[閒聊] iPas資訊安全工程師中級–DAY2

看板Marginalman作者 (超級帳本)時間2年前 (2023/03/12 13:27), 2年前編輯推噓0(000)
留言0則, 0人參與, 最新討論串1/1
Day 02 線上課程: .ACW 資安網路學院:https://www.acwacademy.org.tw/ 科目:資安管理系統概論(風險管理) 講者:魏銪志 時間:2 小時 連結:https://bit.ly/3T7MNFy 這門課的資訊量很大,老師一開始以 Zoom 為例建立關於資安管理的基本 觀念之後才是正式的管理規範,課程中有一堆標準、一堆條文、管理方針 ,除了ISO27001之外還有一堆之前連聽都沒聽過的管理標準,第一次上課 還看到睡著,課程測驗中不會真的要背出所有內容但是必須清楚知道遇到 什麼事情應該要找什麼標準來進行解決方法,對於每個標準適用的地方要 能掌握。 一、由案例看資訊安全管理: Zoom事件看資訊安全管理 Zoom: 在COVID-19後大紅大紫的遠距視訊會議 ◎優點: .操作簡單:不用帳號只要受邀就可以使用。 .可跨設備:可以在電腦、平版、手機…等各式裝置使用。 .收費合理:提供基本功能需要進階功能再付費即可。 .穩定可靠 .功能有趣 ◎Zoom是標準的雲端視訊會議服務商 .會議所有的參與者都會連接到視訊會議中伺服器當,視訊 加解密使用AES-128位金鑰以ECB模式運行,會議其間使用 同一把金鑰,伺服器可以知道全部的會議內容(中國有伺 服器)。 *曾發生有心人士利用漏洞進入會議中偷聽、進行干擾行為。 ◎安全風險與考量 .對於對於高機密要求者有安全考量需注意機密性、完整性、 可用性 及適法性。 *行政院要求教育部及各級單位配合不得使用有資安疑慮的商品。 小結: 風險管理開始先以 Zoom 為例說明沒有系統是永遠無敵的, 需要有持續改善的管理機制。資訊安全強調的是一個持續 管理、持續改善的管理系統。 二、資安與個資相關ISO標準 https://i.imgur.com/PnaZRx7.png
資安規範在ISO27000之下以ISO27001為基底依各種細部需求或各種 職業的差異衍生出這張圖表。個資規範在 ISO29001之下,搭配 ISO27001定義出關於個資保護的規範。 資訊安全的要點:機密性、完整性、可用性。 個資保護的要點:匿名性、告知與同意、隱私保護設計。 *在進行個資保護前必須先達到資訊安全的規範。 ◎ISO循環規則: .Plan(計劃):組織全景、領導、規劃、支援。 .Do(執行):運作。 .Check(檢查):績效評估。 .Action(改善):改善。 ◎ISO 27001附錄A .14個控制條款、35個控制目標、114個控制措施。 .控制措施:修正或控制風險之措施,包含過程、政策、 裝置、實務或其他行動。 .控制目標:控制措施所欲得到的結果。 *措施不一定能達到目標。 小結: 那張ISO的全圖主要在說明整個資訊安全管理規範的全貌, 主要還是以ISO27001為基底開始繪製出整個規範的樣貌, 除了實施的細節之外,對於特別的行業別以及不同的資訊 型態:雲端,還有近期比較多人介意的個人資料保護都有 相對應的規範。 三、資訊安全管理的基礎-資訊安全風險管理 https://i.imgur.com/TdldrdU.png
◎資安風險評鑑 .全景建立:蒐集組織資訊、建立基本準則、產生程序文件。 .風險辨識:決定可能發生的潛在損失。 .風險分析:依資產關鍵性、弱點嚴重程度分類定義風險等級。 .風險評估:訂定風險清單的先後順序。 ◎資安風險處理 .風險修改:調整風險等級。 .風險保留:保留風險決策。 .風險避免:實做其他風險處理(可能產生另外的風險)。 .風險分攤:把風險分給可以有效處理的另一方。 ◎風險評鑑類型 .營運衝擊評鑑: ISO22317 .資安風險評鑑: ISO27005 .隱私衝擊評鑑: ISO29134 營運衝擊評鑑(BIA)、資安風險評鑑(ISRA)、隱私衝擊評鑑(PIA)三種 評鑑機制整合執行較符合成本效益,節省管理成本。 小結: 這個章節在介紹進行風險管理的做法,先了解全貌確認可能的風險再 依先現況去分析風險發生的可能性發生之後的嚴重定,最後定出風險 清單的順序。有了這個順序之後就可以進行風險處理決定要用什麼方 式去解決或不解決。 關於風險評鑑的內容主要分成三部份:營運相關、資安相關、個資相 關它們各有不同的ISO規範,可是彼此之間還是有些相關性所以評鑑 時建議一併處理避免各自處理時都變成其他領域該管的範疇。 四、雲端安全與個資風險 ◎雲端資安與個資保護的標準 .ISO/IEC 27001:2013:展現通用性資安的保護。 .ISO/IEC 27017:2015:強化雲端服務安全。 .ISO/IEC 29151:強化通用性個資保護。 .ISO/IEC 27018:2019:強化雲端服務的個資保護。 .ISO/IEC 27701:2019:確保符合GDPR的個資保護。 https://i.imgur.com/0gURiBv.png
◎雲端與否不是重點,重點在風險 .風險評鑑是基礎,方便進行控制措施的施行與強化。 .沒有百分百安全但安全與保護絕對不是0或1。 .適當的控制可以減少事故發生的可能性或衝擊,這才是安全管理。 ◎ISO27002–通用性的安全規範。 ◎ISO27017–雲端安全規範。 ◎ISO27018–雲端上的個資安全。 小結: 還是強調之前說過的沒有百分之面的安全,重點是事故的預防以及 事後的減少危害的處理。 五、風險的分攤-網通保險 (ISO/IEC 27102) 可以考慮以ISO27102的標準來購買資通保險以做為分攤風險的方案以減少 網路事件的影響,同時利用ISMS與保險公司分享資訊、相互支援。 小結: 這個章節介紹了關於資通保險的概念,可以直接以購買保險的方式來減少 危害造成之後的後果。 ◎結論: 資訊安全風險管理是資訊安全管理首要的工作,風險管理與規劃需涵蓋完 整層面,可由風險評鑑記錄中看出組織對資安與個資的保護,資安、個資 在雲端平台風險又更高。目前關於ISMS及PIMS的管理系統ISO標準已有完 整的設計 ISO27001、ISO27701 包含雲端安全與隱私的保護導入並取得 ISO27701證書可以證明組織對資訊安全以及個人資料保護的落實。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.239.117.34 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Marginalman/M.1678598844.A.4D7.html ※ 編輯: Hyperledger (36.239.117.34 臺灣), 03/12/2023 13:54:28
更多 Hyperledger 的文章
文章代碼(AID): #1a3MAyJN (Marginalman)