iPas 初級資訊安全工程師:資訊安全管理概論筆記
2024-08-27 06:47:45
ISO 27001 名稱彙總
- 資訊安全(Information Security):保護資訊的機密性、完整性與可用性;另外也能涉及如鑑別性、 可歸責任性、 不可否認性與可靠性等特性。 [ISO/IEC 17799:2005]
- 資訊安全管理系統(Information Security Management System, ISMS):整體管理系統的一部份,以營運風險方案為基礎,用以建立、實施、操作、監督、審查、維持及改進資訊安全。
- 機密性(Confidentiality):資訊不被未經授權的個人、實體或過程取得或揭露的特性。 [ISO/IEC 13335-1:2004]
- 完整性(Integrity):保護資產準確及完整的特性。
- 可用性(Availability):獲得授權的實體要求時可以存取並使用的特性。 [ISO/IEC 13335-1:2004]
- 風險管理(Risk Management):指導與控制組織有關風險的協調活動。
- 風險評鑑(Risk Assessment):風險分析與風險評估的整體過程。
- 風險分析(Risk Analysis):系統化的使用資訊以鑑別資源與估計風險。[ISO/IEC Guide 73:2002]
- 風險評估(Risk Evaluation):將估計的風險與所訂的風險準則加以比較,以決定風險重要性的過程。
- 風險處理(Risk Treatment):選擇與實施各項控制措施,以修正風險的過程。
- 資訊安全管理系統
- ISO 27001:2013:有證書,可驗證,管理要求
- ISO 27002:2013:無證書,無法驗證,實作指引
風險管理名稱彙總
- 資訊資產(Asset):是一種資源(實體或邏輯),對組織是有價值的。
- 威脅(Threat):是一種事件,可能會對系統或組織及其資產造成傷害,威脅必須利用資產的弱點才能對資產造成傷害。
- 威脅來源(Threat Agent):引發潛在威脅的源頭。
- 暴露(Exposure):弱點誘發威脅的情況。
- 弱點(Vulnerability):指單一或一系列會讓威脅有機可趁而造成資產損害的狀況。資產的脆弱點本身並不會造成傷害。
- 控制措施(Safeguards):降低潛在風險的機制。
- 風險(Risk):威脅 (Threat)利用資產 (Asset)的脆弱性 (Vulnerability) 造成衝擊 (Impact)的可能性 (Likelihood)
- 剩餘風險(Residual Risk):剩餘的部份風險。
- 風險評鑑 (Assessment):包含風險識別、分析及評估
- 風險處理活動:包含降低、避免、移轉及接受
存取控制
- 帳號管理(身分識別與鑑別)
- 授權(Authorization)
- 可歸責性(Accountability)
- 業務需知原則/ 僅知 (Need to know):只提供執行業務上所需知道的資訊
- 最低權限原則 (Least privilege):權限開放時採用最低權限原則
- 職務區隔 (SOD):例如:掌管存取安全的人員不應擔任安全稽核的工作
加密演算法
- 柯克霍夫原則 (KERCKHOFFS’S PRINCIPLE):即使密碼系統的任何細節已被公開,只要金鑰未洩漏,它也應是安全的
- 雜湊 (Hashing):無法反推出原來的訊息、雜湊值必須隨明文而改變,通常搭配鹽(Salt)來增加元文字
- 對稱密鑰 (Symmetric-key):DES、AES
- 公開金鑰密碼學 (Public-key cryptography):也稱非對稱式密碼學,公私鑰
- 數位簽章 (Digital Signature):訊息「完整性」(Hash比對)、傳送者「不可否認性」,又「公開金鑰認證」
資安事故處理程序
- 記錄
- 識別意圖(故意或無意)
- 確認範圍
- 保留證據
- 保護資安事故的事實
- 監聽正在進行的攻擊行為
- 封鎖
- 根除
- 復原
- 經驗學習
營運衝擊分析(Business Impact Analysis),簡稱BIA
- 識別組織的關鍵業務功能
- 計算關鍵業務
- 最大可承受中斷時間 (Max. Tolerable Period of Disruption, MTPD)
- 目標回覆時間(Recovery Time Objective, RTO)
- 各營運活動可容忍資料遺失之期間(Recovery Point Objective, RPO)
- 最低服務水準 (Min service level)
易錯考題
- 請問在資訊安全管理系統中的風險評鑑(Risk Assessment) 作業,是在 Plan(規劃)、Do(執行)、Check(檢查)、Act (改善)循環中的那一部分?
(A) Plan(規劃)
(B) Do(執行)
(C) Check(檢查)[原本想的]
(D) Act(改善) - 中華民國「營業祕密法」所稱之營業祕密,係指方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊,其所必須符合之要件,下列敘述何項錯誤?
(A) 非一般涉及該類資訊之人所知者
(B) 因其秘密性而具有實際或潛在之經濟價值者
(C) 所有人已採取合理之保密措施者 [原本想的]
(D) 資訊洩漏將造成公司損失者
:這個選項是錯誤的。營業祕密法的定義並不直接包括「資訊洩漏將造成公司損失」這一點。雖然資訊洩漏可能導致損失,但這不是營業祕密定義的必要條件。重要的是資訊的秘密性、經濟價值,以及保護措施的實施。 - 關於風險評鑑(Risk Assessment)的敘述,下列何者較正確?
(A) 應建立一套適用於全公司(組織)之準則
(B) 不同類別被評鑑項目,無須依不同類別區分風險
(C) 可接受風險一定要在風險評鑑前先決定 [原本想的]
(D) 風險改善計畫,執行單位應再選擇是否需執行 - 關於個人資料蒐集之特定目的消失或期限屆滿時之作為,下列何者錯誤?
(A) 應主動停止蒐集該個人資料
:按個資法第11條第3項規定「個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限
(B) 應主動停止處理該個人資料
(C) 應主動停止利用該個人資料
(D) 應主動刪除該個人資料 [原本想的] - 關於資產盤點之程序,下列敘述何者最適當?
(A) 可由組織個別之業務活動流程開始進行盤點
:這是一個合理的做法。資產盤點可以從組織的特定業務活動開始,逐步識別與該業務活動相關的所有資產。這種方法有助於理解業務過程與資產之間的關聯。
(B) 應由資訊類資產開始進行盤點
(C) 應由軟體類資產開始進行盤點
(D) 應由硬體類資產開始進行盤點 [原本想的] - 在存取控制(Access Control)中,提到存取控制系統能夠達到的 AAA機制,請問這 3 個 A「不」包含下列何者?
(A) Availability
:在存取控制(Access Control)中提到的 AAA 機制,指的是 Authentication(認證)、Authorization(授權)和 Accounting(稽核或記帳)
(B) Accounting [原本想的]
(C) Authentication
(D) Authorization - 假設有兩金鑰,金鑰A用來將明文 x 變成密文 y,而金鑰B用來將密文 y 變成明文 x,當金鑰A與金鑰B是同一把金鑰時,請問他最有可能是下列何種加密演算法?
(A) AES
:AES(Advanced Encryption Standard)是一種對稱式加密演算法,使用同一個金鑰進行加密和解密
(B) RSA:RSA是一種非對稱式加密演算法,使用一對金鑰:公鑰用於加密,私鑰用於解密。
(C) ECC:ECC(Elliptic Curve Cryptography)同樣是一種非對稱式加密技術,它使用基於橢圓曲線數學的公鑰和私鑰對
(D) SHA:SHA(Secure Hash Algorithm)是一系列的雜湊函數,不是加密演算法。雜湊函數將資料轉換為固定長度的雜湊值,但不可逆,無法從雜湊值還原原始資料。