ARIES

  NIST RMF NIST 參考網址 :  https://csrc.nist.gov/projects/risk-management/about-rmf 七大步驟, 記憶方法 : 1(事前) + 6 (步驟) 圖片來源 :  https://i0.wp.com/wentzwu.com/wp-content/uploads/2020/08/SDLC-and-RMF.jpg ( 事前 ) Prepare to execute the RMF, 準備執行 RMF , 使用風險管理框架管理其安全及隱私 , 如果 RMF 未識別到的風險要在此階段自行識別 Categorize (Information) System : 對資訊系統進行分類 , 注意這裡系統分類用 Categorize ( 動詞 ) 系統 依據衝擊影響程度   ( Impact Level) 進行分類 , 僅有高 / 中 / 低 取決 系統處理的資料影響多大， 取最高水位 High Water Mark ， 根據系統特定的要求選擇一組基線控制措施 Select (Security) Control :  選擇安全管控措施 分類完選擇控制 Scoping   ： 從一個控制框架中，把不適用的控制措施排除，定出初步的範圍 Tailoring   ： 量身定做、修改基準內的安全控制，不好用的調整，不夠用的新增   Im plement (Security) Controls : 實施安全管控措施 Assess (Security) Con torls : 安全管控措施評鑑 , 確保步驟 3 的選擇是否達到有效性與符合性 , 會產出評鑑報告 Authorize (Information) S ystem : 主管授權讓系統上線 ( 系統被授權 ) ，授權非永久授權，會定期評鑑 authorization decisions 授權決定的種類 Authorization to operate (ATO) Common control authorization Authorizatio...

NOTES  BCM 七步驟 : 內外部環境分析 --> 主要收集資訊, 最重要的資訊是利害關係人(利害關係方) 了解利害關係人相關業務關聯與需求 定義範圍(清單, 由組織單位與產品服務去交叉比對定義出來範圍, 利害關係人需求定義範圍) a structured analysis of the organization --> 組織的結構化分析 (內外部環境分析) the creation of a BCP team --> BCP 團隊的建立, CEO 通常不擔任 BCP 團隊中的高級管理人員 an assessment of available resources --> 可用資源評估 (內外部環境分析) an analysis of the legal and regulatory landscape --> 法律和監管環境的分析 (內外部環境分析)   BIA : Business Impact Analysis 業務影響分析, CISSP 用時間(天)來表現主要要先找出關鍵流程(MTD)與關鍵資源(RTO), 才有辦法定義相關的數值 MTD : Max Tolerable Downtime 最大寬容停擺時間 (背後都是錢)  RTO : Recovery Time Objectives 目標恢復時間, 用在資源  RTO <= MTD  RPO : Recovery Point Objectives 目標資料恢復, 定義恢復的資料點目標, 一般用在備份  Hot Site : 熱站點 --> 設備要有, 軟體要有, 資料要很快, 機器是開啟來的狀態很快接手 Cold Site : 冷站點 --> 基礎的水電網路都有, 但不一定有機器, 例如機房的事前選址 Warm Site : 溫站點 --> 介於冷熱站點之間的範圍 Mirrored Site : 鏡像站點 --> 幾乎是與主站點達到完全一模一樣的資料站點 Reciprocal Site : 互惠站點  --> 沒啥鳥用 SDO : Service Delivery Objectives 服務交付目標(CISSP 不考, CISM 用到)  RA : R...

  Security and Risk Management 安全與風險管理 1.1 理解、遵從與提升職業道德 Understand, adhere to, and promote professional ethics • (ISC)2 職業道德規範 (Code of Professional Ethics) Canon I : Protect society, the commonwealth and the infrastructure. 保護社會、聯邦和基礎設施。 Canon II : Act honorably, honestly, justly, responsibly and legally. 以光榮、誠實、公正、負責任和合法的方式行事。 任何人 都可以提出違反 第一 或 第二 條規定的指控。 Canon III : Provide diligent and competent service to principals. 為委託人提供勤奮和稱職的服務。 僅接受 委託人 提出違反指控 Canon IV : Advance and protect the profession. 推進和保護職業。 允許任何 簽署道德守則 的認證或 許可專業人士 提出指控。  參考網址 : https://resources.infosecinstitute.com/certification/the-isc2-code-of-ethics-a-binding-requirement-for-certification/ • 組織的道德規範 (Organizational code of ethics) 1.2 理解和應用安全概念 Understand and apply security concepts 保密性 Confidentiality 完整性 Integrity 可用性 Availability 真實性 Authenticity 不可否認性 Nonrepudiation T3 : CIA 參考網址 :   https://wentzwu.com/2020/10/05/cissp-practice-questions-20201006/ Authentication and Authentici...