iPas 初級資訊安全工程師:資訊安全管理概論筆記
2024-06-28 13:38:38

ISO 27001 名稱彙總

  • 資訊安全(Information Security):保護資訊的機密性、完整性與可用性;另外也能涉及如鑑別性、 可歸責任性、 不可否認性與可靠性等特性。 [ISO/IEC 17799:2005]
  • 資訊安全管理系統(Information Security Management System, ISMS):整體管理系統的一部份,以營運風險方案為基礎,用以建立、實施、操作、監督、審查、維持及改進資訊安全。
  • 機密性(Confidentiality):資訊不被未經授權的個人、實體或過程取得或揭露的特性。 [ISO/IEC 13335-1:2004]
  • 完整性(Integrity):保護資產準確及完整的特性。
  • 可用性(Availability):獲得授權的實體要求時可以存取並使用的特性。 [ISO/IEC 13335-1:2004]
  • 風險管理(Risk Management):指導與控制組織有關風險的協調活動。
  • 風險評鑑(Risk Assessment):風險分析與風險評估的整體過程。
  • 風險分析(Risk Analysis):系統化的使用資訊以鑑別資源與估計風險。[ISO/IEC Guide 73:2002]
  • 風險評估(Risk Evaluation):將估計的風險與所訂的風險準則加以比較,以決定風險重要性的過程。
  • 風險處理(Risk Treatment):選擇與實施各項控制措施,以修正風險的過程。
  • 資訊安全管理系統
    • ISO 27001:2013:有證書,可驗證,管理要求
    • ISO 27002:2013:無證書,無法驗證,實作指引

風險管理名稱彙總

  • 資訊資產(Asset):是一種資源(實體或邏輯),對組織是有價值的。
  • 威脅(Threat):是一種事件,可能會對系統或組織及其資產造成傷害,威脅必須利用資產的弱點才能對資產造成傷害。
  • 威脅來源(Threat Agent):引發潛在威脅的源頭。
  • 暴露(Exposure):弱點誘發威脅的情況。
  • 弱點(Vulnerability):指單一或一系列會讓威脅有機可趁而造成資產損害的狀況。資產的脆弱點本身並不會造成傷害。
  • 控制措施(Safeguards):降低潛在風險的機制。
  • 風險(Risk):威脅 (Threat)利用資產 (Asset)的脆弱性 (Vulnerability) 造成衝擊 (Impact)的可能性 (Likelihood)
  • 剩餘風險(Residual Risk):剩餘的部份風險。
  • 風險評鑑 (Assessment):包含風險識別、分析及評估
  • 風險處理活動:包含降低、避免、移轉及接受

存取控制

  • 帳號管理(身分識別與鑑別)
  • 授權(Authorization)
  • 可歸責性(Accountability)
  • 業務需知原則/ 僅知 (Need to know):只提供執行業務上所需知道的資訊
  • 最低權限原則 (Least privilege):權限開放時採用最低權限原則
  • 職務區隔 (SOD):例如:掌管存取安全的人員不應擔任安全稽核的工作

加密演算法

  • 柯克霍夫原則 (KERCKHOFFS’S PRINCIPLE):即使密碼系統的任何細節已被公開,只要金鑰未洩漏,它也應是安全的
  • 雜湊 (Hashing):無法反推出原來的訊息、雜湊值必須隨明文而改變,通常搭配鹽(Salt)來增加元文字
  • 對稱密鑰 (Symmetric-key):DES、AES
  • 公開金鑰密碼學 (Public-key cryptography):也稱非對稱式密碼學,公私鑰
  • 數位簽章 (Digital Signature):訊息「完整性」(Hash比對)、傳送者「不可否認性」,又「公開金鑰認證」

資安事故處理程序

  1. 記錄
  2. 識別意圖(故意或無意)
  3. 確認範圍
  4. 保留證據
  5. 保護資安事故的事實
  6. 監聽正在進行的攻擊行為
  7. 封鎖
  8. 根除
  9. 復原
  10. 經驗學習

