[閒聊] iPas資訊安全工程師中級–DAY27
Day 27
越測越差,整個人覺得好焦慮接近 4/8 了
#資訊資產清冊是一份清單包含硬體、軟體、資料、網路。
#資訊資產分級之主要目的:協助組織定義資訊資產對組織的重要性。
#適切保護資產的幾種方式:
.瞭解和控制資訊資產的存取權限並限制未經授權的存取。
.監視和追蹤資訊資產的使用情況以便及時檢測和回應安全事件。
.實施適當的安全措施,例如加密、防火牆、入侵偵測等,以保護資
訊資產免受攻擊和破壞。
.定期進行風險評估和漏洞掃描及時補救和強化資訊安全防護。
#資訊資產管理角色:
.權責單位(Owner)–由組織指定的資訊資產擁有單位。
.保管單位(Keeper)–由組織指定的資訊資產保管單位。
.使用單位(User)–由組織授權的資訊資產使用單位。
#資訊分級的依據:
.依法律要求
.依資訊的價值
.依資訊的重要性
#個人資料保護法:
.立法目的:避免人格權受侵害、促進個人資料合理利用。
.個人資料保護及 GDPR 均強調個人擁有資料刪除權。
#GDPR:主要目標為取回個人對個資的控制權
.為歐盟一般資料保護法規。
.任何使用與歐盟公民相關資訊的公司都應評估遵循。
.要求持有個人可識別資訊的組織,需實施適切的安全控制措施,以
防止個人資料遺失。
#智慧財產權
.商標權是使用文字、標語和標誌的權利,註冊商標後,註冊人即享
有商標專用權。
.專利權是對發明授予的權利,對專利權人之發明予以保護。
.營業秘密是指不為公眾所知悉,能為權利人帶來經濟利益,具有實
用性並對權利人採取保密措施的技術資訊和經營資訊。
#營運持續管理:個旨在確保組織在面對不可預期的災難、中斷或緊
急情況時,可以持續運營並恢復正常運作的策略和程序。
.確保組織的利益最大化
.確保人員的成本最小化
.確保組織在發生重大災害時,業務持續不中斷
#營運衝擊分析應考慮項目:
. 復原至最低營運程度所需之員工、技能、設施及服務所需之時間
.最低營運程度所需之員工、技能、設施及服務
.完全復原至原服務水準所需之員工、技能、設施及服務所需之時間
#風險管理:
.風險識別
.風險分析
.風險評鑑–風險辨識、風險分析、風險評量
*風險評鑑若不符合風險評鑑準則,通常會進入風險處理階段。
風險處理階段的目的是通過選擇適當的風險管理策略和措施以
控制或降低風險的影響。
.風險計劃
.風險處理–風險規避、風險降低、風險轉移、風險保留。
*風險改善計畫應該依照預訂的期限執行,並且應該在改善計畫完
成後進行風險再評估,以確保風險是否已經降低到接受的水平。
.殘餘風險再評鑑
#資安事故:指已經造成服務或營運中斷之資安事件(Security
Event),也就是已經發生了實際的影響。
#資安事件:指已經發生的資安相關事件,不一定會造成實際的影響
,而是可能會導致未來的風險。遇到資安事件時應該要及時處理。
#備份:
.完整備份(Full Backup)–就是完整備份。
.差異備份(Differential Backup)–完整備份 + 差別的部份備份。
.增量備份–前一次備份 + 差異的部份備份。
#RTO, RPO, MTPD
.RTO 時間越長,代表可容忍系統無法使用時間越長。
.RPO 的時間點要求越遠,代表可允許之資料備份週期越長。
.MTPD 時間越長,代表可容忍系統無法使用時間越長。
#磁碟陣列:RAID 0 不具容錯功能。
#資訊倫理四大議題(PAPA)
.隱私權(Privacy)–任意公開或販賣私人資料。
.精確性(Accuracy)–不正確的資訊或病毒在網路傳播。
.財產權(Property)–任意傳播或下載未經授權之數位資產。
.存取權(Accessibility)–資訊安全不足,私人資料遭到非法存取。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.249.138.241 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Marginalman/M.1680754587.A.EDB.html
※ 編輯: Hyperledger (60.249.138.241 臺灣), 04/06/2023 15:18:35
※ 編輯: Hyperledger (60.249.138.241 臺灣), 04/06/2023 17:03:20