分類
CISSP

資安入門

資訊安全是透過安全管制措施來保護資訊資產免於受到危害,以達到機密性、完整性和可用性(即常聽到的CIA)之目標(第3層),進而支持業務流程(第2層)、創造和交付價值,實現組織的使命與願景(第1層)的一門學科.
資料來源:The Effective CISSP: Security and Risk Management

什麼是風險?
風險是“影響目標達成的不確定因素”。在資訊安全的背景下,威脅是任何可能對目標帶來負面影響的風險,通常涉及威脅來源發起一個或多個威脅事件,以利用漏洞並導致不利的影響。
NIST 通用風險模型 (NIST SP 800-30 R1)
漏洞(Vulnerability)“包括可以被威脅所利用的一個或一組資產的弱點(weakness)”(ISO / IEC 21827),或是“可以被威脅利用或觸發的IT系統安全上的弱點。” (ISO/TR 22100-4)

  • 弱點是一種“不足”。(ISO 81001-1)
  • 資產是有價值且值得保護的東西。
  • 保護是指努力防止目標偏離。保護意味著在風險管理中進行風險處置或在資訊安全的場合中實施安全控制(又名安全措施)。
  • 保護人的生命永遠是當務之急。
    ISO 31000

資訊系統,又常被稱為IT系統,是一組離散的收集組織的資訊資源,加工,維修,使用,共享,傳播或資訊的處置。在本出版物的上下文中,該定義包括資訊系統運行的環境(即人員、流程、技術、設施和網絡空間)。(NIST SP 800-39)

CISSP是一位被ISC2所認證的專家,很了解如何保護資訊系統。

孔雀作為資訊系統的隱喻

Wentz 的著作The Effective CISSP: Security and Risk Management幫助 CISSP 和 CISM 有志者建立了一個可靠的概念安全模型。它是資訊安全教程和 CISSP 和 CISM 考試官方學習指南的補充,也是安全專業人員的資訊參考。

參考

  • ISO/IEC 21827:2008
  • ISO/TR 22100-4:2018
  • ISO 81001-1:2021

原始來源: Information Security 101

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品等專業證照。此外,平常除了喜歡透過ITHelp平台及個人部落格分享文章,亦常擔任社群活動主辦者及志工,連結資安同好聯誼及共好學習,並協助對於CISSP有興趣的同學與同好準備認證考試。