營運衝擊分析(Business Impact Analysis),簡稱BIA

  • 識別組織的關鍵業務功能
  • 計算關鍵業務
  • 最大可承受中斷時間 (Max. Tolerable Period of Disruption, MTPD)
  • 目標回覆時間(Recovery Time Objective, RTO)
  • 各營運活動可容忍資料遺失之期間(Recovery Point Objective, RPO)
  • 最低服務水準 (Min service level)

易錯考題

  1. 請問在資訊安全管理系統中的風險評鑑(Risk Assessment) 作業,是在 Plan(規劃)、Do(執行)、Check(檢查)、Act (改善)循環中的那一部分?
    (A) Plan(規劃)
    (B) Do(執行)
    (C) Check(檢查)[原本想的]
    (D) Act(改善)
  2. 中華民國「營業祕密法」所稱之營業祕密,係指方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊,其所必須符合之要件,下列敘述何項錯誤?
    (A) 非一般涉及該類資訊之人所知者
    (B) 因其秘密性而具有實際或潛在之經濟價值者
    (C) 所有人已採取合理之保密措施者 [原本想的]
    (D) 資訊洩漏將造成公司損失者:這個選項是錯誤的。營業祕密法的定義並不直接包括「資訊洩漏將造成公司損失」這一點。雖然資訊洩漏可能導致損失,但這不是營業祕密定義的必要條件。重要的是資訊的秘密性、經濟價值,以及保護措施的實施。
  3. 關於風險評鑑(Risk Assessment)的敘述,下列何者較正確?
    (A) 應建立一套適用於全公司(組織)之準則
    (B) 不同類別被評鑑項目,無須依不同類別區分風險
    (C) 可接受風險一定要在風險評鑑前先決定 [原本想的]
    (D) 風險改善計畫,執行單位應再選擇是否需執行
  4. 關於個人資料蒐集之特定目的消失或期限屆滿時之作為,下列何者錯誤?
    (A) 應主動停止蒐集該個人資料:按個資法第11條第3項規定「個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限
    (B) 應主動停止處理該個人資料
    (C) 應主動停止利用該個人資料
    (D) 應主動刪除該個人資料 [原本想的]
  5. 關於資產盤點之程序,下列敘述何者最適當?
    (A) 可由組織個別之業務活動流程開始進行盤點:這是一個合理的做法。資產盤點可以從組織的特定業務活動開始,逐步識別與該業務活動相關的所有資產。這種方法有助於理解業務過程與資產之間的關聯。
    (B) 應由資訊類資產開始進行盤點
    (C) 應由軟體類資產開始進行盤點
    (D) 應由硬體類資產開始進行盤點 [原本想的]
  6. 在存取控制(Access Control)中,提到存取控制系統能夠達到的 AAA機制,請問這 3 個 A「不」包含下列何者?
    (A) Availability:在存取控制(Access Control)中提到的 AAA 機制,指的是 Authentication(認證)、Authorization(授權)和 Accounting(稽核或記帳)
    (B) Accounting [原本想的]
    (C) Authentication
    (D) Authorization
  7. 假設有兩金鑰,金鑰A用來將明文 x 變成密文 y,而金鑰B用來將密文 y 變成明文 x,當金鑰A與金鑰B是同一把金鑰時,請問他最有可能是下列何種加密演算法?
    (A) AES:AES(Advanced Encryption Standard)是一種對稱式加密演算法,使用同一個金鑰進行加密和解密
    (B) RSA:RSA是一種非對稱式加密演算法,使用一對金鑰:公鑰用於加密,私鑰用於解密。
    (C) ECC:ECC(Elliptic Curve Cryptography)同樣是一種非對稱式加密技術,它使用基於橢圓曲線數學的公鑰和私鑰對
    (D) SHA:SHA(Secure Hash Algorithm)是一系列的雜湊函數,不是加密演算法。雜湊函數將資料轉換為固定長度的雜湊值,但不可逆,無法從雜湊值還原原始資料。

參考 & 學習資料

  1. 僑光科技大學:資訊資產評估暨風險管理與風險評鑑教育訓練
  2. 109年經濟部初級資訊安全工程師能力鑑定:種子師資研習
  3. 阿摩
  4. IPAS 初級資安工程師 資訊安全技術課程分享
  5. iPas 資訊安全工程師 初級歷屆試題
  6. 資訊安全概論講義