分類
CISSP

工程、生命週期階段和過程(Engineering, Life Cycle Stages, and Processes)

https://ithelp.ithome.com.tw/upload/images/20210610/20132160fMsOyOUCv0.jpg
-NIST SP 800-160 V1 和 ISO 15288

工程(Engineering)
. 工程 是一種涉及開發解決方案的一組流程的方法,該解決方案可以是系統、軟件或任何可交付成果,從利益相關者的需求轉換而來,並在解決方案的整個生命週期中提供支持。(精簡版)
. 工程 是一種方法,它涉及應用知識和技能來理解和管理利益相關者的需求、提出和實施解決這些需求的解決方案,以及利用和支持該解決方案以持續創造價值直到其退休為止的一系列過程。(長版)
. 系統和軟件工程 是將系統或軟件作為解決方案交付的工程方法。

系統工程(Systems Engineering)
系統工程 是一種跨學科的方法和手段,可以實現成功的系統。
– 它側重於在開發週期的早期定義利益相關者的需求和所需的功能,記錄需求,然後在考慮完整問題的同時進行設計綜合和系統驗證。
– 將所有學科和專業組整合到一個團隊中,形成從概念到生產再到運營的結構化開發流程.
– 它考慮了 所有利益相關者的業務和技術需求,目標是提供 滿足用戶和其他適用利益相關者需求的優質產品。這個 生命週期跨越了想法的概念 ,直到系統的退役 。– 它提供了獲取和供應系統的流程 。– 它有助於改善創建、利用和管理現代系統的各方之間的溝通與合作,以便他們能夠以集成、連貫的方式工作。
來源: ISO/IEC/IEEE 15288:2015 系統和軟件工程——系統生命週期過程
https://ithelp.ithome.com.tw/upload/images/20210610/20132160whjGsHNArL.jpg
-SDLC:系統還是軟件?

生命週期(Life Cycle)
每個人都有自己的生活,系統或軟件也是如此。系統或軟件的生命週期不同。系統或軟件生命週期通常包括從開始到工程退役的跨階段(或階段)進行的一系列過程(也稱為生命週期過程)。
系統或軟件開發生命週期 (SDLC) 中的“開發”一詞具有誤導性,因為它暗示“構建”、“製作”、“構建”或“實施”某物。然而,如今一個組織在沒有任何採購或收購的情況下單獨“發展”是不可能的。採購意味著從供應商那裡購買東西,而從更廣泛的意義上講,收購是指從任何一方付費或免費獲取任何東西。

階段(Stages)
生命週期的階段各不相同。組織傾向於根據工程方法定制生命週期階段,並可能在項目中迭代生命週期。ISO/IEC 15288 提出了生命週期過程,但 沒有規定 係統生命週期 (SLC) 的六個階段。

流程(Processes)
跨生命週期執行的流程不時變化,這種情況並不少見。但是,修訂後的 ISO/IEC/IEEE 15288:2015 和 ISO/IEC/IEEE 12207:2017 旨在實現系統和軟件生命週期過程的完全協調視圖。
一個過程通常以不同的程度在整個生命週期中進行。驗證和確認是在眾所周知的“測試”或“測試”(“testing” or “test”)階段進行的主要過程。然而,需求、設計、工作產品、可交付成果、最終產品等,可以而且應該在不同階段進行驗證和確認。
https://ithelp.ithome.com.tw/upload/images/20210610/20132160m6B1S9iCp7.png
-Rational Unified Process 的 4 個階段和 9 個學科(圖片來源:Humberto Cervantes)

參考
ISO/IEC/IEEE 15288:2015 系統和軟件工程——系統生命週期過程
ISO/IEC/IEEE 12207:2017 系統和軟件工程——軟件生命週期過程
ISO/IEC 15288
什麼是工程?
安全架構與工程
CISSP 實踐問題 – 20210514
墨西哥某小型IT企業網絡管理應用開發經驗報告

資料來源: Wentz Wu 網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

最大可容忍停機時間 (MTD)

