CISM Certified Information Security Manager (ISACA)

# CISM (Certified Information Security Manager) **Author:陳詰昌 Email: power.shell@gmail.com** 如有錯誤請告知~ * 章節配分 * Domain 1: Information Security Governance 17% * Domain 2: Information Security Risk Management 20% * Domain 3: Information Security Program 33% * Domain 4: Incident Management 30% # Domain 1:資安治理 * 建立及維持資安治理框架並支持流程確保資安戰略與組織目標對齊 ## 資安治理 * 資訊安全治理是整體公司治理的一部分，被定義為一個組織被控制和運作的系統。 * 治理是通過政策、標準和程序來實施的，影響資訊安全治理的首要因素是組織結構，包括目標、願景、使命、不同的職能部門、不同的產品線、層級、結構、領導層等。 * **資訊安全治理的責任主要在於董事會及高階管理層**，他們必須通過監控安全的關鍵面向使安全成為治理的重要組成部分。此外，資訊安全指導委員會負責代表董事會監督和執行安全措施。 * 在建立資訊安全治理方面，需要採取三個步驟；首先，**確定信息安全計劃的目標**，第二，制定**實現目標的戰略**和要求，第三，創建路線圖並確定實現安全目標的具體行動和任務，並通過安全策略(Policy)、標準(Standard)和程序(Procedure)來完成。 * 資訊安全治理的目標包括確保安全計畫與業務戰略保持一致，將風險降低到可接受的水平，為業務流程提供價值，實現安全目標，以及整合和調整所有保證功能的活動以實現有效和高效的安全措施。 * 在選擇治理方法時，自上而下的方法被認為更有效，因為它確保政策和程序是由高階管理階層所設定，因此政策及程序直接對齊業務目標。由下而上的方法比較注重程序面且可能非直接解決管理上優先問題。 ![Goverance](https://hackmd.io/_uploads/B1l1fXpgn.png) ### Glossary * 治理: 制定有關公司將如何運作的計劃的行為實現目標，然後確保每個人都執行該計劃 * 目標: 想要達成的成果。 * 戰略: 達成目標的行動計畫。 * 政策: 高階管理期望及公司發展方向的高階宣言。 * 管理意圖戰略表述 * 清楚明瞭 * 內容精簡完整 * 標準: 如何執行政策? 提供工具。 * 程序: 如何完成工作? 一步一步執行步驟。 * 指引: 對執行程序有幫助的資訊，指引相對標準有彈性，建議非強制性。 ## 治理框架 * 治理框架是支持資訊安全戰略實施的結構或大綱，它為結構化安全程序提供了最佳實踐。 * 普遍接受的安全治理框架包括 ISO 27000 和COBIT(Control Objectives for Information and Related Technology)。 * 這些框架比其他方法更靈活，提供的是大綱和基本結構，而不是詳細的過程和方法。 * 有效資訊安全治理的最重要屬性是具有必要資源和明確職責的組織結構。 * 開發資訊安全程序最有效的方法是使用框架，治理框架是支持資訊安全戰略實施的架構。 ## 業務記錄保存 * 記錄保留政策規定了需要保留的數據和文件的類型以及這些文件必須保留的時間。 * 該政策基於兩個因素：業務要求和法律要求。 * 電子發現 (E-Discovery) 是為訴訟或調查收集電子記錄的過程。 * 為確保電子記錄的可用性，組織應實施涵蓋存儲條款和記錄要求的全面保留政策。重要的是要記住，當業務和法律要求之間存在衝突時，應優先考慮業務要求。 * 記錄保留政策的練習題包括了解全面保留政策的重要性，以盡量減少訴訟或調查時電子取證的影響，並了解影響記錄保留政策的因素，例如應用程序系統和媒體。此外，保留業務記錄的最重要考慮因素是監管和法律要求。 ## 組織架構 - 組織結構是組織中不同個人的一組角色和職責，以及報告層次結構和集中或分散的職能。 - 安全策略的製定受組織結構的影響很大。 - 自上而下的方法，其中政策、程序和目標由高級管理層制定，是確保安全策略與業務目標保持一致的最佳方法。 - 董事會對監管機構、客戶、股東和其他利益相關者負有最終責任。 - 董事會應參與資訊安全計劃，並應建立指導委員會以確定可接受的資訊安全風險水平。 ### 集中及分散功能 - 集中式安全是由單一集中位置進行監視和控制，而分散式安全是從多個位置進行監視和控制。 - 集中式環境提供更高的一致性和使用最佳資源的能力，而分散式環境可以更好地滿足分散式單元的要求。 - 集中式流程可能需要更長的時間來處理資安與使用者間請求，而分散式流程相較比較快速回應與處理請求。 ### 資安角色與職責 - 安全角色和職責應在整個組織中明確定義、記錄和傳達。 - 董事會應了解安全風險及其對業務目標的影響。 - 高級管理層應將安全目標與總體業務目標相匹配，並為資訊安全項目提供持續支持。 - 業務流程應持續監控安全措施的有效性。 - 指導委員會應確保安全計劃與業務目標保持一致並得到支持。 - 負責制定安全決策和實施安全計劃。 - 首席運營官 (COO) 負責運營活動和讚助安全項目。 - 數據保管人負責代表數據所有者管理數據，並確保實施適當的安全措施。 ## 成熟度模型 * 成熟度模型用於確定任何給定過程的成熟度，最廣泛使用的模型之一是能力成熟度模型 (CMM)。 * CMM 可用於確定治理過程的成熟度級別，共有六個級別：0 級（不完整）、1 級（已執行）、2 級（已管理）、3 級（已建立）、4 級（可預測）和級別 5（優化）。 * 級別 0 表示該過程未實施或未達到其預期目的。 * 級別 1 表示該過程能夠實現其預期目的。 * 級別 2 表明過程得到適當的計劃、監視和控制。 * 級別 3 表示過程已明確定義、記錄和建立。 * 級別 4 表示該過程是可預測的，並且在定義的參數範圍內以實現其預期目的。 * 級別 5 表示過程不斷改進以滿足當前和預期的目標。 * 成熟度模型也用於確定資訊安全治理的級別，確定風險管理流程持續改進的最佳方法是使用成熟度模型。 ## 資安治理量測指標 * 指標是對流程的測量，以確定它們的執行情況。指標的主要目標是幫助管理層進行決策，特別是在資訊安全風險方面。 * 技術指標使人們能夠了解防火牆和防病毒等技術控制的功能，而數據治理指標對於戰術運營管理很有用。 * 有效指標的特徵應該是具體的、可衡量的、可實現的、相關的和及時的，並且應該與特定的風險或控制相關聯。 * 指標的目標是能夠評估和衡量各種流程和控制的績效和成就，以便組織能夠做出明智的決策。 ## 資安戰略與計畫 * 資訊安全戰略是實現企業安全目標的具體行動路線圖。 * 它應該與業務目標保持一致，並且管理中的任何變化都應該在資訊安全策略中得到適當的解決。 * 要創建有效的資訊安全策略，第一步是了解和評估業務策略。 * 這對於使資訊安全計劃與業務戰略保持一致至關重要。在資訊安全策略的基礎上，設計並實施了各種程序和架構。 ## 企業資安架構 * 企業架構定義了組織的結構和操作，而安全架構是前者的子集，旨在改善組織的安全態勢。 * 安全架構可幫助安全經理在需要更多安全工作時確定流程和系統。 * 資訊安全架構應該最好地與業務目標保持一致，因為如果架構不支持業務需求，它的效率就會降低。 * 此外，安全經理制定資訊安全策略的第一步應該是確定安全需求和了解 IT 架構。 ## 意識與教育 * 資訊安全是製定整體安全策略時要考慮的重要因素。 * 培訓(training)、教育(education)和意識(Awareness)都是確保遵守政策、標準和程序所必需的。 * 為了提高培訓的有效性，為目標受眾定制培訓內容並使其與他們的業務流程相關是最好的方法。 * 對於不同的群體，這看起來會有所不同，例如系統開發人員需要接受更 ## 治理、風險與合規 * 治理、風險和合規性 (GRC) 是調整和整合治理、風險管理和合規性活動以實現組織目標的過程。 * GRC 的主要目標是擁有有效的組織流程，從而避免浪費資源的重疊和重複。 * 此過程可應用於組織的任何職能，但主要集中在財務和法律領域。財務 GRC 側重於財務流程的有效風險管理和合規性，而法律 GRC 側重於企業級監管合規性。 * 實施 GRC 程序的主要目標是通過整合與保證相關的活動以及同步和調整組織的保證功能來改進風險管理流程。 ## 高階管理委員會 * 資訊安全計劃或專案需要高級管理層的支持和承諾才能有效實施。 * 缺乏來自管理層的高度可見的支持將對安全專案的有效性產生不利影響。 * 獲得高級管理層支持的最有效方法是確保安全計劃符合並支持業務目標。 * 高級管理層更關心業務目標的實現，並將開始解決可能影響其目標的任何風險。 * 資訊安全項目投資的主要驅動力是價值分析和合理的業務案例，為獲得預算批准，提案中應包含成本效益分析。高級管理層將更有興趣從預算中獲益。 * 獲得高級管理層對安全項目支持的最佳方式是向他們解釋安全風險對關鍵業務目標的影響。 * 高級管理層更關心業務目標的實現，他們將熱衷於解決影響關鍵業務目標的任何風險。 * 資訊安全項目投資的主要驅動力應該是價值分析和合理的業務案例，它們應該能夠為業務提供價值。 * 安全投資的總體目標是通過解決業務中斷、減少損失和提高生產力的實例來增加業務價值。 ## 商業案例與可行性分析 * 業務案例和可行性分析是啟動項目前需要考慮的兩個重要方面。 * 業務案例是提議專案的理由，它包含啟動專案或任務的理由，並概述了預期的投資回報以及任何其他預期收益。 * 另一方面，可行性分析有助於評估所提出的解決方案在既定預算和安全要求範圍內是否可行和可實現。這包括評估專案在風險、成本和收益方面對組織的影響。 * 商業案例是啟動專案的第一步，可行性研究是第二步。如果商業案例未獲批准，則不需要進行可行性研究。 - 商業案例是擬議項目的理由，概述了預期的投資回報和其他預期收益。 - 可行性分析有助於評估所提出的解決方案在既定預算和安全要求範圍內是否可行和可實現。 - 商業案例是啟動項目的第一步，可行性研究是第二步。 - 如果商業案例未獲批准，則不需要進行可行性研究。 - 業務案例用於證明新項目實施的合理性。 - 開發業務案例的第一步是定義項目需求和要解決的問題。 - 業務案例基於可見性和價值報告，顯示項目的潛在收益。 ## 第三方關係與治理 ### 管理第三方風險 - 資訊安全經理的角色在管理第三方風險方面很重要。 - 應考慮組織與第三方之間的文化差異，以確定第三方的安全態勢。 - 還應考慮技術不兼容性、業務連續性安排、事件管理流程和災難恢復能力。 # Domain 2:資安風險管理 ## 簡要 * 風險包括兩個要素：概率和影響。 * 風險評鑑(Assessment)由三個過程組成：風險識別、風險分析和風險評估(Evaluation)。 * 風險應對或風險處理包括四種選擇：風險緩解、風險接受、風險規避和風險轉移。 * 風險偏好(Appetite)是組織承擔風險的意願，而風險承受能力(tolerance)是與風險偏好的微小偏差。 * 威脅是任何可能對組織資產造成損害的因素，而脆弱性(vulnerability)是流程或系統的弱點。 * 固有風險是指在沒有控制措施或其他緩解因素的情況下活動可能帶來的風險，而剩餘風險是在考慮控制措施後仍然存在的風險。 ## 風險管理 * 風險管理是在最大化商業機會和最小化漏洞和威脅之間實現最佳平衡的過程。 * 風險管理涉及四個主要步驟:風險識別、風險分析、風險評估和風險應對。 * 風險識別是識別適用於業務目標的風險的基本活動。 * 風險分析是為了確定暴露程度和影響。 * 風險評估是確定風險是否在可接受範圍內或需要進一步降低。 * 風險應對是控制影響程度。 * 確定專案的背景和目的是風險管理計畫形成的第一步。 ## 風險管理戰略 * 風險管理戰略是為實現風險管理目標而製定的計劃。 * 風險管理的主要目標是將風險降低到可接受的水平，並應與整體治理策略保持一致。 * 風險管理應應用於組織的所有流程，業務流程中應允許風險活動以支持業務目標。 * 應向工作人員提供培訓，以了解他們在風險管理方面的作用和責任。 * 風險評估應接受管理，以提高評估的準確性。 ## 風險容量(capacity)、偏好(appetite)及容忍度(tolerance) * 風險承受能力、風險偏好和風險承受能力是風險管理的三個重要概念。 * 風險能力被定義為組織能夠承受的最大風險，而風險偏好是承擔風險的意願，而風險容忍度是可接受的風險水平。 * 風險偏好和風險承受能力的水平可能因人而異，或因組織而異。 * 影響風險偏好的因素包括個人或組織對風險的態度，例如他們是風險承擔者還是風險厭惡者；但風險偏好和容忍度與業務目標保持一致非常重要。例如，如果其中一個目標是最大化收入，那麼與其他目標相比，風險偏好和容忍度應該較低，資源被引導到風險容忍度較低的領域。 * 業務流程所有者負責管理風險並了解風險和適用於其各自流程的相關控制措施。 ## 風險評鑑 * 風險評鑑是識別、分析和評估各種風險及其潛在影響的過程，它包括三個步驟：風險識別、風險分析和風險評估。 * 風險識別有助於確定組織當前的風險狀態，而風險分析有助於確定風險水平，無論是定量還是定性；風險評估是將風險水平與組織的風險偏好進行比較的過程。 * 由於風險場景和威脅不斷變化，因此定期進行風險評估非常重要。 * 風險評估的主要目標是確定風險的當前狀態，並證明和實施風險緩解策略。 * 風險評估的最佳頻率是每年一次或發生重大變化時，數據所有者負責準確的數據分類。 * 風險和糾正措施的詳細信息包含在風險登記冊中。 ## 風險分析方法 * 風險分析是對各種風險進行排序以便對它們進行優先處理的過程，這個過程可以使用定量風險分析或定性風險分析來衡量和排名。 * 定量風險分析在數值的基礎上量化風險，而定性風險分析在質量參數的基礎上衡量風險。 * 定量風險分析是成本效益分析的首選，因為它可以用貨幣形式進行分析，並且很容易與降低風險響應的成本進行比較。用於量化風險的因素是概率和影響。 * 當數據缺失或數據準確性受到質疑時，首選定性風險分析。定性風險分析涉及進行訪談和使用匿名問卷。 * 定量和財務建模使用基於統計的分析，蒙特卡羅模擬結合了定性和定量評估方法。 ## 資訊資產分類 * 資安第一步是瞭解資訊資產清單，然後，需要確定每項資產的所有權；之後，資料所有者可以幫助將資源分類為公開或私有。 * 接下來，需要標記資產並創建訪問控制；最終責任在於資料所有者，以確保數據的完整性、機密性和適當的訪問控制。 * 信息資產分類的目標是確保完整性、機密性和適當的訪問控制指引、降低成本和資產的輪換。 * 適當數據分類的要求包括技術控制知識、組織政策意識和培訓、自動數據控制工具的使用、數據使用要求的理解以及組織政策和標準的意識和培訓。 * 所有問題答案應該是數據所有者負責或負責維護適當的訪問控制措施。 * 信息資產分類最重要的目標是保證數據的完整性和機密性；此外，在訪問應用程序數據時，答案應該是數據所有權。最後，確定適當的信息資源保護級別的最佳基礎是根據資產的關鍵性和敏感性對資產進行分類。 ## 資產價值 * 資產估值是為組織的資產分配價值的過程，它是根據商業價值而不是購置或更換成本來衡量的。 * 這有助於確定重大妥協的潛在影響，並有助於衡量與之相關的風險。 * 風險分析的一個關鍵方面是準備好資產清單，有助於進行適當的風險評估，可以根據業務影響分析確定應用程式恢復的優先級。 ## RTO與RPO * 恢復時間(RTO)和恢復點目標(RPO)是實施系統時要考慮的關鍵概念。 * 理想情況是具有可接受的系統停機時間和數據流，為確保數據不丟失，應定期進行備份，數據丟失不應超過兩小時。 * 如果RPO為零或接近於零，則係統被認為是關鍵的，容災能力低，為了最大限度地降低維護系統的成本，數據備份應該是同步的，RPO應該保持在較低水平。 ## SDO MTO AIW * 根據協議，Dozy, Inc.是 GM Limited 的唯一原材料供應商，他們需要供應5000台，萬一發生災難或業務異常，他們必須至少供應2000台。如果不滿足正規化供應，則有可能終止協議並從其他製造商處採購原材料。為確保這種情況不會發生，Dozy Inc. 建立了一個備用站點，該站點最多可運行 15 天，並且每天能夠生產 2000 件產品。這稱為服務交付目標(SDO)，即要從備用站點維護的服務級別和操作能力。 * 允許中斷窗口(AIW)是組織可以正常運行的最長時間，最大可容忍中斷(MTO)是組織可以從備用站點運行的最長時間。 * 恢復時間目標(RTO)主要基於業務影響分析，用於識別可對業務目標產生直接影響並優先保護和恢復的關鍵流程、資產和資源。 ## 外包及第三方服務提供商 * 外包給第三方時，需要考慮各種風險。 * 審查外包合同時要考慮的最重要因素是包含安全要求。 * 這應該包括審計(Audit)條款的權利，允許服務接受者評估是否符合服務提供者的安全要求。 * 此外，服務級別協議(SLA)應明確限制任何分包給第四方，因為這會顯著增加風險並可能導致違反監管要求。 * 為了減輕與外包過程相關的風險，有必要定期進行審計以確保服務提供商遵守合同要求。 * 當涉及到關鍵數據處理時，這一點更為重要，因為在分包之前應對此進行徹底審查；最後，還必須考慮各種隱私法的影響，因為這些法律可能會阻止資料的跨境流動。 ## 變更管理 * 變更管理過程是用於改變硬體、安裝軟體和配置不同網絡設備的過程。 * 它由 4 個主要步驟組成：批准(approval)、測試(trsting)、調度(scheduling)和回滾(roll back)安排。 * 重要的是讓相關人員了解情況並從相關信息中獲取選項。 * 系統用戶最適合進行用戶驗收測試並確定是否引入了新的風險。 * 安全團隊應及時了解重大變更，因為變更管理流程是一種預防性控制，要求所有變更都經過正式批准、檔案記錄和測試。 * 變更管理的主要目標是確保只進行授權變更，通過定好的變更管理流程，降低修改風險。 ## 補丁管理 * 補丁管理是對操作系統和其他軟體應用更新的過程，該過程涉及使用補丁來糾正錯誤並解決與這些系統和應用程序相關的新漏洞。 * 確保所有補丁都通過適當的變更管理流程非常重要，其中包括批准、測試、用戶驗收測試和文件。 * 此外，安全經理應該有適當的回滾程序以防意外失敗。當組織收到補丁時，第一步應該是驗證其真實性，補丁更新的正確頻率應該是每當發布重要的安全漏洞時，儘管補丁應該在實施之前進行測試。 ## 安全基準控制 * 安全基準是指信息安全的最低基本要求，實施安全基線的目的是確保根據適當的風險級別始終如一地實施控制。 * 該基準應根據資產分類設置，例如，對於關鍵應用程序，必須至少進行兩因素身份驗證，對於非關鍵應用程序，必須至少進行一次因素身份驗證。 * 安全基準有助於標準化整個組織的基本安全要求，並提供一個可以衡量改進的參考點。 * 在製定基準時，安全經理可以參考 NIST、ISO 標準、法律和法規要求以及行業特定要求等框架。 * 在製定基線時考慮組織的需求和優先級很重要。 # Domain 3:資安計畫 ## 縱深防禦 * 深度防禦是信息安全中的一個概念，它利用多層安全控制來保護資源信息。 * 縱深防禦的目的是在一層安全失效時提供冗餘。 * 縱深防禦的主要組成部分是“P”代表“預防”和“C”代表“遏制”。 * 第一層深度防禦是防止事件發生，這是通過實施預防性控制（例如日誌記錄和身份驗證）來實現的。 * 第二層是遏制和隔離未經授權的人成功進入的影響。 * 第三層是通過事件響應程序對事件做出反應。 * 第四層是復原和恢復系統，通過備份達成。 ## 資安計畫形成 * 資訊安全是現代商業中一個非常重要的概念，了解其背後的技術是發展資訊安全程序的關鍵。 * 制定資訊安全計劃的一個共同起點是風險評估和控制目標。 * 在發生重大安全事件後，最好的學習方法是改進業務和資訊安全流程的整合。 * 戰略計劃中確定了對資訊安全計劃的要求，該計劃最重要的方面是投資於組織的風險敞口(exposure)。 * 要開始製定計劃，高級管理層應制定章程(charter)並對計劃的有效性做出承諾。 ## 資安計畫目標 * 組織需要建立資訊安全計劃來保護他們的數據、資源和操作，這涉及了解安全計劃的目標和製定關鍵目標指標以反映這些目標。 * 一些關鍵指標可能包括系統正常運行時間、對業務目標的支持和安全投資回報。 * 在確定當前的安全狀態後，組織應制定與組織需求密切相關的安全策略。 * 在實施安全策略之前獲得利益相關者的認可也很重要，而成本效益分析可用於評估安全投資回報。 * 通過了解這些概念，組織可以確保其信息安全計劃旨在提供最大程度的支持並以具有成本效益的方式最大限度地減少運營中斷。 ## 資安框架組成元素 * 資訊安全框架組件是組織安全計劃的一套結構化最佳實踐。 * 該框架有五個組成部分：技術、運營、管理、行政和教育。 * 技術方面涵蓋安全的技術方面，例如防火牆和主題。 * 運營方面涵蓋持續的管理和行政活動，以確保所需的安全保障水平。 * 管理方面包括監督功能，例如安全策略和安全資源。 * 行政方面涵蓋支持職能，例如人力資源、財務和其他職能。 * 教育方面是關於教育和意識相關的培訓。 * 重要的是要讓業務部門對安全框架達成共識，並考慮集中式和分散式安全功能的優缺點。 * 集中式信息安全組織架構的好處是便於企業管理和控制。 * 去中心化安全功能的主要優點是安全與業務需求更好地保持一致。 * 該框架應與組織需求緊密結合，並應得到高級管理層對實施框架的支持。 * 為了評估框架的有效性，考慮安全投資回報也很重要；安全經理可以通過評估對業務目標的支持程度來確定安全投資回報。 * 如果安全經理注意到 A 端被授予特權訪問權限，他們應該首先與資料所有者討論以了解他們的業務需求。 * 制定明確定義的資訊安全計劃的第一步是確定期望的結果， * 如果安全經理收到對特定標準的抱怨，第一步應該是進行風險評估。 * 通過與業務所有者的定期互動，可以最好地實現安全計劃的戰略調整。 * 如果安全經理收到操作系統標準配置的豁免請求，第一步應該是確定風險並識別公司的入口控制。 ## 資安計劃規劃圖 * 資訊安全計劃路線圖的關鍵面相，開發的初始階段需要利益相關者（例如業務部門、法人部門、財務部門和其他部門）確定安全需求(need)和要求(requirement)。 * 成本效益分析通過比較實現控制目標的成本和受保護資產的價值，幫助確定安全計劃是否正在交付價值。 * 安全措施實施的最終批准應由業務單位提供，且安全應該從一開始就考慮，而不是在最後。 * 用戶訪問授權應基於需要知道(need to know)的基礎，而不是由業務要求強制執行。 * 開發資訊安全程序的主要項目活動是設計和部署控制。 * 安全支出和預算私有化的主要基礎是風險水平——風險越高意味著支出越高，反之亦然。 ## 資安政策、標準與程序 * 政策為組織中可接受和不可接受的行為和行動提供指導。 * 指引方針和程序提供了該做和不該做的更多細節，以支持組織的政策和標準。 * 標準是為遵守特定協議、框架或認證而必須遵循的強制性要求。 * 例外管理的最佳方法是記錄在案的升級流程，僅當收益超過承擔風險的成本時才允許例外。 * 政策、標準與程序都是強制要遵守，指引為參考性質。 ## 資安預算 * 當談到安全預算時，它在很大程度上取決於安全策略。 * 在尋求批准預算之前，重要的是要確保高級管理層已經批准了安全策略並且業務部門對此達成了共識。 * 這是預算提案成功的關鍵要素，如果獲得批准，那麼預算編列將不是主要問題。 * 儘管安全經費對安全經理來說是一項挑戰，但最好的方法是將資源分配給風險最高的領域，並讓管理層了解資金不足的影響。 * 安全支出和預算的優先順序主要基於已識別的風險級別，並且應提高對安全資金的認識。 * 如果安全經理不提倡安全計劃，最好的方法是優先考慮風險緩解並對管理層進行教育。 ## 資安計劃管理與行政活動 * 防毒軟體、防毒碼檔案文件更新的最合適頻率問題開始，答案是每天更新一次。 * 病毒檢測軟體的有效性主要取決於病毒定義文件或特徵文件，以及防止系統從操作區域意外關閉的最佳方法是使用保護開關。 * 保護 USB 驅動器或其他移動設備上資料的最佳方法是加密資料，以及資訊安全指導委員會的組成部分，該委員會應由來自 IT、業務等不同部門的高級管理人員組成。 * 獲取外部資源來執行資訊安全計劃的主要原因是為了獲得內部無法獲得的專業知識，在僱傭關係終止時確保資料保護的最有效方法是取消員工的所有邏輯訪問權限，正式記錄安全程序的最重要原因是確保流程可重複和可持續。 * 整個專案生命週期中進行的新專案的風險評估。 ## 隱私法規 * 隱私權是個人要求對其與任何組織或個人共享的個人信息給予最大程度的關注和尊重的權利。 * 隱私政策標準和法律，對第三方服務提供商進行適當的治理機制，並遵守適用的個人資料跨境傳輸數據保護法規。 * 進行隱私影響評估 (PIA) 以確定組織流程對隱私法規的遵守程度。 * 這包括評估個人資料的收集、維護和共享方式，在收集個人資料之前應先評估，以確保採取適當的保護措施。 * Privacy by Design 強調在組織內傳播隱私文化，這是通過讓員工充分了解隱私要求並針對此類要求提供定期培訓來實現的。 * Privacy by Design 嵌入到 IT 系統和業務實踐的設計和架構中，作為保護隱私相關數據的主動方法。 * 資料丟失防護 (DLP) 系統用於限制數據的移動，並且被認為是一種更有效的方法，因為它既具有預防性又具有技術性。 * 組織部署 DLP 系統以保護與隱私相關的數據不被發送到組織網絡之外。 ## 資安架構 * 資訊安全架構 (ISA) 用於為組織創建安全環境，它用於定義在設計和實施組織的安全態勢時應遵循的規則和標準。 * ISA 還定義了基礎設施中應該存在的最低安全級別，旨在支持組織的業務目的(Goal)和目標(objective)，並應與業務戰略保持一致。 * ISA 有助於以有效的方式整合資訊安全基礎設施的不同組件。 * 在實施安全架構方面，其設計和實施是為了確保維護組織的安全態勢。 ## 架構執行 * 安全管理人員在實施架構時應考慮的基本方面，應及時撤銷終止的員工訪問權限，並定期審查安全規則。 * 網絡釣魚是一種可以通過安全意識培訓來解決的風險。 * 隱寫術是一種將秘密數據隱藏在普通文件或圖像中的技術。 * 中間件(Middleware)是在操作系統和在其上運行的應用程式之間運行的軟體，如果損壞，則存在數據完整性受到不利影響的風險。 * 變更管理的主要目標是確保只執行經過授權的變更，並且不會引入新的安全風險。 * 過多的防火牆規則會帶來規則相互衝突和增加安全漏洞的風險。 ## 身分與存取控制 * 訪問控制是一項重要的安全措施，可確保只有授權用戶才能訪問敏感數據。 * 訪問控制主要有兩種類型：強制訪問控制(MAC)和自主訪問控制(DAC)。 * 強制訪問控制是一種由策略設置的控制規則，系統內的所有數據都不能被未經授權的用戶修改。 * 自主訪問控制允許用戶修改和設置訪問規則，在信息安全方面被認為更加穩健和嚴格。 * 基於角色的訪問控制(RBAC)是限制授權用戶訪問系統的最有效方法。 * 要求組織在資料的基礎上定義他們的角色和相應的訪問要求。 * 從資料安全的角度來看，擦除資料的最佳方法是物理銷毀，或者如果要重複使用則對其進行磁化或消磁。 ## 生物特徵 * 生物識別安全系統是一種訪問控制系統，它使用一個或多個生物特徵來唯一地識別一個人，以便獲得對系統或設備的訪問權限。 * 生物特徵可以包括面部識別、指紋、虹膜圖案和聲音識別。 * 擁有一個既準確又可靠的系統非常重要。 * 錯誤接受率 (FAR) 和錯誤拒絕率 (FRR) 是生物識別系統的兩個最重要的準確度指標: * FAR 是指生物識別允許未授權人員獲得訪問權限的速率，而 FRR 是生物識別將拒絕授權人員獲得訪問權限的速率。 * 最有效的生物識別安全系統是 CER（交叉錯誤率）最低的系統，即 FAR 和 FRR 相等時。 * 針對生物識別系統的四種主要攻擊是複製、暴力破解、密碼學和損壞。 * 複製是指攻擊者試圖產生類似於授權用戶的生物特徵，例如模仿他們的聲音。 * 暴力破解涉及將大量不同的生物特徵樣本發送到生物特徵設備。 * 密碼學是一種針對加密數據算法的攻擊。 * 損壞涉及更改生物識別數據。 * 如果組織希望擁有安全的環境，則應考慮實施生物識別安全系統，生物識別系統最重要的性能指標是錯誤接受率（FAR）。為了保持較低的 FAR，錯誤拒絕率 (FRR) 會很高，因為兩者之間存在反比關係。 * 實施生物識別訪問控制系統的組織最關心的應該是生物識別設備和訪問控制系統之間的未加密數據傳輸。 ## 認證因子 * 身份驗證因素是用於在授予用戶訪問系統權限之前驗證用戶身份的措施。 * 這些因素可分為三類： * 您知道的東西（例如密碼或 PIN） * 您擁有的東西（例如令牌或智能卡） * 您的身份（例如指紋或虹膜掃描等生物特徵）。 * 雙因素身份驗證的範例包括密碼和PIN、密碼和令牌以及指紋和語音識別。 * 三因素身份驗證包括密碼、門禁卡和指紋。 * 組織應使用兩因素或三因素身份驗證來防止未經授權的訪問和身份盜用。 ## 無線網路 * 無線通信是一種不需要電纜或電線的網絡連接，它用於手機網絡和無線區域網。 * 為保護無線安全，應實施多種控制措施，這包括啟用加密、MAC過濾、禁用 SSID 廣播和禁用 DHCP。 * 有多種類型的攻擊可用於無線網絡，例如 war driving 和 war walking。 * 流氓接入點也是對無線網絡的常見攻擊，因為它們提供了進入網絡的後門通道。 * 為了防止這些攻擊，Wi-Fi 保護訪問 (WPA2) 是無線連接的最強加密標準；另啟用雙因素身份驗證以防止未經授權的訪問也很重要。 ## 不同的攻擊方法 * 受感染計算機（也稱為殭屍電腦）的概念，這些電腦用於運行惡意軟體並進行分佈式拒絕服務攻擊。 * 例如緩衝區溢出、拒絕服務、dumpster diving、更改、data dribbling、wardriving、war dialing、嗅探、偽裝、IP欺騙、訊息修改、網絡分析、重放、flooding、惡意代碼、邏輯炸彈、中間人攻擊、冒充、電子郵件轟炸、垃圾郵件、網絡釣魚、搭載piggybacking、尾隨、流行語嗅探、數據篡改、特權升級、競爭條件、SQL注入、社會工程學、肩窺、流量分析和蠕蟲。 * 考試出現緩衝區溢出(BOF)，知道攻擊方法和原理就好 ## 雲計算 * 雲計算是一種使用託管在Internet上的服務而不是在本地購買、存儲和維護 IT 資源的做法。 * 雲計算可幫助組織根據其業務需求以最佳成本擴展其資源。 * 它可以通過四種方式部署：私有云、公有云、社區雲和混合雲。 * 私有云用於組織的獨家使用和利益，而公共雲在按使用付費的基礎上向所有人開放。 * 三種最常見的雲服務類型是基礎架構即服務(IaaS)、軟件即服務(SaaS)和平台即服務(PaaS)。 * 與本地託管相比，雲計算有幾個好處，例如能夠按需擴展存儲和帶寬。 ## 錯誤開啟或關閉 * 在實施控制時，組織可以選擇自由、開放或故障關閉路線。 * 控制的故障模式會影響資產或過程的安全性、機密性和可用性。 * 故障開放:如果該選項是免費開放的，則可用性不會受到威脅，但完整性和機密性會受到威脅。 * 故障關閉:則相反，可用性有風險但完整性和機密性沒有風險。 * 必須考慮每個元素的風險，因為人的生命安全始終是第一要務。 * 自動門的範例，其中有打開或關閉兩個選項。 * 開放，任何人都可以訪問數據或系統，但它有助於在緊急情況下疏散。 * 關閉，任何人都無法訪問數據或系統，保證了機密性和完整性，但同時也存在緊急情況下延誤疏散的風險。 ## 控制與對策 * 資料保管人有責任確保資料的保護和完整性，識別和運用的最有效方法是通過源碼審查(code review)。 * 資訊安全程序開發中最重要的活動是控制的設計和部署。 * 在影響大、頻率高的高風險地區，持續監測更具成本效益。 * 安全管理要確保實施的控制不會降低系統性能或造成任何業務流程障礙。 * 任何控制的主要目標都是支持業務目標。 ## 漏洞評鑑與滲透測試 * 弱點評鑑和滲透測試是確保網絡安全的重要程序。 * 漏洞評鑑是識別系統中的弱點並在潛在安全問題被入侵者利用之前解決這些問題的過程，此過程涉及識別錯誤配置、缺失更新和其他可被利用的漏洞。 * 滲透測試以利用已識別的弱點並對網絡安全性進行更深入的評估，重要的是要確保網絡安全有效，並且應定期進行定期滲透測試，並在系統基礎架構發生重大變化時進行，因為任何變化都可能引入可以被利用的新風險。 * 黑盒滲透測試是一種滲透測試方式，執行測試的人員不了解系統基礎設施，用於模擬來自外部源的攻擊。 * 重要的是要確保明確定義滲透測試的範圍和目標，以便最好地保護網絡免受外部威脅。 ## 安全計畫量測與監控 * 量測指標的主要目標是根據當前情況決定未來的行動方案。 * 定義信息安全目標的主要目的是衡量安全計劃的有效性。 * 確定安全控制是否有效執行的最佳指標是減少安全漏洞或問題的影響。 * 應在 SDLC 的設計階段設計指標，以評估系統隨時間推移的有效性。 * 資訊安全官用來支持實施控制的新資金請求的最佳指標是事件趨勢及其影響。 * 確定日誌監控過程有效性的最有用指標是調查未授權入侵企圖的百分比。 # Domain 4:事故管理 ## 防火牆 ![](https://hackmd.io/_uploads/HyKNxbOyn.png) ### 防火牆類別 * 封包過濾及狀態偵測防火牆在網路層(NETWORK)運作 * 電路級及應用程式級防火牆在Session及應用層 * 應用級防火牆(WAF)是最安全 * 拒絕所有流量並允許特定流量在防火牆規則中是最堅固的設定 * Inspection * Packet Filtering（Stateless：IP） * Circuit-level（Stateful：TCP） * Deep Pack Inspection（Payload） * Proxy * Application Proxy * Dedicated Proxy Servers * Next-Generation Features * Web Application Firewalls * Network Access Control / Protection （NAC / NAP） * (NAC) 涉及通過嚴格遵守和實施安全策略來控制對環境的訪問。 * NAC 的目標是檢測/阻止流氓設備、防止或減少零日攻擊、確認更新和安全設置的合規性、在整個網絡中實施安全策略以及使用身份來執行訪問控制。 * NAC 不涉及社會工程、映射 IP 地址或分發 IP 地址——這些分別由培訓、NAT 和 DHCP 處理。 * Risk-Based Model ### 安裝方式 * Multi-Home (Dual-Home) 雙宿主防火牆 * 俗稱的兩隻腳，一台防火牆的腳位分別一隻在內部，一隻在外部 * Screened Host 被屏蔽主機，先連接路由器後馬上接防火牆 * Screened Subnet (DMZ)被屏蔽子網，設置在兩個防火牆中間，最安全的架構 ### Proxy/DMZ * 代理服務器充當客戶端和外部網絡之間的中介，它用於通過隱藏外部網絡來保護客戶端的 IP 地址。 * 例如一個人從他們的辦公室分機呼叫外部，這個人不能直接打電話到外面，必須先打電話給接待員，要求接通外線。在這種情況下，接待員充當代理服務器，因為外人只會認出接待員的電話號碼，而不會認出此人的分機號。 * 代理服務器又可以分為電路級(circuit)和應用級(application)，電路級代理是基於代理的防火牆，工作在會話層(session layer)，用於所有服務。 * 應用層代理是基於代理的防火牆，工作在應用層(application layer)，可以用於不同的服務；這種類型的代理被認為更安全，因為它為不同的服務啟用不同的代理。 ## IDS/IPS * 入侵檢測系統（IDS）和入侵防禦系統（IPS）是用於監控信息安全安全事件的兩個重要工具。 * IDS 的目標是識別和檢測任何入侵活動，IDS 有兩種主要類型：基於網絡的和基於主機的。 * 基於網絡的 IDS 監視整個網絡的活動，而基於主機的 IDS 監視單個系統或主機的活動。 * IDS 的四個主要組件是傳感器、分析器、管理控制台和用戶界面。 * 用於檢測入侵的不同技術包括基於特徵的、基於統計的和神經網絡。 * IPS 比 IDS 領先一步，可以主動防止入侵的發生。 * 蜜罐和蜜網也是監控安全事件的重要工具，蜜罐是為吸引黑客和入侵者而設置的誘餌系統，而蜜網是用於大型網絡設置的鏈接蜜罐的集合。 ## 數位簽章 * 數位簽名是數字世界中的一個重要概念，允許各方在驗證訊息的真實性和完整性的同時，能夠安全地相互通信。 * 包括兩個步驟：創建消息的雜湊和加密雜湊，雜湊值是根據特定演算法計算的唯一值，每條消息都不同。加密後的雜湊即為數字簽名，隨消息一起發送。 * 當收件人收到訊息和數字簽名後，他們再次計算雜湊值並使用發件人的公鑰解密數字簽名。如果哈希值匹配，則消息未被篡改。 * 數字簽名可確保消息的完整性和身份驗證，但不保證機密性或隱私。 * 它還提供了交易發生的最有力證據，因為它具有不可否認性。 ## PKI: Public Key Infrastructure * 公鑰基礎設施 (PKI) 是一個由數字證書、證書頒發機構 (CA) 和註冊機構 (RA) 組成的系統，用於驗證互聯網上實體的身份和真實性。 * 申請人申請數字證書時，RA負責對申請人提供的資訊進行核實，然後 CA 頒發證書並在整個生命週期內管理系統。 * PKI還維護一份證書撤銷列表 (CRL)，其中列出了在到期日之前被撤銷的證書，以及一份概述了證書頒發和交付的標準操作程序的認證實踐聲明 (CPS)。 * 它還提供 CA 頒發的證書的價值和可信度，CA全權負責證書的頒發，並將某些管理職能委託給 RA，例如驗證頒發證書所需的信息。 ## 非對稱加密 * 密碼學是一種用於隱藏消息和保護敏感數據的技術。 * 有兩種類型的密碼術，對稱的和非對稱的:對稱密碼術使用單個密鑰來加密和解密消息，而非對稱密碼術需要兩個不同的密鑰，一個公鑰和一個私鑰。 * 為確保身份驗證、機密性和完整性，消息必須使用發送方的私鑰加密，然後使用接收方的公鑰解密。 ## 事故管理生命週期 * 事件管理是應變(response)、分析和解決破壞組織運營的意外事件的過程。 * 為了有效地管理事件，組織必須了解事件管理生命週期的5個不同階段： 1. 計劃和準備 * 在計劃和準備階段，需要製定全面的事件響應政策並分配角色和責任。 2. 檢測、診斷和調查 * 檢測、診斷和調查，需要實施IDS和SIEM等工具進行檢測，以及根據緊急程度決定處理順序的分類。 3. 遏制和恢復 * 遏制和恢復，涉及採取行動防止事件蔓延和執行事件應變程序以盡量減少損害。 4. 事件後審查和根除 * 事件後審視和肇因根除，側重於了解事件過程、審查事件並確定需要改進的地方。 5. 事件關閉 * 事件處理結束，包括評估事件管理流程的有效性和完成最終報告，對應變程序進行改善。 ## 事件管理 * 事件管理是應變和控制安全漏洞或其他事件的過程。 * 事件管理的目標是減少事件的影響並最大程度地減少業務損失，為了做到這一點，有必要確定誰應該負責宣布災難以及在設計事件應變計劃時最高優先級應該是什麼。 * 考慮誰最有資格確定事件的嚴重性也很重要。 * 事件應變的主要目標是盡量減少其業務影響，而確定使用事件應變的基礎是通過業務影響分析。 ## 事件應變程序 * 事件應變管理是網絡安全的一個重要面向，旨在最大限度地減少系統中斷和安全事件的持續時間和影響。 * 應建立一個具有明確角色和職責的事件應變團隊，並製定一個事件應變計劃來檢測、恢復和記錄所有安全事件。 * 事件應變過程的有效性可以通過每個安全事件對業務的財務影響來確定。 * 定期模擬事件應變計劃的測試並向用戶傳播事件威脅的詳細描述非常重要。 * 將所有電腦時鐘同步到一個共用時間網絡以支持事件調查過程也很重要。 ## 建置事件應變計畫 * 當一個事件被報告給安全經理時，緊接著的下一步應該是驗證該事件以確保它不是誤報。 * 事件識別最重要的因素是安全意識培訓和定義明確的通報線。 * 資訊安全經理應確定事件應變團隊的成員，升級過程文檔的內容應說明團隊成員應等待事件應變多長時間以及如果沒有解決應採取的措施。 * 為了根據事件的可能影響確定事件的優先級，應使用三元組。制定升級指南的基礎應包括風險和影響分析，該分析應與事件管理根本原因分析的每個階段相關聯。 * slack space的驗證是電腦取證的一個重要部分，空閒空間是計算機硬碟上可用的存儲空間，它是在不需要操作系統分配的所有空間的電腦文件中創建的。 ## BCP * 業務連續性計劃 (BCP) 對於確保發生災難時業務的連續性至關重要。 * BCP 關鍵部分包括記錄良好的計劃、指定的責任和問責制、組織的單一穩定性計劃、備份程序、異地位置、流程所有者參與、保護人身安全與風險評估保持一致、與 IT 計劃和程序保持一致、安全和測試。 * 準備測試對於識別限制和改進BCP很重要，而測試BCP的有效性可以通過審查測試結果來完成。 * 其他考慮因素包括中斷期、資訊安全、將 BCP 整合到專案管理中、彈性通知系統以及 BCP與人員的溝通。 ## DRP * 災難恢復計劃（DRP）是業務連續性計劃（BCP）的重要組成部分，是業務連續性的整體架構。 * DRP 側重於 BCP 的技術方面，更具體地說，系統和操作。 * DRP 的目標是恢復正常的業務運營並以有效的方式從災難中恢復， DRP 還有助於最大限度地減少與災難相關的停機成本和恢復成本。 * 這些成本包括銷售額下降、資源閒置、工資和其他固定支出。 * 服務交付目標 (SDO) 也是 DRP 的一個重要元素，它是在災難恢復期間從備用站點維護的服務級別和操作能力。 * 此外，應定期審查和更新災難恢復計劃以確保持續有效，並應與恢復點目標 (RPO) 保持一致。此外，ICE 審核員應確保在準備 DRP 時考慮流程負責人。 ## BIA * 業務影響分析 (BIA) 是用於確定可以幫助組織在災難中倖存下來的關鍵流程的流程。 * BIA 的目標是確定組織的關鍵流程和資產，並製定業務連續性戰略來優先處理和恢復這些流程。 * BIA 可以通過三種方式進行：問答方式、訪談方式和會議方式。 * 要考慮的成本因素包括停機成本（閒置資源的成本）和恢復成本（BCP 的激活成本、使用備用站點的成本等）。 * 業務流程所有者、高級管理人員和最終用戶的參與對於成功的 BIA 至關重要。 * 判斷服務中斷嚴重程度的主要標準是停機時間，恢復策略主要受BIA的影響。 * BIA 的主要目標是定義適當的首選策略並優先考慮災難期間的資產恢復。 ## 測試事件應變、DRP及BCP * 五種測試以確保災難計劃有效性 * Chceklist * Structured walkthrough * Simulation Test * Parallel Test * Full interruption Test ## 執行應變及復原計畫 * 理想更新病毒碼頻率是每天 * 高階管理繩必須被通知對組織之衝擊，當事件發生時必須採取的正確行動 * 資安經理必須監控入侵偵測系統，並且在事件發生時隔離遭感染部分 ## 證據蒐集與鑑識 * 證物監管鏈對證物完整性非常重要，且是法律程序必須 * 證物監管鏈包含資料保護、資料取得、映像檔製作、萃取、正規化及報告 * 資料擷取需要在控制下環境進行，並一個磁區、一個磁區進行保存 * 正規化是轉換資訊為被調查人員所理解，並產生報告解釋發現事物。 * 證據完整性，遭更動系統不能重啟，且資料必須驗證其完整性。 ## 事後活動與調查 * 事後活動的主要目的是審視事件的根本原因，並記錄和分析得到經驗。 * 監管鏈是鑑識調查很重要面向，特別是涉及法律作為時。 * 對原始儲存媒體進行副本製作，確保證據的正確性。 * 維持事件歷程以跟踪和記錄事件處理過程的進度。