資法相關控制措施有效性 * 惡意軟體控制措施 * 業務持續安排 * 5. 電子資金轉帳Electronic funds transfer * 透過EFT資金可由一帳戶轉移到另一帳戶 * 風險 * 嚴重依賴網路服務供應商、電信公司和其他科技公司 * 系統駭客、系統不可用和缺乏交易完整性等網路風險 * 稽核員職責 * 交易是否具有雙因子驗證 * 系統和通信管道是否進行適當安全測試 * 交易資料儲存狀態或傳輸狀態經過加密 * 資料傳控制的有效性 * 檢查EFT交易的日誌紀錄和監控過程(audit trail) 8. 影像處理Image processing * 處理、儲存和擷取影像資料，需要強大儲存資源與處理能力，用於掃描、壓縮、顯示和列印 * 使用影像處理取代紙本，可以提高生產力，檢索文件加強對文件儲存的控制，以及高效的災難復原程序 * 風險 * 沒有適當規劃和測試的實施可能導致系統失敗 * 工作流程可能需要進行完全的重新設計，以與圖像處理系統進行整合，並設計新的控制措施 * 網路攻擊風險 * 稽核員職責 * 影像處理系統輸入、處理和輸出控制的有效性 * 影像處理掃描器的可靠性 * 檢閱原始文件保留程序，確保能保存到好的影像被截取 * 影像處理系統的CIA * 員工培訓安排，確保影像流程符合質量控制矩陣 9. 人工智慧與專家系統 * 取得與利用個人經驗與知識，進行自動化處理提升表現和生產力 * AI知識庫包含特定主體的資訊和解釋該訊息的規則 * 決策樹 * 規則 * 語意網路 * 知識介面:儲存專家級知識 * 資料介面:儲存資料已進行分析和決策制定 * 風險 * 系統錯是假設、攻勢或資料庫，導致進行錯誤決策或行動 * 系統入侵、不可用和交易完整性缺乏等 * 評估人工智慧在各種業務流程中的適用性 * * 稽核員職責 * 人工智慧在各種業務流程中的適用性，確定相關潛在風險 * 檢查所記錄的政策和程序遵從情形 * 檢視系統中建立的假設、公式和決策邏輯的適當性 * 檢查更新系統的變更管理流程 * 審查安全措施，以維護系統的機密性、完整性和可用性 #### 控制類型 * 內部控制是一個過程 * 內部控制透過政策、程序、實踐(practices)和組織架構組成，來應對風險。 * 內部控制的目的是向管理層提供合理保證，確保實現組織目標及防止/檢測和糾正風險事件。 * 董事會與高階管理層負責建立相應文化來促成有效且高效的內部控制系統，並持續監控內部控制系統的有效性。 ##### 控制目標與控制措施 * 控制目標 * 實施控制的原因 * 控制目標與業務目標相關聯。 * 控制目標說明通過實施控制活動所達到期望結果或目的，與下列相關 * 營運流程的有效與效率 * 財務報表的可靠性 * 法規要求與合規 * 資產保護 * 對資訊系統流程實施控制以達到期望結果或目標。 * 控制措施 * 有助於實現控制目標的活動。 * 透過控制措施減輕各種風險，有助於實現組織目標。 * 控制分為 * 預防:避免發生 * 任務分工SOD * 使用SOP * 交易授權程序 * 存取控制程序 * 防火牆FW * 偵測:事件發生後及時檢測事件 * 內部稽核 * 日誌監控log monitoring * 生產線檢核點 * 矯正:發生後最小化影響，並協助恢復業務正常運作 * 發生前糾正風險或缺陷，發生後降低影響 * 業務持續計畫BCP、災害復原DRP * 災害應變IRP * 備份程序Backup Procedure * 防禦威嚇(deterrent): * CCTV * 補償性措施 * 採取替代措施，以確保系統中弱點不會被利用 * 直接降低風險 * 控制方法 * 控制措施是為了達到控制目標而實施 * 控制措施是採取的活動，在預防、消除或降低風險發生 #### 風險為本的稽核計畫 * 風險 * 影響目標達成的不確定因素 * Risk = Probability(威脅) x Impact * Risk = Asset Value x Vulnerability x Threat * 弱點與威脅 * 脆弱性vulnerability * 威脅threat可以利用弱點的事物 * 弱點可以由組織進行控制的內部因素 * 威脅不能由組織進行控制的外部因素 * 固有風險與殘餘風險 * 固有風險:活動所帶來的風險 * 殘餘風險:考慮控制措施後仍存在風險 * Residual Risk = Inherent Risk - Control * 風險導向的稽核計畫的優點 * 有助於將稽核資源部署於最具風險的領域 * 減少稽核風險 * 主動式幫助早期識別議題 * 合約與法規要求 * 稽核風險 * 稽核人員在稽核過程中無法發現重大缺失的風險 * 稽核風險受固有風險、控制風險與檢測風險的影響 * 固有風險:與客戶業務性質或環境相關的風險 * 控制風險:與客戶的內部控制體系相關的風險，可能導致控制失效或疏忽 * 檢測風險:由於稽核程序的限制或錯誤選擇導致無法檢測到重大錯誤的風險 * Audit risk = inherent x control x detection risk * 降低稽核風險的方法 * 風險導向稽核計畫 * 審視內部控制系統 * 選擇適當統計取樣 * 在稽核範圍內評估流程或系統重要性 * 風險為導向稽核方法 * 取得稽核前需求 * 行業和法規要求的知識 * 關注業務適用風險的知識 * 評核先前結果 * 獲取內部控制資訊 * 獲取關於控制環境和程序相關的知識 * 理解控制風險 * 理解檢測風險 * 進行合規測試 * 確定要測試的控制措施 * 確定控制措施的有效性 * 實質性測試 * 識別實質性檢驗的過程 * 實質性檢驗包含 * 風險評鑑 * 步驟 * 識別重要資產與流程 * 識別相關風險(弱點與威脅) * 進行衝擊分析 * 風險排序 * 風險處置 * 風險評鑑應定期進行，以考慮風險變化 * 風險評鑑要有系統進行，其輸出是可比性與重現性 * 組織風險接受程度也很重要，風險承受程度有助於優先考慮各種風險進行緩解 * 風險應變(reponse)方法 * 風險減緩(mitigation/reduction) * 風險避免(avoidance) * 風險接受(acceptance) * 風險轉移(transfer) * 組織風險文化與風險偏好決定風險應對方法 * 風險管理是確定組織所承擔的風險是否與組織的能力和需求相符的過程 * 由上而下或由下而上的政策發展 * 由上而下:政策與業務目標一致，解決業務目標重大風險 * 由下而上:定義操作級別要求和政策開始，根據風險評鑑結果推導並實施；解決流程面風險 * 最佳方法:兩種方法並用 #### 稽核與評鑑類型 * 稽核類型 * 資訊系統稽核 * 合規稽核 * 財務稽核 * 營運稽核:評估和確定內部控制系統的準確性 * 管理稽核 * 專業稽核 * 第三方服務稽核 * 詐欺稽核 * 取證稽核 * 數位鑑識稽核 * 功能稽核:評估和確定軟體功能 ## 1-2 稽核執行 #### 稽核專案管理 * 基本步驟 * 決定稽核目標 * 執行風險評鑑 * 決定被稽核的業務流程 * 設計稽核計畫、資源配置及識別主要利害關係人 * 控制目標與活動 * 評估控制 * 報告發現  * 稽核目標 * 確認內部控制存在 * 評估內部控制有效性 * 確認符合法規與監管要求 * 稽核階段 * 計畫(Planning)階段 * 風險評鑑:風險評鑑確定高風險區域並確定接受稽核的功能、流程、系統及被稽核實體位置 * 確定稽核目標:解決稽核目標 * 稽核範圍:確定範圍可以確定稽核所需資源 * 預稽核計畫:瞭解業務環境和相關法規，確定資源需求和稽核時間，並依據預稽核訊息，設計稽核方案包括資源分配和需要遵循的稽核程序。 * 執行(Execution)階段 * 蒐集資料:蒐集與稽核相關的資料和檔案 * 評估控制:驗證控制措施的有效性和效率 * 驗證並記錄結果:驗證並記錄，同時附上相關證據 * 報告(Reporting)階段 * 起草報告:發布初稿報告，以獲得管理層對稽核發現的意見 * 問題報告:將稽核結果、建議、管理意見及預計關閉稽核結果的日期 * 追蹤:確定稽核結果是否落實並發布後續追蹤報告 * 詐欺、非法行為 * 內部控制不一定能消除詐欺行為，電腦稽核員應注意到詐欺和其他不正當行為發生的可能性，必要時可以提出對詳細調查需求，若發現重大詐欺行為，稽核管理層應可考慮向稽核委員會報告此事。 * 稽核人員要確保內部控制的適當性、有效性及其效率 #### 取樣方法 * 從總體中選取資料的過程，通過分析所選取的樣本，可以對總體的特徵進行推斷 * 取樣類型 * 統計(ststistical)取樣:客觀抽樣技術 * 非統計取樣:非主觀抽樣技術 * 屬性(attribute)取樣:判斷式抽樣 * 變數(variable)取樣:比屬性資料更多的訊息，回答數量問題，通常用於實質測試(substantive testing)。 * 跳停(stop-or-go)取樣:在控制非常強且很少錯誤時使用，有助於避免過度取樣，允許稽核在允許最快時間內結束。 * 發現(discovery)取樣:當檢測目標是詐欺或其他不正常情況時，採用此方法。如果發現單個錯誤，整個樣本將被視為詐欺或異常。  * 抽樣風險 * 樣本不適用總體的真實代表 * 通過分析樣本所得出的結論可能與通過分析整個總體所得出的結論不同 * 信賴水準(confidence coefficient/level):樣本品質的準確度和信心衡量，樣本越大，信賴水準越高。 * 風險水平(level of risk):1減去信賴水準來推斷，信賴水準95%，則風險水平為5%。 * 期望錯誤率(expected error rate) * 存在錯誤百分比的預期，當預期錯誤率較高時，稽核人員應選擇較大的樣本大小 * 容忍錯誤率(tolerable error rate) * 未發生實質錯誤的情況下可能存在的最大誤差 * 樣本平均值(Sample mean) * 樣本標準差:樣本值與樣本平均值之差異 * 合規與實質測試 * 合規測試 * 確認流程 * 控制存在 * 偏好屬性(attribute)取樣 * 實質測試 * 資料與交易的驗證 * 資料完整性、正確性與合法 * 偏好變數(variable)取樣 * 先進行合規測試，再進行實質性測試，合規性測試結果用於規劃實質性測試(不需要或減少或更為嚴格)。 #### 稽核證據蒐集技巧 * 稽核是一個過程，這個過程取得關於稽核範圍內的功能或流程的意見 * 證據可靠性:稽核意見是基於稽核過程中所獲得的證據，建立稽核可靠性 * 證據的充分性、有能力(有效且相關)與可靠性 * 證據來源決定可靠性 * 評估證據可靠性因素 * 證據提供者的獨立性:外部證據比內部證據更可靠 * 證據提供者個人資格與經驗 * 證據的客觀性 * 證據的時機點  * 證據蒐集技巧 * 審查資訊系統組織架構與治理模式 * 審查資訊系統政策、標準與程序，並評估其有筱性 * 審查資訊系統政策與程序是否定定期審查 * 審查資訊系統文件檔案 * 與相關人員面談 * 稽核員應具備老練技巧和能力，能巧妙進行面談 * 問題應事先設計好，確保所有主題都被涵蓋 * 面試問題應該是開放性的，以瞭解流程 * 被應面試者應該感到舒適並鼓勵分享資訊 * 觀察流程與員工表現 * 員工技能與經驗 * 安全意識 * SOD * 重新執行(Re-perforamce):稽核員執行原本由組織員工執行的活動，在其他方法無法提共對控制筱果充分保證的情況下，應用此方法。 * 瀏覽審查(Process walkthrough) #### 資料分析 * 轉換原始數據為有意義的資訊來幫助你理解資訊 * 將存取檔案與人資員工資料庫相結合來授權使用者 * 檔案配置與變更管理系統資料和檔案變更日期相結合，來授權事件 * CAATs(Computer Assisted Audit Techniques) * 電腦協助稽核技巧 * 協助稽核員從不同硬體、軟體及資料格式中蒐集證據 * 生成稽核軟件 * 使用及掃瞄軟體 * 測試資料 * 除錯  * 有效使用CAATs預防措施 * 透過真實性、完整性及機密性確認輸入資料完整性 * 取得於稽核伺服器安裝CAAT軟體授權 * 使用CAAT對正式環境資料應採唯讀存取 * 編輯修改應對複製資料，而原始資料完整性應確認 * 使用CATT預警 * 持續稽核與監控 * 持續稽核技巧 * 稽核在即時或近乎即時的環境執行 * 營運與稽核間落差較傳統稽核方法為短 * 高額付款在付款後稽核 * 持續監控 * 系統相關程序在持續基礎上觀測 * 防毒軟體或IDS * 持續稽核與持續監控是互斥的存在，只有兩者均到位時，才有辦法做到持續保證(assurance) * 持續稽核的結果是引入持續監控流程前兆。 * 持續稽核工具範例(如下圖)  #### 報告及溝通技巧 * 口頭及書面溝通技巧是優秀稽核人員特質 * 稽核不是找錯誤，而是為組織現有流程增加價值 * 稽核面談結束發布稽核報告前 * 確保事實正確且適當呈現在報告 * 與被稽核方討論改善建議 * 討論執行時間 * 事實沒有被誤解 * 對齊稽核方與被稽核方發現、討論與觀點 * 稽核報告6個目標 * 對所有利害關係人報告 * 對稽核委員會正式揭露 * 對組織提出需要矯正與建議 * 參考 * 稽核發現追蹤 * 稽核報告架構 * 稽核範圍目標與限制等 * 稽核發現與建議 * 控制有效性、效率及涵蓋率等意見 * 追蹤活動 * 驗證建議 * 管理層是否採取正確活動來解決稽核發現問題 * 自評(Control Self-assessment) * 流程負責人對控制措施的評估 * CSA目標 * 功能員工負責控制監控 * 強化稽核責任 * 聚焦高風險關鍵流程及區域 * CSA好處 * 早期發現風險減少控制支出 * 內部控制強化 * 流程擁有者負責控制監控 * CSA缺點 * 非稽核功能替代品 * 電腦稽核在自評中角色 * #### 品質確保及稽核流程改善 #### 控制自我評估 * CSA目標 * CSA好處 * CSA缺點 * 電腦稽核在CSA角色 # Domain 2: IT治理與管理 ## 2-1 IT治理 ### EGIT(IT Enterprise Governance) * 是一種用於監控和控制IT活動的流程 * EGIT是確保IT活動與業務目標保持一致 * IT與業務的對齊有助於業務價值的實現 * 董事會主要負責EGIT，通過領導、組織架構、政策及績效監控確保業務目標的達成  ### EGIT流程 * EGIT框架可以通過建立和管理以下流程來實施 * IT資源管理 * IT資源盤點 * IT相關風險管理 * 績效量測 * 依預訂指標監控IT資源績效 * 採取適當行動改善績效 * 合規管理 * 管理法律、契約及規範需求 ### 治理與管理區別 * 治理 * 治理提供達成目標的方向，涉及到績效監控、方向與目標符合性 * 管理 * 管理在執行治理主體所定政策、程序來達成目標與方向 ### EGIT良好實踐 * 業務與IT流程對齊(alignment)以達到整體目標 * 董事會與高階管理參與IT治理 * 強化委外IT活動的控制 * 各方可接受標準及衡量進行績效監控 * 有結構方法去監控法規與行業要求等符合性事項 ### 有效資安治理 * 資訊安全治理解決IT對保護資訊資產的擔憂 * 資訊安全委員會 * CEO * CIO資訊長 * CTO技術長 * COO營運長 * CFO財務長 * CRO風控長 * CAO稽核長 * CCO法遵長 * CLO法治長 * Head of HR ### EGIT 成功因素 * IT治理是董事會及高階管理者責任，用來確保IT資源有效運用支持業務目標 * 利害關係人的參與確保IT治理的有效性 * 定義每個關鍵功能角色的當責性 * 資訊系統稽核人員要檢視組織架構圖來了解每個角色、責任及不同功能的權限 * 為達到組織目標，IT部門有長期與短期計畫，這些計畫由組織業務目標所構成 ### IT相關框架 * IT相關流程必須結構方式進行定義與記錄 * 採用IT相關框架有助於組織為利害關係人增加價值，確保IT資產的保密性、完整性和可用性 * COBIT * ISO 27000系列 * ITIL * ISO 38500:2015(IT治理標準) * ISO 20000(IT服務管理標準) * ISO 31000:2018 ### IT標準、政策和程序 * 標準(強制性規範) * 為符合特定框架或標準之強制性要求 * 標準確保程序的有效與效率以生產可靠的產品或服務 * 當需要嵌入現有環境時，標準更新應進行更新 * 政策(管理期待) * 做為決策基礎的一組思想或策略 * 管理層高層次方向性聲明 * 在企業階層及部門階層有多個政策，但部門政策應該對齊企業政策 * 電腦稽核應用政策去評估與確認合規 * 程序(如何達成) * 程序是詳細步驟和行動，有助於支持政策目標 * 對所有使用者開放 * 指引(額外細節) * 指引包含範例、建議、要求和其他執行程序細節  ### 資訊安全政策 * 資安政策需高階管理階層的承諾 * 保護企業資訊資產的行動計劃 #### 資安政策內容 * 電腦稽核員應該確認資安政策包括以下 * 管理委員會對資安的承諾 * 風險評鑑與風險管理架構 * 資安政策、原則及符合性要求 * 員工及廠商安全意識與訓練 * 資安相關角色及責任 * 營運持續編排 * 參考其他相關文件 * 其他政策 * 資安政策 * 資料分類政策 * UAP(利用IT資源的限制與允許) * 存取控制政策 #### 資安政策使用者 * 應將政策傳達給所有最終用戶，相關資安要求的一部分也該提供給第三方供應商 * 所有有權訪問資訊資產員工與第三方必須簽署確認，願意遵守資安政策 #### 資安政策稽核 * 評估資安政策，內部稽核應考慮以下: * 資安政策定期年度審視或當有重大環境變化 * 政策必須有擁有者負責更新政策 * 夠資格主管單位要審視政策 * 政策執行程序 * 傳達政策認知或訓練的程序 #### 資安政策審視 * 管理曾在審視資安政策應考慮 * 相關方的回饋 * 稽核發現 * 組織環境的重大變更 * 威脅與弱點 * 報告事件 * 法律、契約及法定要求 ### 組織架構 * 董事會 * 策略委員會 * IT起案上建議董事會 * 指導委員會 * 確保資訊部門的目標及優先順序 * 資訊流程支援業務要求 * 專案指導委員會 * 使用者管理 * 系統開發管理 * 專案贊助 #### 策略委員會與指導委員會關係  #### 策略委員會與指導委員會差異 * 策略委員會 * 董事會及特定人員 * IT策略 * 對齊IT與業務目標 * 識別曝險 * 依據IT策略提供管理方向 * 指導委員會 * CEO、CIO及其他功能 * 執行及監控IT專案 * 提供專案計畫及預算 * 設定優先順序及里程碑 * 取得及指派適當資源 * 確保專案符合需求及持續監控 * 確保IT資源有效 ### 企業架構 * 定義:組織架構和運作方式 * 目標:確定組織如何實現當前和未來目標 * 企業架構的主要重點是確保技術舉措與資訊科技框架相容，企業架構的目標在於協助組織採用最成功的技術。 * Zachman框架一種正式和結構化的方式來檢視和定義企業。 #### 企業安全架構 * 企業安全架構是企業架構的一部份，包括安全流程和程序，及如何從戰略、戰術和運營角度在組織中相互鏈結。 ### 企業風險管理(ERM) * 企業風險管理是企業採用的一種實踐、方法和過程，用來管理和監控風險。 * 一種結構化的風險管理過程，用於管理可能對業務目標產生負面影響的各種風險 * 為有效進行風險管理，決定組織對風險容忍程度非常重要 #### 風險管理程序步驟 1. 資產識別 * 資產:資料、硬體、軟體、人員 * 依據重要性與價值分類 * 高價值資產採更高等級保護 2. 威脅與弱點識別 * 資產的威脅與弱點 * 威脅包含駭客、詐騙與天然氣候 * 弱點包含未保護網路、缺乏使用者意識或營運持續 3. 衝擊評估 * 財務、聲譽或業務中斷 4. 風險計算 * RISK = P X Impact * P = Threat (威脅) x Vulnerability (弱點) * risk appetite風險胃納/偏好 6. 風險應變 #### 風險分析方法 * 定性分析:使用描述性等級來描述風險可能性和影響 (質化)，以高、中、低方式評估 * 半定量分析:敘述性等級和數值相關聯，高對應數值5、中對應數值3、低對應數值1 * 定量分析:使用諸如財務成本形式的數值來描述風險可能性和影響，以數值表示 #### 風險處置 * 降低Mitigate * 接受Accept * 避免Avoid * 轉移Transfer ### 成熟度模型 * IT治理涉及對組織資產的持續績效評估 * 維持程序、生產力和效率的一致性需要執行流程成熟度框架 ### 法律、法規與行業標準 #### 稽核員確定遵法程度 * 組織是否已確定與 IT 相關的適用法律和法規？ * 組織內如何實施治理、風險和合規 (GRC) 計畫？ * 組織是否識別了合規和法律相關風險並實施了適當的控制措施來應對這些風險？ * 在多個司法管轄區運作的組織是否已確定其營運的所有區域的法律和監管要求？ * 遵守監管要求的整體責任是否已分配給高階管理層的個人？ * 是否制定了與法律和監管要求相關的適當的監控、審計和報告流程？ ## 2-2 IT管理 ### IT資源管理 * IT治理的一個重要方面是確保最佳利用IT資源。 * 使用的資源應該用於實現業務目標。 * 資源管理 * 人力資源管理 * IT管理 * 財務管理  #### 人力資源管理 * 人力资源（HR）管理是指與人力资源流程和程序相關的招聘、培訓、任務分配、績效評估等问题。 * 招聘 * 取得員工書面簽署的僱用條款和條件協議 * 入職之前進行背景調查 * 建立保密或保密協議並獲得員工遵守組織安全政策的承諾 * 訓練 * 任務分配 * 有組織的排程有助於有效率和有效果的組織流程。 * 時程監控有助於管理層追蹤組織的資源效率。 * 調度和時程監控可以用來衡量支出分配、費用、發票和關鍵績效指標（KPI） * 雇用期間 * 員工的角色和職責應記錄在工作說明中，員工應該了解自己的角色和責任。 * 提高員工對其職位責任的理解，並減少人為錯誤的可能性。 * 應報告安全違規行為的行政管理流程，並向所有員工和相關第三方供應商開放。 * 員工績效評估的標準應盡可能結構化和量化。 * 解雇政策 * 組織應報告終止政策與程序。 * 應包括因詐欺或其他非法行為而解雇員工的程序，以保護公司的資產 #### IT管理實踐 * IT 管理需要用於設計、交付、控制和維護組織內技術使用方式的規則和程序。 * IT 管理實務應與策略業務優先順序保持一致。 * 高階管理層應授權管理政策和程序，以確保IT管理團隊以有效率且有效的方式正確管理組織的活動。 * 與基礎設施相關的IT活動和程序需要定期更新，以使其與公司新的營運環境保持一致。 #### 財務管理實踐 * 有效資金管理對於任何公司的流程都是至關重要的，將IT相關費用分配給不同的功能/使用者有許多方法。 * 管理和調節 IT 支出的一種形式是引入用戶付費系統，這是一種退款(chargeback)。 * 該系統使用標準結構將 IT 專案的成本分配給最終用戶。 這種成本重新分配方法（也稱為退款）提高了資訊處理設施提供的服務的效率和有效性。 同時，基於預算的報告旨在預測和監控 IT 成本。 ### IT服務提供商採購和管理 * 將服務外包给第三方供應商是當今世界上被廣泛接受的做法，原因主要有兩個: * 在成本上獲得巨大節省 * 獲得該領域的專家服務 #### 外包評估標準 * 不應該外包 * 組織的核心職能 * 無法在外部或其他任何地方複製的特定專業知識、程序和關鍵資源的角色 * 由於合約或監管限製而無法外包的職能 * 可以外包 * 可以由另一方以相同或更好的品質水準、以相同或更低的價格執行的功能，而不增加風險 * 該組織在管理代表其工作的第三方方面擁有足夠的經驗 #### 外包步驟 1. 定義要外包的職能：組織應先定義並確定需要外包的職能。 2. 定義服務等級協定 (SLA)：定義 SLA 是外包的一個非常重要的面向。 SLA 應得到法律、風險管理和合規團隊的批准。 3. 確定成本：確定外包的成本。 4. 進行盡職調查：盡職調查包括核實服務提供者的概況、市場信譽、財務穩定性、長期服務能力以及其他相關細節。 5. 確認外包的合約或監管要求：在外包任何活動時確定任何監管和合約要求也至關重要。 *  #### 外包 風險減降選項 * 對可達成產出的要求應包含在SLA中。 * 對軟體資產使用託管安排。 * 使用多個供應商有助於降低依賴風險。 * 定期審查績效。 * 建立跨職能的合約管理團隊。 * 針對任何預期的突發事件建立適當的控制措施。 #### 外包合約提供 * SLA應包含 * 可實現產出的要求 * 資源/系統/資料的機密性、完整性和可用性 (CIA) 要求 * 保護雙方的保密協議 * 稽核權條款 * 業務連續性和災難復原規定 * 智慧財產 #### 稽核員在監控外包活動中角色 * 審視合約區間內服務水準 ### 外包與第三方稽核報告 ### 監控與審視第三方服務 ### IT性能監控和報告 * IT治理的重要因素之一就是監控IT績效 * 為控績效而需要指定績效指標 #### 開發績效指標步驟 1. 識別重要流程: 需要監控的流程 2. 識別期待產出:要監控的流程的產出 3. 比較目標與實際產出:週期間比較實際產出，未達標時的根因。 #### 績效指標的有效性 #### 工具與技巧 ### IT品質保證和品質管理 #### 質量保證(Assurance) * 品質保證(QA)是一個提供充分信心以確保物品或產品符合開發要求的過程 * 品質控制(QC)是執行測試或審查的方法，以驗證產品無缺陷並符合客戶要求 * QA vs QC * QA: 主動、防止缺陷、注重流程 * QC: 被動、發現缺陷、重視產品 #### 品質管理 * 品質管理就是監控、追蹤和提升品質管理流程的過程。 * 領域 * 軟體開發維護與建置 * 軟硬體採購 * 維運活動 * 服務管理 * 安全 * 人力資源管理 # Domain 3:資訊系統採購、開發與實施(implementation) ## 3-1 資訊系統的採購及開發 ### 專案管理結構 * 分為以下三種類別: * 功能結構 * 專案經理無權限 * 專案結構 * 專案經理對專案的預算、排程和團隊成員有正式權力 * 矩陣結構 * 權力由專案管理和部門負責人共同擁有 * 在所有前述的專案結構中，專案应應該得到IT决策委員會的批准和優先考慮。 * 必須指定一個負責專案的人，並使其對專案執行負責。 * 專案經理應該被提供相關資源和基礎設施，以確保專案順利完成 ### 專案角色與責任 * 董事會:對IT治理有最終責任與當責 * 專案指導委員會:由不同業務職能高階代表所組成，負責專案的優先級排序、監控和控制，以及專案預算的批准。 * 專案贊助者(sponsor):正在開發的系統之所有者，專案開支成本被分配給專案贊助者。 * 系統開發管理:為專案提供技術支援 ### 專案成本預估 * 類比估算:根據先前專案經驗，估算一個新專案的成本 * 參數估算:過去的數據用來作為統計資料來估計成本，比類比估算更準確 * 自下而上估算:細節化地估算每個活動的成本，並將所有活動的總合視為專案的成本估算。 * 實際成本:與類比估算相同，根據過去專案實際成本來推算。 ### 軟體大小評估方法 * 代碼行數(Source Lines of Code):SLOC是一種傳統的衡量軟體大小的方法，基於一個單一參數，比如代碼行數。然而，在涉及到除了代碼之外，複雜功能(圖表、物件、資料庫查詢或圖形化界面)系統中，這種方法可能不太有效。 * 功能點分析(Function point Analysis):一種間接技術，目的在估計軟體的大小。 * COCOMO:建設性成本模型。除代碼行數外，系統的複雜度也被考慮進去。 ### 專案評估方法 * 监控專案進展和專案持续时间是專案管理中非常關鍵的過程 * 關鍵路徑方法(CPM) * 用於估計專案的持續時間，任何專案都至少有一關鍵路徑。 * 關鍵路徑是透過識別相依活動中最長的路徑來確定的；完成關鍵路徑所需的時間是完成專案所需的最短可能時間。 * 專案經理專注於沒有緩衝時間的活動（即在關鍵路徑上的活動），如果可以縮短關鍵路徑的持續時間，則有助於最小化整個專案的進行時間 * 程式評估審視技巧(PERT) * PERT也是一種用于估計專案持續時間的技術。 * PERT和CPM之間的區別在於CPM僅考慮單一情境，而PERT考慮三種不同情境（樂觀（最好情況），悲觀（最壞情況），和正常（最有可能）），並根據這三種情境來得出一條關鍵路徑。 * PERT被認為比CPM更準確和合適，用於計算專案持續時間的估計 * 賺值分析(Earned Value Analysis) * 在任何特定時間點测量專案的進展，预测完成日期和最终成本，並分析预算的任何差異。 ### 時間框(Timebox)管理 * 時間框限制管理的好處在於確保專案按時完成，從而防止專案超支 * 時間框管理在原型設計和快速應用開發（RAD）中被廣泛應用，尤其在時間管理為關鍵的專案 * 通過整合系统和用户驗收测试來節省時間，然而，品質保證程序仍然需要落實。 ### 專案目標，OBS，WBS * 任何專案執行主要目的就是實現專案目標。 * 專案目標應該具體明確、可實現、可衡量 * 目標拆解結構(Object Breakdown Structure,OBS)是定義專案目標常用方法之一，OBS是由各個獨立組成部份及其相互作用的組合。 * 工作分解結構（WBS）提供了要完成的各個工作組件，它對成本和資源規劃有所幫助。 * OBS 包括解決方案，而 WBS 包括個別的流程。 ### 專案管理中稽核角色 * 確定系統目標和要求，並辨識控制範疇的領域 * 確定與專案相關的主要風險以及應采取的相應控制措施來減輕這些風險 * 確定所採用的軟體開發生命週期方法論的適宜性 * 在系统部署之前，確定是否進行品質保證和用户驗收測試（UAT） * 確定要實施的控制措施，以確保生產資源的完整性 * 確定實施后審查流程的充分性 #### 專案治理與管理 ##### 專案治理 * Project portfolio專案組合:IT專案融入整體專案組合。 * Project organization專案組織:根據被審計組織的類型而有所不同 ##### 組織類型 * 職能型組織：這是最常見的組織類型，部門依據行銷、人力資源和工程等職能來組織。 每個部門都有一名職能經理，員工既有營運工作，也可能被指派專案。 * 職能組織中的挑戰：職能組織中的專案經理面臨著平衡其營運工作與專案管理職責的挑戰。 他們還需要與職能經理溝通，協商其他部門的資源，這可能是一個複雜的過程。 * 矩陣組織：矩陣組織有弱矩陣、平衡矩陣、強矩陣三種類型。 在矩陣組織中，員工同時承擔營運工作和專案管理職責。 在平衡矩陣中，專案經理可以為專案分配專用資源，但與職能經理的溝通挑戰仍然存在。 * 專案化組織：這是專案經理的理想結構，部門以專案為基礎，專案經理與主管直接溝通。 在專案化組織中，專案經理擁有專用資源並完全控制專案。 了解組織結構的重要性：專案經理需要了解不同類型的組織結構及其對溝通和資源分配的影響。 了解這些結構對於有效的專案管理至關重要。 注意：文中也提到在深入研究專案管理過程小組之前需要澄清與專案管理辦公室 (PMO) 相關的術語。 