[閒聊] iPas資訊安全工程師中級–DAY8
Day 08:
ACW 提供的線上課程除了資安長的演講片段都看過了,
不太確定需不需要也看看?先留著。
今天不貼筆記寫一點個人感覺,
看完入門課程覺得對資訊安全有些初淺的理解。
資訊安全是管理和技術的結合
根據統計資訊安威脅有 80% 是來自於內部人員
對沒那麼多駭客!所以訂定安全的遊戲規則依照規則執行很重要。
目前關於資訊安全系統的國際標準是 ISO 27001
27000 系列都是資訊安全相關的 27001 制定了基本原則
其他號碼有實做的規則、特定行業(金融)、設備位置(雲端)、
資料傳輸(網路)、風險控制…等都有更進階的規則。
在其他課程會一直看到 27001 這個詞,
以 27001 為骨架去延伸出其他部份
就可以覆蓋整個資安的範圍
法規面內含:資訊安全管理法(及子法)、個人資料保護法
公司面:公司政策…
然後在實際執行中會一直看到 Plan, Do, Check, Actaion
這個流程不管是資訊安全管理系統、風險管理中都持續
出現著照著這個規則持續的強化資安管理系統與風險的
處理讓整個系統愈來愈好…
資安裡面會持續重覆的看到 CIA :機密性(C)、完整性(I)、可用性(A)
這三個詞,它們強調資料要被保護、要完整、要可以使用。
如果說 27001 是骨架那相關保護技術就是它的內容物必須
透過那些密碼學、OWASP、雲端、防火牆…相關技術去達到
系統想守住的安全。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.239.102.221 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Marginalman/M.1679118505.A.98C.html