準備iPAS資訊安全工程師能力鑑定的考試複習
關於「資訊安全管理概論」共分為四個大類:「資訊安全管理概念」、「資產與風險管理」、「存取控制、加解密與金鑰管理」、「事故管理與營運持續」
引用iPAS官網
1.資訊安全管理概念
1–1.資訊安全管理系統
1–2.相關法規概論與遵循
1–3.隱私權保護與智慧財產權
C. I. A. = 資訊安全的基本功能及目的不外在提供資料和資源的機密性、完整性、可用性。
Confidentiality(機密性)
保護資訊的隱私性,避免資訊外洩。
避免資訊在沒有加密的情況下遭到他人進行存取。
保護方法:加密解密技術、存取控制(例如:SSL、IPSec)
Integrity(完整性)
維持資訊的正確性,避免資訊干擾。
避免資訊被假冒、或以未經授權的方式存取,需要確保資訊的一致性。
保護方法:雜湊函數、數位簽章、存取控制(例如:Hash+RSA)
Availability(可用性)
確保資訊的穩定性,持續提供服務。
避免因系統故障或人為惡意而導致服務的中斷。
保護方法:備份、備援、負載平衡、存取控制(例如:異地備援、負載均衡器)
ISMS = Information Security Management System 資訊安全管理系統
PDCA = Plan(計畫)、Do(執行)、Check(檢查)、Act(行動)
引用SGS台灣管理學院
所謂的 PDCA 是指的一套完整過程,為了確保資訊安全管理系統能長久運作,ISO 27001 要求企業/組織要在所有活動下建立規劃、執行、檢測和行動的系統,設立一個已經系統化的管理制度。
Plan(計畫):規劃與建立(政策與目標)
Do(執行):維護與改進(風險分析與評鑑)
Check(檢查):監督與審查(內稽、量測與查核)
Act(行動):維護與改進(持續的改善)
資訊倫理:資訊人員使用或製造資訊產品時,在面臨資訊相關之倫理議題上的權利與義務,以及賦予資訊人員對此倫理議題在決策或行動上之是非善惡判斷之基準。
1986年由美國管理信息科學專家梅森(Mason)提出PAPA。
PAPA = Privacy(隱私權)、Accuracy(正確性)、Property(財產權)、Accessibility(存取權)
Privacy(隱私權):蒐集、處理、傳播資訊時需重視的隱私權問題
NG行為:任意公開或販賣個人資料
Accuracy(正確性):資料提供者應提供準確的資訊
NG行為:不正確的資訊或病毒在網路上傳播
Property(財產權):利用、傳播、重製資訊的權利義務
NG行為:任意傳播或下載未經授權的數位資產
Accessibility(存取權):對於資訊的讀寫及存取權利
NG行為:隱私資料遭到未經授權的人士存取
【相關法規】
全國法規資料庫:
https://law.moj.gov.tw/Index.aspx
電子簽章法
妨害電腦使用罪(刑法)
數位證據與數位鑑識
資通安全管理法
資通安全管理法施行細則
資通安全責任等級分級辦法
資通安全事件通報及應變辦法
資通安全情資分享辦法
特定非公務機關資通安全維護計畫實施情形稽核辦法
資通安全管理作業辦法
個人資料的定義:
指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
特種個人資料的定義:
指醫療、基因、性生活(包括性取向)、健康檢查、犯罪前科等五項資料,因性質較為特殊且具敏感性,如任意蒐集、處理或利用,恐會造成社會不安或對當事人造成傷害,故另訂較嚴格之蒐集、處理及利用要件。
【相關法規】
全國法規資料庫:
https://law.moj.gov.tw/Index.aspx
個人資料保護法
個人資料保護法施行細則
GDPR歐盟的個人資料保護法
通訊保障及監察法
個人資料檔案維護辦法
著作權法
商標法
營業秘密法
勞動基準法第9-1條 競業禁止條款
引用iPAS官網
2.資產與風險管理
2–1.資產分類分級與盤點
2–2.風險評鑑與風險處理
風險的定義:
是指「資訊資產」之「弱點」引發「威脅」造成「影響」計算「風險」
當「威脅」通過其「弱點」造成「資訊資產」受到「衝擊」的「可能」
風險管理:
通過風險評鑑作業來建立準則,再進行風險處理
風險評鑑包含風險識別、風險分析、風險評估(例如:技術、人為、環境)
而風險處理包含選擇控制、有效追蹤
風險控管的方式圍繞著四點:降低(reduce)、避免(avoid)、移轉(transfer)、接受(accept)
風險相關名詞:
資訊資產(asset)、威脅(threat)、威脅來源(threat agent)、暴露(exposure)、弱點(vulnerability)、控制措施(safeguards)、風險(risk)、剩餘風險(residual risk)
資訊資產包含項目
實體資產:
電腦、通信、網路設備,以及其相關周邊設備等
軟體資產:
自行開發或委外開發之軟體、套裝軟體、共用系統程式等
資訊資產:
以電子的形式所儲存的文件、系統資料、組態設定檔等
書面文件:
以書面的形式所記錄的文件、系統文件等
服務與人員:
照明、電力等設施,以及職員、約聘、駐點、工讀生等人員
引用iPAS官網
3–1.存取控制與身份認證
3–2.加解密與金鑰生命週期
資訊資產的定義:
存取控制(access control)是一種安全原則,由主體(subject)向物件(object)發起存取行為(access),而在主體與物件之間的存取路徑加入控制機制稱為存取規則(access rule),若確保主體能存取到物件之間的路徑則稱為信賴路徑(trusted path),未經授權則不能存取受到保護之物件。
存取控制的類型:
實體類控制(physical controls)
技術類控制(technical controls)
管理類控制(adminstrative controls)
實體環境、作業系統、應用系統、網路服務等
存取控制的方法:
判別存取控制(DAC,discretionary access control)
強制存取控制(MAC,mandatory access control)
角色型存取控制(RBAC,role-based access control)
屬性型存取控制(ABAC,attribute-based access control)
存取控制的功能:
防禦性(preventive)
偵測性(detective)
矯正性(corrective)
嚇阻性(deterrent)
復原性(recovery)
補償性(compensation)
授權原則:
業務須知原則(need to know)
最低權限原則(least privilege)
職務區隔原則(SOD,segregation of duties)
特殊權限管理(PAM,privileged access management)
引用iPAS官網
4–1.事件與事故管理
4–2.備援與營運持續
處理程序:
識別、封鎖、根除、復原、經驗學習
包含以下:
資安事故處理小組
資安事故處理策略
資安事故處理程序
為了達成 > 營運持續管理(BCM,Business Continuity Management)
需要建立 > 營運持續計畫(BCP,business continuity plans)
以及計畫 > 營運衝擊分析(BIA,business impact analysis)
---根據ISO 22301
評估如何 > 災難恢復(DR,Disaster Recovery)
需要制定 > 災害復原計畫(DRP,Disaster Recovery Plan)
判斷達成 > 營運復原時間(RTO,Recovery Time Objective)
以及 > 資訊資料回復點(RPO,Recovery Point Objective)
以及 > 營運復原水準(RLO,Recovery Level Objective)
復原策略:
Hot(數小時)、Warm(一天)、Cold(數天)
