ISO 27001 名稱彙總

• 資訊安全(Information Security)：保護資訊的機密性、完整性與可用性；另外也能涉及如鑑別性、 可歸責任性、 不可否認性與可靠性等特性。 [ISO/IEC 17799:2005]
• 資訊安全管理系統(Information Security Management System, ISMS)：整體管理系統的一部份，以營運風險方案為基礎，用以建立、實施、操作、監督、審查、維持及改進資訊安全。
• 機密性(Confidentiality)：資訊不被未經授權的個人、實體或過程取得或揭露的特性。 [ISO/IEC 13335-1:2004]
• 完整性(Integrity)：保護資產準確及完整的特性。
• 可用性(Availability)：獲得授權的實體要求時可以存取並使用的特性。 [ISO/IEC 13335-1:2004]
• 風險管理(Risk Management)：指導與控制組織有關風險的協調活動。
• 風險評鑑(Risk Assessment)：風險分析與風險評估的整體過程。
• 風險分析(Risk Analysis)：系統化的使用資訊以鑑別資源與估計風險。[ISO/IEC Guide 73:2002]
• 風險評估(Risk Evaluation)：將估計的風險與所訂的風險準則加以比較，以決定風險重要性的過程。
• 風險處理(Risk Treatment)：選擇與實施各項控制措施，以修正風險的過程。
• 資訊安全管理系統
  • ISO 27001:2013：有證書，可驗證，管理要求
  • ISO 27002:2013：無證書，無法驗證，實作指引

風險管理名稱彙總

• 資訊資產(Asset)：是一種資源(實體或邏輯)，對組織是有價值的。
• 威脅(Threat)：是一種事件，可能會對系統或組織及其資產造成傷害，威脅必須利用資產的弱點才能對資產造成傷害。
• 威脅來源(Threat Agent)：引發潛在威脅的源頭。
• 暴露(Exposure)：弱點誘發威脅的情況。
• 弱點(Vulnerability)：指單一或一系列會讓威脅有機可趁而造成資產損害的狀況。資產的脆弱點本身並不會造成傷害。
• 控制措施(Safeguards)：降低潛在風險的機制。
• 風險(Risk)：威脅 (Threat)利用資產 (Asset)的脆弱性 (Vulnerability) 造成衝擊 (Impact)的可能性 (Likelihood)
• 剩餘風險(Residual Risk)：剩餘的部份風險。
• 風險評鑑 (Assessment)：包含風險識別、分析及評估
• 風險處理活動：包含降低、避免、移轉及接受

存取控制

• 帳號管理(身分識別與鑑別)
• 授權(Authorization)
• 可歸責性(Accountability)
• 業務需知原則/ 僅知 (Need to know)：只提供執行業務上所需知道的資訊
• 最低權限原則 (Least privilege)：權限開放時採用最低權限原則
• 職務區隔 (SOD)：例如:掌管存取安全的人員不應擔任安全稽核的工作

加密演算法

• 柯克霍夫原則 (KERCKHOFFS’S PRINCIPLE)：即使密碼系統的任何細節已被公開，只要金鑰未洩漏，它也應是安全的
• 雜湊 (Hashing)：無法反推出原來的訊息、雜湊值必須隨明文而改變，通常搭配鹽(Salt)來增加元文字
• 對稱密鑰 (Symmetric-key)：DES、AES
• 公開金鑰密碼學 (Public-key cryptography)：也稱非對稱式密碼學，公私鑰
• 數位簽章 (Digital Signature)：訊息「完整性」(Hash比對)、傳送者「不可否認性」，又「公開金鑰認證」

資安事故處理程序

1. 記錄
2. 識別意圖(故意或無意)
3. 確認範圍
4. 保留證據
5. 保護資安事故的事實
6. 監聽正在進行的攻擊行為
7. 封鎖
8. 根除
9. 復原
10. 經驗學習

營運衝擊分析(Business Impact Analysis),簡稱BIA

• 識別組織的關鍵業務功能
• 計算關鍵業務
• 最大可承受中斷時間 (Max. Tolerable Period of Disruption, MTPD)
• 目標回覆時間(Recovery Time Objective, RTO)
• 各營運活動可容忍資料遺失之期間(Recovery Point Objective, RPO)
• 最低服務水準 (Min service level)