最長可容忍停機時間或 MTD 指定了在組織的生存面臨風險之前給定業務流程可能無法運行的最長時間。”
資料來源:BCM 研究所
最大可容忍停機時間 (MTD) 是對信息系統和其他資源支持的關鍵業務流程的約束。換句話說,MTD 對一個或多個信息系統施加約束,如下圖所示。
https://ithelp.ithome.com.tw/upload/images/20210609/20132160HMHKYUGDbU.jpg
-業務影響分析 (NIST)

最大可容忍停機時間 (MTD) 是推動目標設定的業務限製或要求。服務交付目標 (SDO)、恢復點目標 (RPO) 和恢復時間目標 (RTO) 是目標,因為術語“目標”明確表示字面意思。有關詳細信息,請參閱這篇文章,常見 BIA 術語
https://ithelp.ithome.com.tw/upload/images/20210609/20132160KDhh2HuZLr.jpg
-MTD、RTP 和 RPO

參考
常見的 BIA 術語
CISSP 實踐問題 – 20200406
CISSP 實踐問題 – 20201217
CISSP 實踐問題 – 20200407
CISSP 實踐問題 – 20210215
CISSP 實踐問題 – 20210116

資料來源: Wentz Wu QOTD-20210326

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
Project Management

專案管理基本功

戰略

組織戰略通常包括一系列旨在實現長期目標和實現願景和使命的舉措。

戰略投資組合

一個專案可能在三種情況下進行管理:作為一個獨立的專案(投資組合或計劃外),一個內部程序,或內組合。(PMBOK 6th)

商業案例

  • 一個商業案例評估舉措替代的可行性,成本和效益方面。
  • 證明計劃合理的已批准業務案例會將其轉變為由專案發起人讚助並由專案經理管理的專案。

專案生命週期

專案是為創造獨特的產品、服務或成果而進行的臨時努力。

專案生命週期是專案從開始到完成所經歷的一系列階段。這些階段可以是連續的、迭代的或重疊的。專案的生命週期可以是預測性或適應性。

資料來源:PMBOK 6th

開發生命週期

在專案生命週期內,通常有一個或多個與產品、服務或成果的開發相關的階段。這些被稱為開發生命週期。開發生命週期可以是預測的、迭代的、增量的、自適應的或混合模型。

資料來源:PMBOK 6th

敏捷思維

敏捷是一種思維模式,它專注於通過一系列預定義的原則和經過驗證的實踐來頻繁地創造和交付價值。

管理

專案管理

專案管理是將知識、技能、工具和技術應用於專案活動以滿足專案要求。

專案管理使組織能夠有效和高效地執行專案。

資料來源:PMBOK 6th

原始出處: Project Management 101

分類
CISSP

軟體測試類型

https://ithelp.ithome.com.tw/upload/images/20210602/20132160HgW3TuPzAA.jpg
-測試類型
靜態測試是一種測試,其中被測軟體 (software under test:SUT) 作為源代碼或二進制代碼不加載到內存中執行。靜態二進制代碼掃描器、源代碼安全分析器、手動源代碼分析(例如代碼審查)等,都是靜態測試的常用工具。可以通過靜態測試識別維護掛鉤和活板門。
被動測試是指測試人員不直接與 SUT 交互的測試。
黑盒測試意味著測試一無所知SUT。
集成測試強調將單個單元或模塊組合為 SUT。

參考
測試
測試線束
測試自動化
集成測試
主動測試和被動測試的區別

資料來源: Wentz Wu QOTD-20210324

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

雲安全聯盟(CSA)-安全信任和保證註冊(STAR)

https://ithelp.ithome.com.tw/upload/images/20210601/20132160L55KPMRWa6.png
-圖片來源:CSA

雲安全聯盟(CSA)劃分安全,信任和保證註冊(STAR)計劃分為三個層次:

  1. CSA STAR 1 級:自我評估
  2. CSA STAR 2 級:第三方認證
    . CSA STAR Attestation是 CSA 和 AICPA 之間的一項合作,旨在為 CPA 提供指南,以使用 AICPA
    (信任服務原則,AT 101)和 CSA 雲控制矩陣中的標准進行 SOC 2 參與。
    . 該CSA STAR認證是一種安全的嚴格的第三方獨立評估雲服務提供商。
  3. CSA STAR 3 級:全雲保障和透明度
    雲安全聯盟是一個非營利組織,其使命是“促進最佳實踐的使用以在雲計算中提供安全保證,並提供有關雲計算使用的教育,以幫助保護所有其他形式的計算。”
    CSA 的安全、信任和保證註冊計劃 (CSA STAR) 旨在通過自我評估、第三方審計和持續監控的三步計劃幫助客戶評估和選擇雲服務提供商。
    資料來源:谷歌

