Choson資安大小事有關於Bruce老師講的Cissp的重點及Cissp相關筆記資料
WI-FI的WPA/WPA2/WPA3 (WPA即wireless access point, 無線基地台)的規格, 分別規範了真實性(身份驗證如何作), 機密性及資料完整性等議題. 其中身份驗證可以用共享金鑰(PSK, Pre-Shared Key)的方式, 也可以用802.1X的方式. 為了方便溝通與推廣, PSK又稱為個人模式(Personal), 802.1X又稱為企業模式(Enterprise). 模式的英文, 有人用mode, 用人用profile. 即personal mode或personal profile.
治理就是管理, 它只是強調經營高層(董事會及高階主管)的管理作為. 皇帝只會用”朕”, 不會用”我”這個字. 只要是高階主管的管理作為, 就可以說是治理.
如果你是CISO, 那就可以說是在治理資安. 但本質就是在管理資安而已.
CISSP只是一個資格, 要知道治理的意義. 但不是取得CISSP就會當上CISO或成為經營高層的一員. 所以CISSP可能懂治理是什麼, 但可能沒有實權去治理資安.
經營高層如何治理資安?
1. 想東想西: 戰略管理
2. 出一張嘴: 政策指示
治理的目標就是創造價值, 實現組織的使命與願景. 白話文就是: 作生意賺錢, 永續經營, 善盡社會責任.
然後, 經營高層就要晝大餅(願景), 想辦法(戰略)帶大家(領導)往目標邁進, 以實現願景.
簡單說, 經營高層要把公司管好(治理好), 才能賺錢, 實現使命與願景.
經營高層如何管好(治理好)公司? 要有一套辦法(戰略), 要叫人家去作(政策)
這些都是同一回事, 也是很簡單的道理. 只是簡單的東西被複雜化而已.
工程是運用”知識”把一個東西從無到有把它作出來, 使用它, 維運它, 一直到到除役. 傳統的工程教科書, 偏重”工程知識,” 而對於工程的管理或專案管理著墨較少. 大部份都是在強調工程師要學習的知識, 如數學, 物理, 機械或電子等. 這二張圖是一本工程入門書的目錄.
跟大家分享的這幾張照片, 主要是要強調資訊系統的工程知識, 涵蓋了孔雀的八根毛, 每一個毛都是一個獨立的學科, 有專門的教科書. CISSP的Domain 3就是在唸這些東西. 但大家不用鑽那麼深, 每根毛都只要了解最入門而基本的東西即可.
除了工程的硬知識外, 還要學習如何管理工程專案.
“用知識把一個系統作出來”