易錯考題

1. 請問在資訊安全管理系統中的風險評鑑（Risk Assessment） 作業，是在 Plan（規劃）、Do（執行）、Check（檢查）、Act （改善）循環中的那一部分？
   (A) Plan（規劃）
   (B) Do（執行）
   (C) Check（檢查）[原本想的]
   (D) Act（改善）
2. 中華民國「營業祕密法」所稱之營業祕密，係指方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊，其所必須符合之要件，下列敘述何項錯誤？
   (A) 非一般涉及該類資訊之人所知者
   (B) 因其秘密性而具有實際或潛在之經濟價值者
   (C) 所有人已採取合理之保密措施者 [原本想的]
   (D) 資訊洩漏將造成公司損失者：這個選項是錯誤的。營業祕密法的定義並不直接包括「資訊洩漏將造成公司損失」這一點。雖然資訊洩漏可能導致損失，但這不是營業祕密定義的必要條件。重要的是資訊的秘密性、經濟價值，以及保護措施的實施。
3. 關於風險評鑑（Risk Assessment）的敘述，下列何者較正確？
   (A) 應建立一套適用於全公司（組織）之準則
   (B) 不同類別被評鑑項目，無須依不同類別區分風險
   (C) 可接受風險一定要在風險評鑑前先決定 [原本想的]
   (D) 風險改善計畫，執行單位應再選擇是否需執行
4. 關於個人資料蒐集之特定目的消失或期限屆滿時之作為，下列何者錯誤？
   (A) 應主動停止蒐集該個人資料：按個資法第11條第3項規定「個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者，不在此限
   (B) 應主動停止處理該個人資料
   (C) 應主動停止利用該個人資料
   (D) 應主動刪除該個人資料 [原本想的]
5. 關於資產盤點之程序，下列敘述何者最適當？
   (A) 可由組織個別之業務活動流程開始進行盤點：這是一個合理的做法。資產盤點可以從組織的特定業務活動開始，逐步識別與該業務活動相關的所有資產。這種方法有助於理解業務過程與資產之間的關聯。
   (B) 應由資訊類資產開始進行盤點
   (C) 應由軟體類資產開始進行盤點
   (D) 應由硬體類資產開始進行盤點 [原本想的]
6. 在存取控制（Access Control）中，提到存取控制系統能夠達到的 AAA機制，請問這 3 個 A「不」包含下列何者？
   (A) Availability：在存取控制（Access Control）中提到的 AAA 機制，指的是 Authentication（認證）、Authorization（授權）和 Accounting（稽核或記帳）
   (B) Accounting [原本想的]
   (C) Authentication
   (D) Authorization
7. 假設有兩金鑰，金鑰A用來將明文 x 變成密文 y，而金鑰B用來將密文 y 變成明文 x，當金鑰A與金鑰B是同一把金鑰時，請問他最有可能是下列何種加密演算法？
   (A) AES：AES（Advanced Encryption Standard）是一種對稱式加密演算法，使用同一個金鑰進行加密和解密
   (B) RSA：RSA是一種非對稱式加密演算法，使用一對金鑰：公鑰用於加密，私鑰用於解密。
   (C) ECC：ECC（Elliptic Curve Cryptography）同樣是一種非對稱式加密技術，它使用基於橢圓曲線數學的公鑰和私鑰對
   (D) SHA：SHA（Secure Hash Algorithm）是一系列的雜湊函數，不是加密演算法。雜湊函數將資料轉換為固定長度的雜湊值，但不可逆，無法從雜湊值還原原始資料。

參考 & 學習資料

1. 僑光科技大學：資訊資產評估暨風險管理與風險評鑑教育訓練
2. 109年經濟部初級資訊安全工程師能力鑑定：種子師資研習
3. 阿摩
4. IPAS 初級資安工程師 資訊安全技術課程分享
5. iPas 資訊安全工程師 初級歷屆試題
6. 資訊安全概論講義