系統和組織控制 (System and Organization Controls:SOC)
根據 AICPA,“系統和組織控制 (SOC) 是 CPA 可能提供的一套服務產品,與服務組織的系統級控製或其他組織的實體級控制有關。” (AICPA)
SOC 3 指的是“服務組織的系統和組織控制 (SOC):一般使用報告的信任服務標準”。SOC 3 報告旨在滿足用戶的需求,這些用戶需要對服務組織中與安全性、可用性、處理完整性機密性或隱私相關的控制措施進行保證,但不具備有效利用SOC 2® 報告。因為它們是通用報告,所以可以免費分發 SOC 3® 報告。(美國註冊會計師協會:SOC3
https://ithelp.ithome.com.tw/upload/images/20210601/20132160krp12I9Zdg.jpg
-服務組織控制 (SOC)

ISO/IEC 27001:2013
“ISO/IEC 27001:2013 規定了在組織範圍內建立、實施、維護和持續改進信息安全管理體系的要求。它還包括根據組織的需要對信息安全風險進行評估和處理的要求。ISO/IEC 27001:2013 中規定的要求是通用的,旨在適用於所有組織,無論其類型、規模或性質如何。” ( ISO )
https://ithelp.ithome.com.tw/upload/images/20210601/20132160VCUrmlWWhw.jpg
-ISMS 和 PIMS

自我評估和 NIST CSF(Self-assessment and NIST CSF)
基於自我評估的自我聲明似乎很愚蠢。但是,它是一種合法手段,並且確實提供了一定程度或低程度的保證。而且,這是一種普遍的做法。NIST網絡安全框架 (CSF)是一個自願性框架,由總統行政命令 (EO) 13636 於 2013 年 2 月發起,改進關鍵基礎設施網絡安全。到目前為止,還沒有評估 NIST CSF 合規性的認證計劃,因此使用它是合理的自我評估和自我聲明。
https://ithelp.ithome.com.tw/upload/images/20210601/20132160NbxrMkk7lY.png
-保證、證明和審計(圖片來源:CheggStudy

什麼是保證?(What is Assurance?)
對於安全工程,“保證”被定義為系統安全需求得到滿足的置信度。…通過審查通過開發、部署和操作期間的評估過程和活動以及通過使用 IT 系統獲得的經驗獲得的保證證據,可以實現信心。任何可以通過產生證明 IT 系統屬性的正確性、有效性和質量的證據來減少不確定性的活動,都有助於確定安全保證。
資料來源:哈里斯·哈米多維奇

保證服務(Assurance Services)
國際會計師聯合會 (IFAC) 對鑑證業務的定義:
從業者旨在獲得充分、適當的證據
以表達旨在提高除責任方以外的預期用戶對主題信息的信心程度的一種參與。

保證方法(Asurance Methods)
保證方法根據其技術和生命週期重點產生特定類型的保證。針對給定焦點的一些更廣為人知的保證方法包括:
ISO/IEC 21827——保證專注於質量和開發過程
開發者的血統——保證專注於品牌;認識到一個公司生產的優質交付(基於歷史關係或數據)
保證專注於保險,以製造商承諾糾正可交付成果
供應商聲明中的缺陷為支持——保證專注於自我聲明
專業認證和許可——保證專注於人員的專業知識和知識
ISO / T18905.1-2002信息技術軟件產品評價第1部分:總體概述為保證,注重交付的直接評估
ISO / IEC27001——保障重點安全管理

資料來源:哈里斯·哈米多維奇

參考
CSA STAR 級別
安全、信任和保證註冊 (STAR)
CSA STAR 認證
雲安全聯盟 (CSA) STAR 認證
CSA之星
誰可以執行 SOC 2 審核?
IT安全保障的基本概念
了解認證、鑑證和審計在註冊會計師行業中的含義
什麼是保證和證明第一部分
審計和保證

資料來源: Wentz Wu QOTD-20210324

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文