然而，本文並未提供有關 PMO 的詳細資訊。 ### 商務案例和可行性分析 ### 業務案例開發中稽核角色 #### 系統開發方法 #### 控制識別和分析 ## 3-2 資訊系統實施 ### 測試方法 * 測試是系統開發生命週期（SDLC）中至關重要的要素之一，目的是確保系統能夠實現其既定目標。 #### 單元測試 * 單元測試包括對每個單獨的程式或模組的測試。 * 測試一般由開發人員自行進行，在程式或模組準備就緒時進行的，不需要等到整個系統完成。 * 單元測試是透過白盒方法測試內部程序邏輯。 #### 整合測試 * 整合測試一次檢查兩個或多個系統元件之間的整合或連接，目的是驗證系統之間的資訊流是準確(accurate)且正確(correct)。  #### 系統測試 * 系統測試用來測試整個系統的能力，涵蓋端到端的系統規格。 * 包括功能測試、可恢復性測試、安全測試、負載測試、容量測試、壓力測試和性能測試。 #### 接受測試 * 包括「品質保證測試（QAT）」和「使用者驗收測試（UAT）」 #### 回歸測試 * 回歸的意思是返回較早的階段 * 回歸測試的目標是確認最近的變更沒有引入任何新的錯誤，並且其他現有功能正常運作。 * 確保在回歸測試中使用相同的數據（之前測試中使用的數據），這將有助於確認是否有新的錯誤或故障出現。 #### 社交測試(Sociability Test) * 社交能力是指能夠與他人融合的品質 #### 前導測試(Pilot Testing) * 試點測試是一種小規模的初步研究，旨在瞭解和評估系統功能和其他方面。 * 僅在少數單位或少數地點進行試點測試以評估可行性。 * 試點測試的目的是在全面實施之前確定新系統的可行性。 #### 平行測試 * 平行測試涉及對新系統的測試，並將新系統的結果與舊系統進行比較，確保新系統滿足使用者的需求。 #### 白箱測試 * 程式邏輯被驗證 * 要進行白盒測試，必須具備相關程式語言的適當知識。 * 單元測試通常需要白盒測試。 #### 黑箱測試 * 強調系統的功能性測試。 * 進行黑盒測試具備相關程式語言的知識並非強制性要求。 * 黑盒測試通常是使用者驗收測試和介面測試的特色。 #### ALPHA測試 * 內部用戶進行alpha測試 * alpha測試在beta測試之前 * alpha測試可能包括也可能不包刮全功能測試 #### BETA測試 * 外部用戶進行beta測試 * 測試程式的完整功能 ### 測試方法 * 自下而上的方法，測試從一個獨立的程式或模組開始，逐漸測試整個系統 * 對關鍵模組中故障的早期檢測優勢 * 自上而下的方法，測試整個系統水平開始，逐步移向單獨的程式和模組 * 早期檢測介面錯誤 ### 測試階段 1. 單元測試 2. 整合測試 3. 系統測試 4. 驗收測試(OAT) 5. 接受測試(UAT)  ### 系統遷移 * 系統遷移是將資訊科技資源（主要是資料）轉移到新的硬體或軟體平台的過程，目的在獲得更好的商業價值。 * 稽核員應確保以下項目實現系統和數據遷移的效率、效用和準確性 * 必須建立相應的流程，以保護要遷移的數據的格式、編碼、結構和完整性 * 應該建立一套程序，以測試遷移數據的完整(integrity)性和完整(completeness)性 * 資料轉換過程必須具有稽核軌跡和日誌，以驗證轉換資料的準確性和完整性 * 遷移過程應確保備用(fall-back)安排的可用性， 如果遷移發生錯誤，有可用工具和應用程式用於撤銷遷移。 * 最後一份舊數據的副本和轉換數據的第一份副本應該被歸檔以供將來參考。 * 交接(changeover)是從舊系統切換到新系統並停止使用舊系統的過程，也被稱為投入運行技術或轉換技術。 ### 平行切換 * 新舊系統會並行運作一段時間，使用者對新系統有信心，舊系統就可以停用。 * 有助於最大限度地減少新系統缺陷的風險後果，這種方法面臨的主要挑戰是需要更多的資源來維護兩個系統。 * 平行切換提供了最大的冗餘性 ### 分階段切換 * 改變是分階段實施的，系統被分為不同的階段。 * 每個舊的階段逐漸被新的階段所取代，從舊系統到新系統的過渡按照預先計劃的分階段方式進行。 ### 直接切換 * 從一個截止日期開始實施一個新系統，並且一旦新系統上線，舊系統完全停用。 * 這被認為是最冒險的方法，如果新系統失敗，則沒有回滾的可能性。 ### 實施後審查 * 實施後評審是決定並評估系統績效過程，主要係針對在業務案例中所定義的需求和目標。 * 實施後評審是在專案實施和完成後進行的。 * 審查目標 * 確定專案實現了其目標的程度，並滿足了最初所定的要求 * 確定成本效益分析和投資回報 * 確定從該專案中獲得的經驗教訓，以改善未來的專案 * 專案開發團隊和業務使用者應共同進行實施後評估，從資訊系統稽核的角度來看，實施後評估目的在確定系統的適用性和有效性。 * 電腦稽核員的主要重點是確定新系統中建立的控制措施。 # Domain 4: 資訊系統的運營和業務復原能力 ## 4-1 資訊系統運營 * 資訊系統管理的目標是透過最佳利用資訊系統資產，確保IT流程和程序的有效性(effective)和效率(efficiency)。 ### 常用技術元件 1. 電腦硬體元件與架構 * 處理器 * 輸入/輸出元件 * 電腦類型 2. 伺服器類型 * 列印伺服器 * 檔案伺服器 * 應用程式伺服器 * 網頁伺服器 * 代理(proxy)伺服器 * 資料庫伺服器 3. USB(Universal Serial Bus) * 透過單一標準化介面插座連接到不同周邊設備的裝置 * 風險 * 在資料傳輸過程中存在惡意軟體傳播的風險，建議從未知來源複製傳送檔案時，將USB磁碟機設定為唯讀模式，避免惡意軟體安裝到電腦上。 * 資料被竊取風險 * USB 隨身碟上儲存的敏感資料可能會丟失或遭竊 * 從電腦中不當地拔出USB設備，可能造成資料損壞的風險 * 控制措施 * 加密是防止USB磁碟機遺失或被竊時未經授權存取資料的重要安全保護措施。 系統只能存取加密設備 * 通過集中管理來強化系统非常重要，並建議禁用所有USB端口。 * 4. RFID(Radio Frequency Idfentification) * 使用無線電波識別和定位有限半徑內的資產 * 應用 * 射頻識別技術廣泛應用於資產管理，無線射頻識別技術可以管理任何可以標記的資產。 * 透過射頻識別技術（RFID），可以更有效地管理進出控制，系統會自動檢查個人是否有權限進入某個場所。 * RFID 通過資產管理、正確追蹤、控制運動和更新支付系統，有助於供應鏈管理。 * 風險 * 未經授權存取由RFID產生的資訊可能會危害組織的業務 * 如果RFID系統在沒有顧客同意的情況下使用個人資訊，則有違反法規的風險。 * 控制措施 * RFID系統和RFID生成的數據實施物理和邏輯安全控制措施，存取應根據需求來授予權限。 * 確保對射頻識別系統(RFID)和流程進行管理監督。 * 現有政策被更新以應對風險並控制RFID系統和流程。 5. 硬體維護程序 ### IT資產管理 * IT資產:系統、數據、網路組件及IT相關流程和程序 * 電腦稽核員應可以確定與評估IT資產的管理和控制效果和效率 * IT 資產包括人員、資訊、基礎設施和聲譽。 * IT資產管理:第一步識別(identify)與盤點(inventory)資產清單 * 盤點 * 擁有者Owner * 保管人Cudtodian * 資產識別Asset identification * 擺放位置 * 安全分類等級 * IT資產管理(軟體與硬體)是設計和開發有效安全策略中非常重要的元素。 * 認可安裝和使用的軟體清單，並制定流程以確保僅安裝認可軟體 * 實施存取控制規則的第一步是建立IT資產清單作為清單，並進行分類和分組。 ### 工作排程 * 工作排程(Job scheduling)是用來自動運行各種流程的程序。除了排定批次作業外，還用於自動備份磁帶和其他維護。在排程作業時，重點是要給高優先級工作提供最佳的資源可用性。在可能的情況下，維護功能應該在非高峰時間進行。 * 優點 * 提高作業執行紀錄的可用性，從而更容易有效地對故障報告採取後續操作。 * 與手動流程相比，它提供了更安全的環境。 * 稽核員重點 * 定義並進行收集和報告關鍵績效指標的程序 * 正確識別和安排每項工作的優先級 * 每個作業取得稽核證據(audit trail) * 監控作業完成狀態，並對失敗的作業採取適當的操作 * 定義核准角色用於規劃、變更或確定作業優先級 ### 終端用戶計算 * 終端用戶計算是指一個非程式設計師可以創建自己的應用程式的系統，現有各種產品可協助終端使用者根據其需求進行設計和實施系統，無需程式設計師的協助。 * 從使用者的角度來看，終端使用者運算是一種快速建置和部署應用程式的方式，無需依賴IT部門，這些應用程式通常具有靈活性，能夠快速解決任何新需求或修改，也減輕了IT部門的壓力，使其能夠集中精力處理更關鍵和複雜的應用程式。 * 固有風險 * 如此開發的應用程式可能不會經過各種測試，因此在資料完整性、機密性和可用性方面存在資訊安全風險。 * 使用者可能不遵守變更管理和發布管理程序。 * 授權、身份驗證、審計追蹤和日誌、加密和不可否認性方面的系統控制可能沒有得到應有的重視。 * 適當的備援和備份機制可能無法解決業務連續性問題。 ### 系統效能管理 #### 核心(kernel) * 核心負責與作業系統相關的基本過程，管理進程的創建、中斷處理、輸入和輸出進程的支持、內存分配和釋放等。 * 核心是一個高度敏感的區域，只有授權使用者才能訪問，在核心之上是其他作業系統進程用於支援用戶，這些進程被稱為系統軟體。 * 系統軟體確保系統的完整性並控制系統界面，包括訪問控制軟件、磁帶和磁盤管理軟件、作業調度軟件等。 #### 應用程式 * 應用程式有助於管理和控制計算機資源，這些程式支援作業系統，例如磁碟工具、備份軟體和資料字典。 * 應用程式可以繞過安全系統，並在不生成稽核軌跡的情況下運作，因此限制和控制應用程式的活動非常重要。 #### 作業系統參數設定 * 參數設置是決定系統功能的重要因素，軟體控制參數處理數據管理、資源管理、作業管理和優先級設置。 * 檢查參數設置是確定操作系統內控制功能的最有效方法。 #### Registry * 系統設定和參數是在被稱為註冊表(registry)的設定檔中進行的設定。 * 對註冊表的控制是資訊系統稽核的重要面向。 * 保護註冊表對確保系統的完整性、機密性和可用性至關重要。 #### 活動紀錄 * 記錄活動以供未來分析非常重要，因此這些日誌應該得到適當保護，因為入侵者可能嘗試更改日誌以隱藏其活動。 * 保護日誌的最佳方式是使用安全資訊與事件管理（SIEM）軟體，在一個集中且安全的伺服器中儲存。 #### 軟體授權 * 稽核員應確保組織遵守軟體版權法，任何違規可能導致法規後果、聲譽損失以及罰款而造成的財務損失。 * 確定未經授權軟體的使用最佳方法是使用自動化工具掃描整個網絡，並捕獲已安裝軟體的清單。然後，通過將該清單與已核准軟體清單進行比對來進行審查。 * 軟體 * open source * freeware:免費但源碼不能重製 * shareware:有試用期間並限縮功能 #### 原始碼管理 * 原始碼是由程式設計師創建的電腦程式，是人類可以閱讀和理解原始碼。 * 彙編器和編譯器將原始碼轉換為目標碼(object code)，計算機可以理解目標碼，但無法理解原始碼。 * 如果應用程式由第三方供應商開發，有必要獲得原始碼的存取權；如果沒有提供原始碼，則重要的是要有代保協議。 * 為限制對原始碼的存取，使用版本控制系統（Version Vontrol System,VCS）來管理原始碼的任何更新；並且應保持適當的源碼備份。 #### 容量管理 * 容量管理是計劃和監控IT資源以實現其有效和高效利用的過程。* 確保資源根據業務需求的順利擴展或減少，為了有效管理容量，必須從業務用戶那裡獲取信息，並應每年進行審查和更新。 * 優勢 * 它確保以最佳價格提供所需資源。 * 它根據業務需求調整 IT 資源。 * 它透過持續監控利用率閾值來降低效能問題或故障的風險。 #### 問題與事件管理 * 問題管理 * 目標是透過確定事件的根本原因並採取適當的預防措施來防止事件再次發生。 * 透過調查、深入分析、根本原因分析、解決根本原因分析過程中發現的問題。 * 方法包括魚骨分析、石川因果圖、5個為什麼和腦力激盪等，為了防止事件再次發生，重要的是進行根本原因分析並解決問題。 * 差別 * 問題管理的目標是減少事件的數量 * 事件管理的目標是在事件發生後儘快恢復到正常狀態，從而最大程度地減少對業務的影響。 * 缺乏對問題管理關注的主要風險是業務營運中斷，稽核員應審查問題報告和日誌，以確保問題在規定時間內得到解決。 * 對於有效的事件管理，以有效的方式設計和實施支援模型；無效的支援模型將無法預防和應對潛在的中斷。 * 外包的諮詢台功能的最佳績效指標是提供使用者解決方案的速度和效率，確保最終用戶了解解決方案並同意該解決方案。 ### 變更管理、組態管理及補丁管理 #### 變更管理程序 * 變更管理流程用於變更硬體、安裝軟體和配置各種網路設備。 * 變更管理流程包括批准、測試、排程和回退(rollback)安排。 * 在實施改變時，應通報所有相關人員並獲得相關資訊資產擁有者的批准。 * 進行變更時，最好使用個別的ID，而不是使用通用或共用的ID。個別的ID有助於確定每一個交易的責任歸屬。 * 對於每一次變更，應該記錄於交易日誌中，作為進一步調查的稽核踪跡。 日誌應包含日期、時間、使用者ID、終端以及交易的其他相關細節。 * 變更管理控制中最重要的就是程式簽章，簽章能夠保證軟體來自可信的來源且在簽名後未經修改。該過程利用雜湊函數來確定代碼的完整性和真實性。 #### 補丁管理 * 在執行前測試補丁非常重要，因為補丁可能對其他系統和操作產生產生影響。衡量影響是補丁管理中非常重要的一部分，如果沒有進行適當的測試，部署補丁可能導致系統故障或中斷。 #### 組態管理 * 組態管理被視為網路管理的關鍵組成部分之一，它決定網路的內部和外部功能及設定和管理。 * 組態管理確定一個基本的軟體版本。基準線(baseline)用於識別特定系統版本的軟體和硬體組件，在新版本發生故障的情況下，基準線將被視為返回的點。 #### 緊急變更管理 * 在某些情況下，存在著需要實施的業務需求變更，而一般的變更管理流程無法適用於此；這類變更對業務營運產生了重大影響，且不能容忍任何延遲。 這種變更應透過緊急變更流程進行，應記錄緊急變更，並在下一個工作天獲得事後批准。 #### 回滾程序 * 建議應該審查改變可能帶來的負面影響風險，並準備好回滾計劃，以防變更撤銷時，存在一個流程可以完全撤銷並恢復系統到先前的狀態。 #### 變更管理程序有效性 * 合規測試將有助於確保變更管理流程的一致性，並確保變更得到適當批准。 * 評估控制流程有效性的最佳方法，是首先審核一部分已執行的變更，然後尋求這些變更的相關批准。辨識變更後再追溯其記錄的過程，將提供最佳的未經授權變更證據。 ### IT服務水平管理 * SLA 定義了所提供服務的本質、期望、升級和其他相關資訊。 * SLA 應以非技術術語記錄並作為衡量和監控服務的基礎。 * 服務等級管理是定義、記錄和管理服務需求的過程。 * SLA 時應考慮下列特性： * 準確性 * 完整性 * 時效性 * 安全 * 定期監控服務水準對於確保實現服務目標非常重要。 * 當服務交付外包時，服務的責任仍然由服務委任方承擔；組織有責任確保服務提供者僅將資料用於正確且商定的目的，並採取適當的控制措施來保護敏感和關鍵資料。 * 獨立的第三方稽核報告是服務提供者控制有效性的最佳保證。 ### 資料庫管理程序 * 資料庫管理系統（DBMS）有助於組織、控制和管理資料，目標是減少資料冗餘(redundancy)並提高存取時間，並為敏感資料提供適當的安全保障。 * 優點 * 集中資料管理減少了管理資料所需的成本、時間和精力。 * 有助於透過減少資料冗餘來提高資料庫效能。 * 有助於提高交易處理的效率。 * 保證了數據的一致性。 * 為敏感資料提供安全性。 * DBMS 中的各種檢查和控制可確保資料完整性。 * DBMS 提供了一種結構化的方式來管理使用者存取。 * 數據庫結構 * 分層資料庫模型 * 網路資料庫模型:網路模型相較於分層模型可以更高效地顯示數據的冗餘，且因直接定位記錄在硬碟上的位置，提供優異的檢索效能。 * 關聯資料庫模型 * 在關聯式資料庫中，所有表都透過一個或多個欄位相關聯；透過這些共通欄位，可以連接資料庫中的所有表，對於每個表，其中一個欄位被標識為主鍵，它是表中每個記錄的唯一識別碼。 * 主鍵(primary key)用於連接或組合兩個或多個表中的資料。 * 參照完整性是指相關表格中資料的完整性和正確性。 * 主表格中的資料應與相關表（也稱為外部表）中的資料一致，對主鍵的任何變更都必須套用於關聯的外鍵(foreign key)。 * 如果主表中沒有可用記錄，參考完整性將阻止使用者在外表中新增記錄，同時，如果外部表中存在相關記錄，則使用者無法刪除主鍵。  * 物件導向資料庫模型(OODM) * 物件導向的資料庫是一組物件，每個物件都是一個獨立運行的應用程式或程序，分配了要執行的特定任務。 * OODM 目的在管理所有這些獨立程序，以快速處理大型且複雜的請求。 * 物件導向資料庫提供儲存影像、音訊和視訊等複雜資料的機制。 * 資料庫正規化 * 正規化是減少重複資料並從而減少資料冗餘的過程。 * 資料庫中冗餘被認為是一件壞事，因為它意味著處理資料需要更多的精力和儲存空間。 * 非正規化會影響數據的一致性和完整性，稽核員發現資料庫中的某些表格未正規化時，他們應該審查非正規化的理由和補償控制。 * 數據庫控制 * 並發控制：防止多個使用者同時更新時出現完整性問題。 * 表格連結/表格引用檢查：識別鏈結錯誤，例如資料庫中的內容不完整或不準確。 * 完整性限制：只允許有效的預先定義資料進入資料庫，並防止資料庫中出現超出範圍的資料，這是一種預防性控制。 * 原子性：確保要麼處理整個事務，要麼不處理任何事務。 這將確保部分執行的事務被回滾並且不被處理。 * SQL：這有助於確定應用程式連接到資料庫的可移植性。 * 參照完整性：只要主表具有關聯的外鍵，這將防止刪除主表。 * 正規化：這是從資料庫中刪除重複資料元素並從而提高資料庫效能的過程。 * 提交和回滾控制：這確保交易完全完成或根本不完成。 它確保完整性。 * 追蹤和標記：這用於測試應用程式、系統和控制項。 * 使用者假脫機和資料庫限制控制：這有助於控制空間利用率，從而提高資料庫查詢效能。 * 復原程序：如果資料庫損壞，可以將資料庫還原到最後的存檔版本。 這是一個連接性控制。 #### SoD * 稽核員應該了解資料庫管理員（DBAs）的各種角色和責任，以確保有適當的職責分離。 * DBA活動 * 在資料表中進行更改 * 執行備份和復原程序 * 資料庫介面諮詢 * 使用工具和技術來優化資料庫效能 * 確保DBA使用自己的帳號（而不是共用帳號）進行前述活動以確立負責制是非常重要的，因此需要記錄所有的資料庫活動日誌，且日誌應受到修改的限制，並且DBA不應該獲得訪問日誌伺服器的權限。 ## 4-2 業務韌性 ### 業務衝擊分析 * BIA是一個決定對業務中斷對有相當影響的關鍵流程，將要恢復的程序確定為優先級，以確保組織的生存。 * 為BIA成功，有必要了解組織和關鍵業務流程及其對 IT 和其他資源的依賴，而這可以從風險評估的結果中獲得。 * 高階管理層、IT 部門和最終用戶的參與對於成功開展 BIA 至關重要。 * 以下是執行 BIA 時的一些方法： * 問卷調查方法涉及製定一組詳細的問題並將其分發給關鍵用戶；然後將獲得的資訊製成表格並進行分析以製定 BIA。 * 訪談方法涉及採訪關鍵使用者，將所得的資訊製成表格並進行分析以製定 BIA。 * 會議方法包括與關鍵用戶舉行會議，以確定各種中斷的潛在業務影響。 *　BIA 團隊也應盡可能考慮過去的交易歷史記錄，以確定系統因特定事件而無法使用時，可能產生的影響。 *　為了確定業務影響，需要考慮兩個獨立的成本因素： *　停機成本，停機成本包括銷售額下降、閒置資源成本和利息成本。 *　替代收集措施，例如 BCP 的活化和其他回收成本。 *　BIA 可應用於每個流程後，應由IT和業務單位協調優先需要先復原的流程。 *　業務流程擁有者擁有與流程最相關的信息，因此他們被視為確定流程關鍵性的最佳來源。 *　一旦透過 BIA 確定了關鍵資產，下一步就是製定復原策略，確保關鍵資產盡快恢復，以最大程度地減少災難的影響。 *　BIA和風險評估具有幾乎相同的要素，但停機分析除外，停機分析是BIA的附加組成部分。 停機時間分析確定可接受的系統停機時間，這僅在 BIA 中進行。 *　確定服務中斷嚴重程度的主要標準是系統服務關閉的時間長短， 系統停機時間越長，中斷的嚴重程度越高。 ### 資料備份和復原 *　備份是取得電腦資料的副本，並通常儲存在遠端位置，以便在資料遺失事件後可以用來還原原始資料。 *　資料遺失可能是由內部或外部因素引起的，包括電腦病毒、硬體故障、由火災、自然災害和駭客攻擊造成的檔案損壞。 *　一個組織應該制定一個明確的備份政策，清楚地認定哪些類型的數據和資訊需要進行備份。 *　備份政策應該經過高階管理層的批准，內容應該對組織的備份和保存程序提供明確和具體的說明。 *　完整備份是每次都會備份整個資料庫，需要耗費大量的時間和空間；為了避免這種情況，許多組織採用差異備份或增量備份的方式。 *　完整備份：需要更多的時間和儲存容量；復原有效性最佳。 *　差異備份：僅備份自上次完整備份以來建立的新資料（上次備份僅為完整備份）；與完整備份相比，需要更少的時間和儲存容量，但比增量備份更多；復原速度較增量備份快，但較完整備分差。 *　增量備份：僅備份自上次備份以來建立的新資料（上次備份可以是完整備份或增量備份）；與其他兩種方案相比，需要更少的時間和儲存容量。  ### 系統韌性 *　系統在面臨災害時能夠承受並在合理的時間內恢復正常運行的能力 #### 應用程式韌性 * 集群化（clustering）有助於保護應用程式免受災難的影響，叢集的目的是為系統提供高可用性，每個運行應用程式的伺服器上都安裝了叢集軟體，能夠防止單點故障的發生。 * 應用程式叢集可以是主備（A/P）模式或主主(A/A)模式，在主備模式中，一個應用程式只在一個節點上運行，而其他被動節點只在主節點上應用程式失敗時使用。 * 在主動-主動叢集設定中，應用程式在每個叢集上運行，可以提供快速應用程式復原、負載平衡和可擴展性。 #### 電信網路韌性 * 替代路由:使用兩條完全不同的電纜 * 最後一哩電路保護:區域通訊的備援 * 長途網路多樣性:長距離通訊的備援 * 多樣路由:一條電纜被分成兩種路由方式 * 分割或複製電纜傳輸資訊的方法 ### BCP * BCP（業務連續性計畫）的目標是管理和減輕災難風險，以確保業務營運的連續性。 * BCP應經過高階管理層審查和批准，以確保BCP與業務目標一致。 #### 生命週期 * 專案和範圍規劃 * 風險評估與分析 * BIA * 業務連續性策略制定 * 業務流程開發 * 業務連續性意識培訓 * BCP測試 * BCP監控、維護和更新 #### 內容 * 該計劃應該得到詳細記錄，並用簡單的語言書寫，以便所有人都能理解。就關鍵人員進行訪談，以確定他們對業務連續性計劃（BCP）的理解，這有助於稽核員評估業務連續性計劃的清晰度和簡潔性。 * 該計劃應清楚地記錄每個人在災難發生時具體任務上的責任和可追溯性。 #### 宣布災難的責任 * 讓一位關鍵員工負責宣布災難，如果沒有人宣布災難，業務連續性計畫（BCP）將不會被啟動，從而威脅到業務的延續性。 #### 單一計畫 * 建議為整個組織制定單一的業務連續性計劃。 * 在依部門維護業務連續性計劃的情況下，應確保所有計劃採取統一的方法，並在必要時相互關聯；每個計劃具有統一的結構和語言，並且與其他計劃一致非常重要。 * IT計劃和程序必須與業務持續計劃保持一致並支援BCP，而業務持續計劃的副本應保存在離線位置。 * 保護生命安全是任何業務持續運營程序中的一個關鍵因素，這優先於所有其他要素。 ### BCP與風險評鑑 * 建議在進行風險評估時，每次檢視業務持續運營計劃（BCP），以確保BCP與組織最新的風險評估相符。 * 在業務恢復過程中，BCP中包含的資訊安全水準是很重要的。 * 資訊安全水準可能與正常業務運作時所需的要求相同、或更低、或更高。 * 根據風險評估，可以將最壞情況的場景和相應的策略納入BCP。 ### BCP測試 * BCP的充分性可以通過執行多項測試來評估 * 測試方法 * 紙本測試/案頭評估：相關人員會演練 BCP，並討論如果發生特定類型的服務中斷可能會發生什麼情況。 * 準備情況測試：借助模擬系統崩潰，在本地環境中驗證準備情況。這是確定計劃是否充分的經濟有效的方法，它還提供了逐步改進計劃的機會。 這被視為完整測試的本地化版本，其中資源被消耗在模擬系統崩潰上。 準備測試包括以非常合理的成本對整個環境進行分階段模擬，並幫助復原團隊了解與實際測試場景相關的各種挑戰。 * 全面運營測試：實施 BCP 時考慮涉及完全關閉運營的實際服務中斷，只有在進行紙本測試和準備測試後才能進行完整的運營測試，因全面的營運測試是一項昂貴且耗時的工作，並且涉及許多挑戰。 * 應留意的是，前一次測試的結果應該要得到妥善的記錄和評估。如果測試結果沒有被正確地記錄和分析，就無法評估業務持續計劃（BCP）的有效性。測試BCP可以幫助確定方案的有效性並檢測其中可能存在的缺陷。這提供了一個改進方案的機會。  ### 災難復原計畫 * DRP（災害恢復計劃）是一套文件化程序，用於在發生災害時恢復和保護企業的 IT 基礎設施。 * 它包括災難發生前、期間和後續的各種行動計劃。 #### BCP vs DRP * BCP的目標是透過備用地點或替代性工具和流程來維持業務運作，是業務連續性的整體架構。 * DRP的目標是恢復正常的業務運營，並從災難中恢復過來，而DRP被視為BCP的技術面，更著重於IT系統和營運。 #### DRP與BIA關係 * 準備任何災難恢復計劃（DRP）的第一步是進行業務影響分析（BIA），用於確定需要優先恢復的關鍵業務流程和系統，以確保組織的生存，而後根據不同流程分配的復原時間目標（RTO）和復原點目標（RPO），制定優先次序。 * 如果BIA的結果不用於設計DRP，DRP可能無法涵蓋所有所需的關鍵資產，因此，DRP在幫助組織從災難中恢復方面可能不足夠。 * 稽核員應確保流程擁有者參與業務連續性分析（BIA）的準備工作，如果沒有考慮擁有者的意見，BIA和災難復原計劃（DRP）可能不可靠。 #### DRP所需成本 * 災害恢復需要成本，災害復原涉及兩種類型的成本：停工成本和復原成本。 * 停工成本包括銷售損失、閑置資源、薪水以及在災害發生時生產或服務停滯時的成本，這些成本隨著時間的推移而增加。 * 恢復越早，停工成本越低。 * 復原成本是與恢復程序相關的成本，例如與啟動備用站點相關的額外成本以及與修復受損資產相關的成本。 * 結構化 DRP 的目標是最大限度地減少災難期間的停機時間和復原成本。 然而，為了維護 DRP，導致投入資源、復原站點、測試和維護等額外成本。 #### 資料備份 * 數據備份是災難復原計劃(DRP)中極為重要的元素，若無法存取備份數據，其他一切努力都將徒勞無功，且在災難發生後恢復數據將變得非常困難。 * 考慮災難復原的需求，備份間隔應與復原點目標（RPO）保持一致。 * RPO確定了組織可以容忍的最大數據損失，備份資料應該採取的方式，是最新的備份能夠支援RPO達成；如果RPO為零，則應進行即時的線上備份，以確保零資料損失。 #### 第三方提供DRP服務 * DRP 要求應納入與第三方服務提供者的服務等級協定(SLA)中，服務提供商應就 DRP 安排承擔合約義務（透過協議）。 * 服務等級協議還應包括稽核權條款，並且 DRP 安排應至少每年由服務接受者或服務提供者的獨立稽核方審計一次。 #### 韌性資訊資產 * 首先識別可提高抵禦災害能力的資產非常重要，具有韌性的資產能夠抵禦災害的影響並預防問題的發生。 * 預防控制永遠比糾正控制更有效。 #### 服務交付目標 * 服務交付目標是從替代場所維持的服務水平和運作能力。 * 服務交付目標與業務需求直接相關，並且是在災難恢復期間要達到的服務水平。這受到業務需求的影響。 ### DRP測試方式 * 定期進行災難恢復計劃（DRP）的測試和演練在確定DRP的持續適宜性和有效性方面非常重要。 * 它有助於驗證離線設施在災難情況下支援組織的相容性。 * 以下是一些重要的DRP測試方法 * 清單檢視 * 將一份清單提供給恢復團隊的所有成員進行審查，。該清單會定期更新 * 結構化Structured walkthrough * 紙上災難恢復計劃（DRP）的審查，團隊成員逐步審查以評估災難恢復計劃的效力。已確定的漏洞、不足和限制將予以解決，以改進計劃。 * 桌面演練 * 目的在復原團隊相關成員之間的協調努力與溝通方法 * 模擬演練 * 災難情景準備了角色扮演，並確定了災難復原計畫（DRP）的適當性，但不包括恢復站點的啟動。 * 平行演練 * 異地恢復站啟動後，原始站點仍然正常運作 * 全中斷演練 * 這種測試是最昂貴且潛在中斷，主要站台完全關閉，並根據災害恢復計劃（DRP）從恢復站台進行操作。 * 測試結果應被記錄並評估，以確定災害復原計劃的充分性和有效性 ### RTO vs RPO #### RTO * RTO是使用者對系統停機容忍度的衡量指標。 * 2小時的RTO表示如果一個組織的系統停機時間不超過2小時，對其影響不會太大。 #### RPO * RPO (復原點目標) 是對使用者對於資料損失的容忍度的測量。 * 2小時的RPO表示如果組織在2小時內丟失資料，將不會受到過大的影響。  #### 重要系統RPO與RTO * RTO（可恢復時間目標）表示使用者對系統停機時間的容忍程度。 * RPO（恢復點目標）表示使用者對資料損失的容忍程度。 * 在關鍵系統和關鍵資料的情況下，一個組織不能夠忍受過長的停機時間或資料遺失。因此，在關鍵系統的情況下，一般來說RTO和RPO是零，或接近零。 * 低 RTO 表示系統應盡快恢復運作，低RPO表示資料損失應該最小化。 #### 容忍度 * 災害容忍度表示組織對於IT設施無法使用的容忍程度。 * 低的回復時間目標（RTO）和回復點目標（RPO）意味著災害容忍度低，也就是說組織無法容忍系統停機時間。高的RTO/RPO表示災害容忍度高，也就是說組織能夠容忍一定程度的系統停機時間。 ### 替換恢復站點 * 在事件發生的情況下，主要場所可能無法進行業務運作。 為了因應類似情況，組織應該有一個安排，從備用站點恢復服務，以確保業務運作的連續性。 * 許多商業組織不能承受業務流程的中斷，因此它們需要在備用恢復場所投入大量資源。 * 站點差異 * mirror site:鏡像網站被視為原始網站的完全複製品 * Hot site:空間及基礎設施及應用程式已準備，最新資料未準備。 * warm site:空間及基礎設施及部分應用程式已準備。 * cold site:空間及基礎設施已準備。 * mobile site:移動站點是配備必要電腦設備的移動車輛。 * reciprocal agreement:在相互協議中，兩個具有類似能力和處理能力的組織同意在緊急情況下相互提供支援，其開支最低。  # Domain 5:保護資訊資產 ## 5-1 資訊資產安全和控制 ### 資訊資產安全框架、標準及指引 * 資訊安全框架是一套記錄了政策、程序和程序的文件，用於定義組織中資訊的管理方式。 * 框架的目標是透過保護重要機敏資訊的CIA（機密性、完整性和可用性）來降低風險和脆弱性，進而保護企業。 * 資訊系統（IS）審核員應考慮以下幾個方面以審核資訊安全管理框架： * 檢閱各項政策、程序和標準的充分性和批准情況 * 審查安全培訓和意識警覺計劃和程序。為了確定計劃的有效性，建議與部分員工互動，評估他們的警覺程度。 * 檢討各種政策、程序和標準的充分性和批准情況。 * 審查安全培訓和資安意識計劃和程序，為了確定該計劃的有效性，建議與一些員工互動並評估他們的認知水平。 * 稽核員決定是否已為關鍵流程、系統和資料分配適當的所有權，另是否存在資料分類政策並評估其適當性。此外，也要確定資料保管人（例如係統管理員和電腦操作員）是否負責儲存和保護資料。 * 確定是否對所有新加入者進行背景驗證，以及是否要求新使用者簽署一份文件以遵守組織的 IT 安全策略。 * 確定是否立即撤銷被解僱員工的存取權限。 此外，應適當監控和控制第三方服務提供者的存取權限。 * 確定組織是否擁有經過批准和記錄的安全基線策略，以及是否監控該安全基線的合規性。 ### 隱私原則 * 隱私是個人對於其個人資訊在與任何組織或個人分享時能要求最大限度的保護的權利。 * 個人可以要求其資訊的使用應該是恰當的、合法的，並且用於獲得資訊的特定目的上。 * 隱私原則 * 組織在將個人資訊轉移到另一個司法管轄區之前應獲得適當的同意。 * 組織應明確收集個人資訊的目的。 * 組織僅需要在必要時保留個人資訊。 * 組織應採取適當的安全措施來保護個人資訊。 * 組織應制定適當的流程來報告隱私權政策、標準和法律的遵守情況。 * 組織應對代表組織處理隱私資料的第三方服務提供者建立適當的治理機制。 * 組織應遵守適用於跨境傳輸個人資訊的資料保護法規。 #### 資安目標與CIA * 安全是指保護資訊或系統免於未經授權的存取、揭露、變更或破壞。 * 安全措施(measures)包括實體或技術保護措施用來實現保護資訊或系統的目標。 * CIA * 只有經過授權的使用者才能存取資料（保密性） * 保護系統免遭未經授權的修改或破壞（完整性） * 確保資料在授權使用者需要時可用（可用性） * CIA可以確保資訊系統的信任(Security Assurance = Trust)、真實性(Authenticity = Data is accurate, true and not altered)和不可否認性(non-repudiation = Trails are there, no one can deny what committed)。 CIA三合會指的是資訊安全人員的目標，而駭客的目標是洩漏機密資訊、竄改資料、阻止授權使用者存取系統。 稽核資訊安全管理框架 #### 安全與隱私 1. 隱私保護原則 * 安全是指實施控制措施來保護組織資產，而隱私是指保護個人的個人資料。 * 安全控制著重於資訊的機密性、完整性和可用性；隱私控制保護個人資料並確保合法收集和使用這些資料。 * 隱私法規（如 GDPR）要求包括合法性、公平性、透明度、目的限制、資料最小化、準確性、資料主體的可用性、儲存限制、機密性和完整性控制以及問責制的要求 2. 隱私法規 * 安全目標著重於保護組織數據，而隱私目標旨在保護客戶資料。 * GDPR 和加州消費者隱私法案等隱私權法規要求組織保護個人資訊並承擔責任。 * 隱私法規的共同要求包括處理的合法基礎、透明度、資料主體權利和資料保護措施。 * 隱私法規強調有限的資料收集、被遺忘的權利以及對個人識別資訊的保護。 * 組織必須實施加密和多因素身份驗證等控制措施，以透過設計確保資料保護。 * 隱私法規還要求發生安全漏洞事件後指定時間範圍內通知當事人。 #### 基本安全術語 #### 資安目標: CIA * 資訊安全的目標是實現系統機密性、完整性和可用性（CIA）。 * 安全是指保護資訊系統免於未經授權的存取、揭露、變更或破壞。 * 安全措施在實現保護資訊或系統的目標，包括實體、技術及管理安全措施。 * CIA是指確保只有經過授權的個人才能存取資料（保密性），保護系統免遭未經授權的修改或破壞（完整性），並確保資料在授權使用者需要時可隨時使用（可用性）。 * CIA黃金三角指的是資訊安全人員的目標，而駭客的目標是洩漏機密資訊、竄改資料、阻止授權使用者存取系統。 * 透過實施 CIA，可以確保資訊系統的可信任、真實性和不可否認性。 #### 資安與隱私 * 安全是指實施安全控制措施來保護組織資產(側重企業資料)，而隱私是指保護個人所有之個資。 * 安全控制著重於資訊的機密性、完整性和可用性。 * 隱私控制著重個人資料私密性保護，並確保蒐集者、控制者及處理者經當事人同意進行合法蒐集、處理、使用、刪除個資(行為)。 * 隱私要求 * GDPR要求包括合法性、公平性、透明度、目的限制、資料蒐集最小化、正確性、資料主體的可用性、儲存限制(境外儲存限制)、機密性和完整性控制及當責等要求。 #### 威脅、弱點、攻擊者(adversary) * 威脅:對資訊系統可能造成負面衝擊的任何狀況或事件 * 弱點:可以被威脅角色所利用，用來在電腦系統中跨越權限邊界(執行非授權行為) * Adversary:犯罪組織或個人或幫派，其動機不同，可能是政治目的，也可能是為取得不法利益，有可能是國家級駭客也可能是駭客狂熱分子 * 攻擊:對系統進行進攻行為 * 風險:造成傷害或損失，風險事機率與衝擊的產物 #### 弱點 安全威胁受益于安全漏洞。 漏洞是系统中的弱點或缺陷，可能使系统容易受到攻擊。 漏洞可以是建築物中缺失或敞開的窗户或門。同样，在信息技术领域中，漏洞可以是缺乏身份验证、弱密码或缺失的安全补丁。供应商会定期发布操作系统和应用程序的软件更新，用户需要及时应用这些补丁以提高安全性或修补已识别的漏洞。漏洞可以是技术性的，也可以是非技术性的，例如，缺乏对网络安全的了解可能使人容易受到社交工程攻击和钓鱼尝试的攻击。漏洞不仅仅是技术性的，对于技术性漏洞，有一种通常根据影响和严重程度来评估的方式，例如常见漏洞评分系统（CVSS）。及时处理漏洞对于保护系统安全至关重要。为了了解新的安全漏洞，安全经理需要关注出现的新安全漏洞，并确保跟踪修复工作。 亮点 🕵️‍♂️ 漏洞是系统中的弱点或缺陷，可能导致系统易受攻击。 🖥️ 技术性漏洞包括缺少身份验证、弱密码和缺失的安全补丁。 👾 不仅技术性漏洞存在，社交工程攻击也可以利用人的漏洞。 🔒 使用CVSS评分系统来评估漏洞的严重性和易受攻击程度。 🛡️ 及时修复漏洞对于防止攻击至关重要，特别是像WannaCry和NotPetya这样的勒索软件攻击。 📅 重要的是订阅安全新闻和参与安全社区以了解新的漏洞信息。 🛠️ 漏洞扫描和评估工具可以帮助识别和修复系统中的漏洞。 User 翻成中文 ChatGPT 摘要 安全威胁受益于安全漏洞。漏洞是系统中的弱点或缺陷，可能使系统容易受到攻击。这些漏洞可以是建筑物中缺失或敞开的窗户，也可以是敞开的门。同样，在信息技术领域中，漏洞可以是缺乏身份验证、弱密码或缺失的安全补丁。供应商会定期发布操作系统和应用程序的软件更新，用户需要及时应用这些补丁以提高安全性或修补已识别的漏洞。漏洞可以是技术性的，也可以是非技术性的，例如，缺乏对网络安全的了解可能使人容易受到社交工程攻击和钓鱼尝试的攻击。漏洞不仅仅是技术性的，对于技术性漏洞，有一种通常根据影响和严重程度来评估的方式，例如常见漏洞评分系统（CVSS）。及时处理漏洞对于保护系统安全至关重要。为了了解新的安全漏洞，安全经理需要关注出现的新安全漏洞，并确保跟踪修复工作。 亮点 🕵️‍♂️ 漏洞是系统中的弱点或缺陷，可能导致系统易受攻击。 🖥️ 技术性漏洞包括缺少身份验证、弱密码和缺失的安全补丁。 👾 不仅技术性漏洞存在，社交工程攻击也可以利用人的漏洞。 🔒 使用CVSS评分系统来评估漏洞的严重性和易受攻击程度。 🛡️ 及时修复漏洞对于防止攻击至关重要，特别是像WannaCry和NotPetya这样的勒索软件攻击。 📅 重要的是订阅安全新闻和参与安全社区以了解新的漏洞信息。 🛠️ 漏洞扫描和评估工具可以帮助识别和修复系统中的漏洞。 #### 實體訪問和環境控制 * 實體控制目的透過實體手段保護資訊系統處理設施，如鎖、圍欄、閉路電視（CCTV）和安裝用於物理限制對設施或硬體的存取的設備。 * 環境控制是指採取措施保護系統、建築和相關支援設施免受與其物理環境有關的威脅。 * 停電類型 1. 停電(blackout)：停電表示完全斷電。 2. 掉電(brownout)：電壓嚴重降低，可能會對電子設備造成壓力，甚至可能導致永久性損壞。 3. 驟降、尖峰和突波(sag、spikes、surges)： * 電壓驟降是電壓水平的快速下降。 尖峰和突波是電壓等級的快速增加。 這些可能會導致伺服器或系統中的資料損壞。 * 透過使用正確放置的保護器可以防止電壓驟降、尖峰和突波。 * 突波和尖峰元件有助於防止高壓突發。 * 保護臨時減少電力的最有效控制方法是電力線調節器，是一種在改善供應給電氣設備的電力質量的裝置。它可以補償電源的高峰和低谷。當電力供應低時，它會提供自己的電力並維持恆定電壓。 4. 電磁干擾(EMI)：通常是由電氣設備電磁風暴或雜訊造成的，會導致系統損壞或損壞。 * 不間斷電源 (UPS) 可以幫助組織避免持續幾秒鐘到 30 分鐘的電源中斷；當長期停電時，替代電源（例如發電機）最為有效選擇。 #### 水及煙偵測器 * 在機房內，水探測器應放置在高架地板下方和排水孔附近。 * 煙霧偵測器應安裝在整個設施的天花板上方和下方以及電腦房地板下方。 * 水煙探測器的位置應突出顯示，以便於識別和存取。 * 指定專職員工負責在發生警報時採取補救措施，且應有標準操作程序。 * 這些設備的位置非常重要，應放置在能夠發出火災預警的位置。 * 這些設備的供電電源要充足。 * 應定期測試這些設備。 * 該設施應張貼緊急撤離計劃。電線應安裝在防火面板和管道中。