資訊安全是透過安全管制措施來保護資訊資產免於受到危害,以達到機密性、完整性和可用性(即常聽到的CIA)之目標(第3層),進而支持業務流程(第2層)、創造和交付價值,實現組織的使命與願景(第1層)的一門學科.
資料來源:The Effective CISSP: Security and Risk Management
風險是“影響目標達成的不確定因素”。在資訊安全的背景下,威脅是任何可能對目標帶來負面影響的風險,通常涉及威脅來源發起一個或多個威脅事件,以利用漏洞並導致不利的影響。
漏洞(Vulnerability)“包括可以被威脅所利用的一個或一組資產的弱點(weakness)”(ISO / IEC 21827),或是“可以被威脅利用或觸發的IT系統安全上的弱點。” (ISO/TR 22100-4)
- 弱點是一種“不足”。(ISO 81001-1)
- 資產是有價值且值得保護的東西。
- 保護是指努力防止目標偏離。保護意味著在風險管理中進行風險處置或在資訊安全的場合中實施安全控制(又名安全措施)。
- 保護人的生命永遠是當務之急。
資訊系統,又常被稱為IT系統,是一組離散的收集組織的資訊資源,加工,維修,使用,共享,傳播或資訊的處置。在本出版物的上下文中,該定義包括資訊系統運行的環境(即人員、流程、技術、設施和網絡空間)。(NIST SP 800-39)
CISSP是一位被ISC2所認證的專家,很了解如何保護資訊系統。
Wentz 的著作The Effective CISSP: Security and Risk Management幫助 CISSP 和 CISM 有志者建立了一個可靠的概念安全模型。它是資訊安全教程和 CISSP 和 CISM 考試官方學習指南的補充,也是安全專業人員的資訊參考。
參考
- ISO/IEC 21827:2008
- ISO/TR 22100-4:2018
- ISO 81001-1:2021
原始來源: Information Security 101
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文