作者: stevencho

You are identifying business continuity requirements. Which one of the following should be identified first?
A. Critical business processes
B. High-impact informations systems
C. Products and services of interest
D. Competitors in the industry

您正在識別業務連續性需求。下列哪一項應先識別？
A. 關鍵業務流程
B. 高影響資訊系統
C. 相關的產品和服務
D. 同產業的競爭者

You have identified a couple of business continuity requirements and start to analyze them. Which one of the following is the most critical factor?
A. Criticality of business processes
B. Impact level of informations systems
C. Scope of products and services
D. Business continuity plan

您已識別了一些業務連續性需求，並開始對其進行分析。下列哪一項是最關鍵的因素？
A. 業務流程的關鍵性
B. 資訊系統的影響程度
C. 產品和服務的範圍
D. 業務連續性計畫

You are evaluating business continuity requirements. Which one of the following has the highest priority?
A. Enforcing confidentiality, integrity, and availability
B. Improving business efficiency
C. Lowering costs
D. Assuring operations

您正在評估業務連續性需求。以下哪一項優先順序最高？
A. 確保機密性、完整性和可用性
B. 提高業務效率
C. 降低成本
D. 確保營運

You are implementing solutions to meet business continuity requirements. Which one of the following should be done first?
A. Implementing alternative sites
B. Developing disaster recovery plan
C. Conducting tests and excersices
D. Detecting and handling incidents

您正在實施滿足業務連續性要求的解決方案。下列哪一項應該最先完成？
A. 實施備用站點
B. 制定災難復原計劃
C. 進行測試和演練
D. 偵測和處理事件

價值是任何具有重要性、意義或用途的事物，可以定性或定量地衡量。

商業價值是組織或組織單位所創造的價值。

系統是「為實現一個或多個既定目的而組織起來的相互作用的元素的組合」。 （ISO/TS 14812:2022）

配置是「資訊處理系統資源的組織和互連方式」。 （ISO/IEC 20944-1:2013）

架構是描述主要元素及其關係、相互作用和邊界的產物。架構是一種精心設計的結構，注重主要元素。

結構是系統的自然形成或精心設計的形式，描述組成元素及其關係、相互作用和邊界。

設計是記錄在案的解決方案，是「設計過程的結果」（ISO/IEC/IEEE15288:2015），能夠滿足利害關係人的要求。設計過程通常從解決架構問題或所謂的「架構設計」開始。

基準是「作為變更基礎的一組或多個工作產品、專案或元素的已核准版本」。 （ISO 26262-1:2018）
註1：參閱 ISO 26262-8:2018，第 8 條。
註2：基線通常置於組態管理之下。
註3：基線是生命週期中透過變更管理流程進一步開發的基礎。

變化是「從當前狀態到未來狀態的轉變」。 （ACMP）

資料來源：https://wentzwu.com/2025/03/13/wuson-glossary/

PS:此文章經由作者同意進行翻譯

今天學到了一句英文用語: Microwave Mindset (微波爐心態)。

微波爐心態跟過去的”速食主義”的概念有點類似。意思是指一個人追求以最輕省、快速的方式來取得成果，就像是用微波爐加熱或準備餐點一樣簡單且快速。這個心態在當今強調”天下武功唯快不破”，以及”這世界唯一不變的就是改變”的VUCA年代，反而變成一個主流的思唯。

VUCA是volatility（易變性）、uncertainty（不確定性）、complexity（複雜性）、ambiguity（模糊性）的縮寫。

不過凡事都有它的物理規律。違反自然與規律，過度強調眼前利益而忽略長期綜效、只重速度與效率而不重效能(有效性)、只看結果而不守原則，最終得到的不一定是一個快樂的結果，取而代之的反而可能是我們人生中的遺憾與後悔。

學習是一個動態的歷程而不是一個靜態的里程碑。準備CISSP考試是一個學習的旅程而不是學習的終點，因此我們並不會因為達到通過考試的階段性目標（里程碑）而停止學習！更重要的是，準備CISSP考試需要時間（２至４個月），我們需要摒棄微波爐心態，一步一腳印的把WISE Model的觀念架構建立起來，按部就班的透過作題目、研讀、討論及分享把知識細節補足，以建構一個包含點、線、面的完整知識體系。當我們紮紮實實的經過這條資安天堂路的考驗，成就感與光榮感即會油然而生！

資料來源：https://wentzwu.medium.com/microwave-mindset-%E5%BE%AE%E6%B3%A2%E7%88%90%E5%BF%83%E6%85%8B-dfea67e6cee0

PS:經作者同意轉載

任何事物如果存在於世界上，無論其形式如何——抽象概念或物理事物——並且具有將其與其他事物區分開來的身份（或簡稱ID），則被稱為實體。簡而言之，每個實體都有一個身分或簡稱 ID。例如，使用者、電腦、裝置、應用程式、服務、網路等都是實體，因為它們都具有唯一標識它們的身分。實體的固有特徵稱為屬性。身分是一個實體的屬性或屬性的組合，用於將一個實體與其他實體區分開來。能夠發起或回應操作的實體是安全主體，而不能發起或回應操作的實體是資源。發起動作的主動方稱為主體，而回應主動方或資源的被動方稱為客體。

實體或安全性主體將帳戶儲存在目錄（帳戶資料庫）中。帳戶是代表實體的技術手段；目錄中帳戶的欄位代表實體的屬性。 ID提供者是一個實體，它保存和管理目錄、回應查詢、透過身份驗證器驗證主體的身份，並透過令牌或票證提供斷言或聲明，以確保有關實體的陳述是真實的。在 Microsoft 的 Active Directory 中，出於效能或管理目的，目錄可以分為一個或多個實體分割區或邏輯網域。儲存帳戶資料庫的機器是網域控制器，網域控制站上管理目錄的服務稱為目錄服務。

身份驗證基於身份驗證器的保密性以及對 ID 提供者頒發的令牌和票據的信任；這 是 ID 提供者透過一個或多個身份驗證器透過搜尋帳戶並將資料與目錄進行比較來驗證實體身分的過程。身分驗證過程中的主體是主動向 ID 提供者表明其身分的實體； 主體顯示其身分的過程稱為身分認同。但是，當 ID 提供者搜尋目錄並找到代表實體的帳戶時，也稱為識別。身份驗證器是用來證明實體身分的秘密。身份驗證器分為三種類型，也稱為身份驗證因素：您知道的東西、您擁有的東西和您是什麼。

多重身份驗證 (MFA)是指使用兩種或多種身份驗證器類型的身份驗證過程。主體的身份及其驗證器的組合統稱為憑證。斷言或聲明是關於實體的始終正確的聲明，由 ID 提供者在驗證實體的身份後發出。在 SAML 或 OIDC 中，斷言或聲明是以 XML 或 JSON 表示的屬性和值對或鍵值對。代幣和票據是傳達斷言或主張的技術或物理手段。

單一登入（SSO）是一種系統功能，使用者只需登入一次，即可根據商定的協議和令牌或票證的格式存取各個系統的資源。 SAML 和 OIDC 是基於聯合的 SSO 中常用的協定。聯合是共享通用協議以促進 SSO 功能的系統的集合。

資料來源：https://wentzwu.com/2024/08/08/authentication-101/

ps:經作者同意翻譯並轉載