最理想的是這些管道應該位於防火耐燃的電腦機房升高地板下方 #### 滅火系統 * 濕式噴頭(Wet Based Sprinkler) * 被認為比乾管更有效和可靠，因為水始終保持在系統管道中； 然而如果管道洩漏或損壞，它會使場所暴露於水傷的風險。 * 乾管噴頭(Dry Pipe Sprinkler) * 在乾管灑水系統中，水並不會儲存在管道中；當發生火災警報時，泵浦會被啟動並將水送入系統。 * 幹管灑水系統的一個優點在於它不會因管道洩漏而導致場所受損，但相比水壓式灑水系統，它的可靠性較差。 * 海龍系統(Halon system) * 海龍氣體透過從空氣中去除氧氣來使火焰窒息，對人類和環境不安全，在噴射海龍氣體之前應發出警報，並配合疏散人員的過程。 哈龍氣體的受歡迎替代品有FM-200和氬氣(Argonite)。 * 二氧化碳 * 實體存取控制的目的是限制和控制對場所、建築、房間和資料中心的存取。 * 實體存取控制的例子包括門鎖、保全人員、門禁卡等等。 #### 實體存取控制 * 實體存取控制的目的是限制和控制對場所、建築、房間和資料中心的存取。 * 實體存取控制的例子包括門鎖、保全人員、門禁卡等等。 * 門鎖:這些是傳統類型的鎖，需要用金屬鑰匙來開啟門。對於這些鎖來說，鑰匙應該要嚴格掌控，不允許任何人複製鑰匙。 * 組合門鎖中，僅透過數字鍵盤或撥號器授權存取。 授權存取號碼僅應提供給授權人員。 授權存取號碼應定期更改，並且在任何具有存取權限的員工調動或離職時必須強制更改。 * 使用電子門鎖，透過磁性或嵌入式晶片的塑膠卡來授權。 這些訪問卡很難複製。 一旦終止或遺失卡片，很容易停用訪問卡。 還可以配置警報系統來監控未經授權的進入。 然而，存取卡的發放和管理過程應該受到仔細控制。 * 生物特徵門鎖:使用者可以透過其聲音、視網膜、指紋和手幾何等任何生物特徵獲得存取權限，生物辨識訪問控制通常用於關鍵和敏感設施。 * DEADMAN DOORs:也被稱為mantrap或airlock entrance。在這種情況下，使用兩扇門，第二扇門必須在第一扇門關閉並上鎖後才能打開。只允許一人進入第一扇門和第二扇門之間的間隙。 #### 識別證 * 員工在辦公室內需要佩戴和展示身份證（照片證件），爲了方便追蹤，員工和訪客的證件應該使用不同的顏色。訪客需要由接待人陪同。 #### CCTV * 應在戰略位置安裝閉路電視攝像頭，視頻和圖像應保存足夠長的時間，以便在未來三個月內的需要時使用。對於高敏感性工作站的安全，使用計算機工作站鎖可防止計算機被啟動。建議不要在外部具有可見或可識別標誌的設施，如計算機房 ### 身分和存取管理 * 稽核員應對組織的邏輯存取控制進行審查，其主要目標是確定存取權限是否根據批准的授權進行了控制和授予。 * 邏輯存取控制 * Identification * Authentication * Authorization * Accountability * 存取控制類型 * 強制存取控制(MAC) * 自主存取控制(DAC)  #### 控制有效性 * 預防性控制相較於偵測性或威懾性控制，被認為在損害控制方面更有效；相較於手動控制，自動化控制被認為更有效。 * 在邏輯存取控制方面，自動化密碼管理工具被認為是最有效的預防性控制，確保符合密碼管理政策的合規性。 * 日誌檔案應為唯讀，不應該對其啟用編輯存取權限；因將日誌檔案視為稽核追蹤時，其完整性非常重要。 #### 預設拒絕政策或全部允許 * 組織可以選擇預設拒絕存取控制策略或全部允許存取控制策略 *  #### 消磁degaussing * 正確的格式化對於確保未經授權的人無法從媒體上恢復殘留數據非常重要，在可能的範圍內，媒體應該以無法重用的方式物理摧毀。然而，摧毀媒體可能不划算，因此，在這些情況下，應該要非常謹慎地完全刪除數據，並且任何工具或技術都無法恢復數據。 * 其中一種方法是使媒體記錄消磁。 此過程涉及將交流電場逐漸從0增加到最大值，然後返回0，使介質上的磁感應殘留量非常低。 這個解磁的過程也稱為去磁。 #### 命名規則 * 命名規則是對資產進行命名的一種約定結構，它有助於有效和有效率地管理存取規則。 一般來說，具有關鍵性質的資產被分組並命名為敏感類別； 對於存取敏感類別，會制定比其他類別更嚴格的規則。 * 這減少了充分保護資源所需的規則數目，進而有助於安全管理和維護工作。 通常情況下，在資料或應用程式的所有者與安全官員的協助下設定命名規範。 這些規範應促進有效存取規則的實施，並簡化安全管理工作。 #### 驗證 * 因子 * Something you know (for example, a password, PIN, or some other personal information) * Something you have (for example, a token, one-time password, or smart card) * Something you are (for example, biometric features, such as fingerprint, iris scan, or voice recognition) #### SSO * 單一登錄（Single sign-on，簡稱SSO）是一種用戶身份驗證服務，允許用戶使用一組登錄憑證（例如用戶名和密碼）來訪問多個應用程序。 * SSO增加了單點故障的風險，且入侵者只需知道一個密碼就可以訪問所有相關應用程序，因此密碼被破解的衝擊更大，所以實施高密碼複雜度政策非常重要。 * Kerberos是一個用於驗證分布式計算環境（DCE）中的服務和用戶的身份驗證服務，在客戶-服務器環境中，僅驗證用戶；然而，在DCE中，用戶和服務器都需要進行身份驗證。在初始登錄時，使用Kerberos第三方應用程序來驗證客戶端的身份 * 優勢 * 不需要多個密碼，鼓勵用戶選擇強密碼。 * 提高管理員管理使用者帳戶的能力。 * 由於有關密碼的 IT 幫助台呼叫數量減少，因此降低了重置密碼的管理開銷成本。 * 減少使用者登入多個應用程式所需的時間。 * 缺點 * SSO 充當多個應用程式的單一身份驗證點，這構成了單點故障的風險。 * 支援所有主要作業系統環境是很困難的。 ### 生物特徵 * 生物特徵驗證是一種透過驗證一個或多個生物特徵來唯一確定和認證個人身份的過程。 * 這些生物特徵的例子包括手掌、掌形、指紋、視網膜和虹膜圖案、聲音和DNA。 * 準確性 * FAR錯誤接受率:未經授權的人被系統接受的指標，即生物辨識無法限制未授權的人，這是稽核員要關注點。 * FRR錯誤拒絕率:被授權的人（即合法人員）被生物辨識系統拒絕的機率 * CER或EER:FAR和FRR相等。擁有最低CER（交叉錯誤率）或EER（等錯誤率）的生物特徵系統是最有效的系統，是評估生物辨識系統的整體量化表現的指標。 * 控制 * 生物識別資訊應安全儲存。 * 只有經過授權的工作人員才能存取生物識別資訊。 * 攻擊 * 重放攻擊：在重放攻擊中，攻擊者利用殘留的生物辨識特徵（例如生物辨識設備上留下的指紋）來獲得未經授權的存取。 * 暴力攻擊：在暴力攻擊中，攻擊者發送大量生物辨識樣本，目的是使生物辨識設備故障。 * 加密攻擊：在加密攻擊中，攻擊者試圖透過針對生物辨識設備和存取控制系統之間傳輸的演算法或加密資訊來獲取資訊。 * 模仿攻擊：在模仿攻擊中，攻擊者試圖重現真實生物辨識使用者的虛假生物辨識特徵。 例如，模仿註冊用戶的聲音。 ### 網路安全和控制 #### 網路與終端設備 * 網路和端點設備的強化和配置對於資訊安全而言非常重要。 * 資訊系統稽核員應該熟悉網路設備的基本功能和能力，以評估與此類設備相關的風險和控制措施。 * OSI七層  ##### 網路設備 * Repeater:放大器用於解決訊號衰減（訊號變弱）的問題，放大器接收來自一個網路的訊號並放大並再生弱訊號。 * 放大器擴展訊號，使訊號可以覆蓋更長的距離或在障礙物的另一側接收。 * Hub與Switch:集線器（物理層）和交換器（資料鏈結層）用於連接不同的設備進行資料交換。 * 交換器被視為集線器的更高級/智慧版本，集線器將訊息廣播到所有連接的設備，而交換器僅將訊息傳送到指定設備。 * 集線器不能儲存媒體存取控制（MAC）位址，而交換器將MAC位址儲存在查找表中。 * Bridge:橋接器（資料鏈結層）具有與交換器相同的功能。 * 橋接器能夠識別MAC地址並將封包導向目的地，具有儲存框架的能力，並可作為儲存轉發裝置。 * 橋接器只有少數連接裝置的端口，而交換機則擁有多個連接裝置的端口。 * Router:路由器(網路層) * 一座橋樑可以識別IP地址並將封包導向目的地。路由器具備監控、控制和阻擋網絡流量的基本能力。它可以被看作是一種非常基礎的防火牆。 * 由器可以連接兩個不同的網絡，並且每個網路保持邏輯上的分離，可以作為一個獨立的網路運作。 路由器透過識別IP位址進行工作，而交換器則透過識別MAC位址進行操作 * Gateway:閘道具有將不同協定和網路轉換和連接的能力。 它在OSI模型的第7層（應用層）上運行。 網關可以執行比交換設備和路由器更複雜的任務。  * 網路實體媒介:用於傳輸和儲存網路通訊中的資料的實體 * 光纖 * 以閃光攜帶二進位訊號，光纖電纜被認為比銅線更安全。 * 光纖是管理長距離網路和處理大量資料的首選，且不受電磁幹擾 (EMI) 的影響。 * 雙絞線 * 無線 * 實體線路風險 * 訊號衰減 * EMI電磁干擾 * CROSSTALK * 網路圖表 * 稽核員首先應該檢閱網絡圖表，以了解網絡架構並確定內部風險或單一故障點。 * 網絡圖表是網絡架構的圖示表示，其中包括計算機、服務器和其他網絡設備，如電纜、路由器、設備、集線器和防火牆。 * 網絡圖表包含每個網絡設備的位置細節，以及它們彼此之間的交互作用。 * 網路協定 * 動態主機設定協定（DHCP）是一種管理網路配置的協定，DHCP伺服器會動態地為網路中的每個設備指派IP位址和其他網路設定參數，以便它們可以與其他網路通訊。 #### 資料分類 #### 資料加密和加密相關技術 #### 公鑰基礎設施 #### 基於Web的通訊技術 #### 虛擬化環境 #### 移動、無線和物聯網設備 ## 5-2 安全事件管理 #### 安全意識培訓和計畫 #### 資訊系統攻擊方法和技術 #### 安全測試工具和技術 #### 安全監控工具和技術 #### 事故應變管理 #### 證據蒐集和取證