1.8 对业务连续性 (BC) 要求进行识别、分析及优先级排序

• 业务影响分析 (BIA)
  • 業務衝擊分析(BIA, Business Impact Analysis)
    • 找出關鍵流程(核心業務)
    • 關鍵資源(核心系統及人)
      a. 最大可容忍停擺時間(MTD, Maximum Tolerable Downtime)：高階主管核定 ex: 7天內
      b. 復原時間目標(RTO, Recovery Time Objective)：通常不超過MTD ex: 4天內
      c. 復原點目標(RPO, Recovery Point Objective)：備份資料點的目標，通常存在於資訊系統中

  時間順序

  MTD > RTO > RPO
• 制定和記錄範圍和計劃

  設施恢復--異地租用設施：

  • 熱站點（hot site）：幾個小時就可以投入運行，最昂貴。
  • 溫站點（warm site）：只進行部分配置，提供一個配備一些外網設施的備用設施。
  • 冷站點（cold site）：提供基本環境、電路、空調、管道和地板，但不提供設備或其他服務，空數據中心，最便宜。
  • 互惠協議：借用他人公司以互惠協議的方式使用，成功率最低
  • 冗餘場所：百分百可用，可立即投入使用和受組織的完全控制，最昂貴的備份設施選項。
  • 移動型熱站點：例如: 電視台的SNG車

1.9 协助制定和实施人员安全政策和程序

• 員工篩選與雇傭
  • 入職前的背景調查，是否滿足職務需求
  • 人員的security clearness
• 雇傭協議與政策
  • NDA 競業條款
  • 組織內對於硬體及軟體使用的協議，AUP
    • 可防範個人系統的非法使用
    • CYOD（選擇您自己的設備）是一種移動設備部署模型，允許員工從組織預先批准的設備選項列表中選擇他們的移動設備。
    • BYOD（自帶設備）是一種移動設備部署模型，允許員工將個人移動設備用於工作目的。
• 員工入職、調動和離職流程
  • 入職: 需要使用服務供裝批次設定權限，依照職務說明授予權限 (權限只給予足夠滿足職務操作即可)
  • 調動: 注意特權潛變問題
  • 離職: 最重要的是離職面談，告知離職員工，之前簽署的行政協議依然存在法律效應，包含NDA(競業條款)
• 供應商、顧問與承包商協議與控制
  • SCRM
  • Service Level Agreement (SLA) - 服務級別協定，這是服務供應商與客戶就服務水準、品質、效能等方面作出的協議，即技術承包者需要向客戶提供何種級別的服務，(引用自SLA)
  • Service Level Management (SLM) - 向服務消費者保證，提供商將提供滿足其需求的服務級別。
• 合規策略要求
• 隱私策略要求
  • 個人可鑑別的訊息（Personally Identifiable Information,PII）
  • 個人可標識信息（PII）
  • 個人健康資訊（PHI）
  • 任何有害於組織的敏感信息

1.10 理解并应用风险管理概念

• 識別風險與漏洞
• 風險評估/分析
  • 風險識別後，記錄到風險登錄表
  • 風險分析，分析風險的不確定性(uncertainty)及影響(effect)。
    • 目的: 了解風險的大小也就是所謂的曝險(risk exposure)或風險敞口。曝險是綜合考量了風險的不確定性及影響之後所得到的結果。
    • 值化[定性]分析（德爾菲法）、量化分析（期望值法）
    • 公式
      SLE 單一損失期望= AV * EF
      ALE 年度損失期望 = SLE * ARO ( = AVEFARO)
      ACS = 年度控制措施成本
      控制措施的價值與成本效益： （ALE1- ALE2） - ACS
  • 風險評估的重點在決策，也就是決定那些風險要處理。排序只是手段

  引用自風險評估

• 風險響應
• 對策選擇與實施

• 風險管理的口訣是

  • 一大目標
    • 風險管理要降低風險達到經營高層可以接受的程度即可
  • 二大程序
    • 風險評鑑(assessment)及風險處置(treatment)
  • 三大步驟
    • 先識別(identification)再分析(analysis)最後評估(evaluation)
  • 四大絕招
    • ATMA，也就是之後對於風險的處置：我們可以採取規避(Avoid)、移轉(Transfer)、緩解(Mitigate)及接受(Accept)。

• 適用的控制類型（如預防、檢測、糾正）

  • HIPAA
    • 行政管理
    • 技術邏輯
    • 實體類
  • ISC2 的七個控制類型
    • 事前
      • 威攝(Deterren)
      • 指示(Directive)
      • 預防(Preventive)
    • 事中
      • 偵測(Detective)
      • 糾正(Corrective)
    • 事後
      • 復原(Recovery)
      • 補償(Compensating)

• 對於風險的不同定義
  

• 控制評估（安全與隱私）

• 監控與測量

• 報告

  • SOC 報告

• 持續提高（如風險成熟度模型）

  • 風險成熟度模型 (RMM) 概述了構成可持續、可重複和成熟的企業風險管理 (ERM) 計劃的關鍵指標和活動。
    
  • 流程
    1. 採用基於 ERM 的流程
    2. ERM 流程管理
    3. 風險偏好管理
    4. 根本原因紀律
    5. 發現風險
    6. 績效管理
    7. 業務彈性和可持續性

  參考自RMM 說明

• 風險框架

  • ISO 31000

1.11 理解并应用威胁建模的概念和方法

為啥要放在這?

因為是風險管理的具體方法

• STRIDE
  • 微軟的風險分類工具，具有預定義的類別，不會分析風險的機率及影響範圍
  • 由欺騙、竄改、否認、信息披露、拒絕服務特權提升所組成
• DREAD
  • 損害、可再現性、可利用性、受影響用戶和可發現性
  • 評估風險敞口
• VAST
  • 敏捷型態的威脅建模方式

參考自風險框架

1.12 应用供应链风险管理 (SCRM) 概念

• 與硬件、軟件和服務相關的風險

  • BSIMM (The Building Security In Maturity Mode)
    • 通過量化數據，測量和評估企業的安全性活動，可以幫助企業在產品開發時便規劃、執行並評估其產品安全計劃。

    引用自BSIMM 說明

  • 能力成熟度模型集成（Capability Maturity Model Integration:CMMI）
    • 能力成熟度模型整合是一種改進過程的方法，其目的是協助提升組織的績效。

    參考CMMI - Wiki

• 第三方評估和監控

  • 由獨立第三方所做的評估，例如: SGS、UL、獨立稽核單位

• 最低安全要求

  • 是否符合有效性及組織內部安全規範的要求
  • CC
  • 稽核權

• 服務水平要求

  • SLA、SLM、合約、CMMI、BSIMM

1.13 制定并维护安全意识、教育和培训计划

• 安全意識宣貫與培訓的方法和技術（例如，社會工程、網絡釣魚、安全冠軍、遊戲化）
  • 對內部員工寄發釣魚信件、資安意識遊戲 (例如: 給兩個參考網站，讓員工從裡頭提取相關字眼作為解開檔案的密碼)
  • 意識: 面向大眾
  • 培訓: 專有的技術培養 (有證書)
  • 教育: 存在證書或學位
• 定期內容審查
  • 教學內容要定期更新，確認是有效的
• 方案效果評估
  • 透過平衡計分卡及KPI 確保執行的方案是有效的

參考資料

• WUSON的CISSP課後筆記整理-葉柏毅Alex Yeh
• CISSP學習與上課筆記
• CISSP 筆記 - Erwin
• CISSP 備考筆記
• ISC2 - CISSP考試大綱