Security Controls 安全控制
- Security control categories 安全控制類別
- Managerial 管理控制
- 涉及制定和執行安全政策和程序,以管理和保護組織的資產。例如風險評估、資產管理和安全審計。
- Operational 操作控制
- 涉及日常運營活動,以確保安全措施的有效實施。例如員工培訓、變更管理和事件響應計劃。
- Technical 技術控制
- 使用技術手段來保護系統和數據。例如防火牆、加密技術和入侵檢測系統。
- Physical 物理控制
- 旨在保護實體資產和設施的安全。例如門禁系統、監控攝像頭和保安人員。
- Security control functional types 安全控制類別
- Preventive 預防性
- 在攻擊發生前,物理或邏輯地限制未經授權的訪問。如防火牆、ACL。
- Detective 檢測性
- 在攻擊發生期間,識別企圖或成功的入侵過程中的所有紀錄。如 IDS。
- Corrective 修正性
- 在攻擊發生後,回應與修復事件並可能防止其再次發生。如備份與恢復計畫。
- Directive 指導性
- 指導和規範行為,以確保符合安全政策。如安全政策、程序手冊。
- Deterrent 威懾性
- 從心理上阻止入侵。如警告標示。
- Compensating 補償性
- 替代措施。
- Information security roles and responsibilities 資訊安全角色和職責
- Executive Management 執行管理階層
- 執行層級的職位通常負責監督企業資訊安全策略,以確保資訊資產受到保護。
- 如 CISO(首席資訊安全長)、CTO(首席技術長)、CRO(首席風險長)、CSO(首席安全官)等。
- Information System Security Professionals 資訊系統安全專業人員
- 負責組織的安全政策、標準、基準、程序和指南的設計、實施、管理和審查。
- IT 安全經理、IT 風險管理經理、合規經理、IT 安全分析師等。
- Data Owners 資料所有者
- 所有者負責確保在其資訊系統中實施與組織的安全策略一致的適當安全措施,
- 包含確定適當的敏感度或分類級別、確定存取權限。
- Data Custodians 資料保管人
- 在一段時期內對系統/資料庫具有「保管」權(但不一定屬於他們)。
- 通常是網路管理或操作(通常為所有者作業系統的人員)。
- Users 使用者
- 使用者負責使用資源並保持資產的可用性、完整性和機密性。
- 負責遵守安全政策。
- IS Auditors 資訊系統審計師
- 就安全目標的適當性向管理層提供獨立保證
- 確定安全政策、標準、基線、程序和指南是否適當且有效地符合組織的安全目標
- 確定目標和控制是否正在實現
- Information security competencies 資訊安全能力
這似乎只是在描述一位資安人員工作內容,其實跟前面所說資安框架很類似,又重複說了一遍,看看就好。
- 風險評估和測試
- 指定、採購、安裝和設定安全設備和軟體
- 存取控制和使用者權限
- 審計日誌和事件
- 事件回應和報告
- 業務連續性和災難復原
- 安全訓練和教育計劃
- Information security business units
- SOC,Security Operations Center 安全運營中心
- 負責監控和管理組織的安全狀況,及時發現和應對安全事件。
- DevSecOps,Development, security, and operations
- 將安全性集成到軟件開發和運營過程中,確保從開發到部署的每個階段都考慮到安全性。
- CIRT,Cyber incident response team 網絡事件響應小組
- 專門處理網絡安全事件,快速響應和解決安全威脅,並進行事後分析和改進。
留言
留言分享你的想法!
你可能也想看
Google News 追蹤
現代社會跟以前不同了,人人都有一支手機,只要打開就可以獲得各種資訊。過去想要辦卡或是開戶就要跑一趟銀行,然而如今科技快速發展之下,金融App無聲無息地進到你生活中。但同樣的,每一家銀行都有自己的App時,我們又該如何選擇呢?(本文係由國泰世華銀行邀約)
今天我會用不同角度帶大家看這款國泰世華CUB
在當今數位化和資訊化程度越來越高的環境下,企業面臨的資安挑戰也日益嚴峻。資料外洩不僅可能造成重大財務損失,還可能觸犯法律法規,影響企業的聲譽和運營。因此,選擇合適的防毒軟體對於企業來說至關重要。本文將探討企業在選擇防毒軟體時需要考慮的關鍵因素,以及如何避免因資料外洩而觸法的問題。
在現今數位時代,網路安全已成為企業和個人必須面對的首要挑戰。隨著網路犯罪活動的日益猖獗,如何有效地保護敏感資訊並確保網絡環境的安全,成為每個組織和個人不可忽視的重要課題。本文將帶你了解如何利用先進的監控軟體來提升資訊安全,為您提供全面的解決方案。
政府、法令是資訊安全的最後防線,本文從政府及法律層面探討網路安全議題,以及資通安全管理法和個資法的重要性。政府擴大進用資安人才,以及執行資通安全管理法、個資法的相關規定,對維護數位平臺安全有著重要作用。除此之外,文章還強調了民眾的資安素養及企業、政府的連手防禦對抗駭客組織及詐騙集團的重要性。
大數據時代下,Log的多元應用至關重要。Log生成龐大,格式各異,特別金融業需合規。探討Log廣泛應用、資訊安全、IT管理和商業決策。建立Log管理系統核心深入法規,強化IT治理、權限控管。一站式Log管理平台,確保資訊安全合規。
談了許多網路安全的議題,提醒民眾要注意哪些事情,建構哪些網路安全思維,讓我們可以降低踏入詐騙陷阱的風險。但除了民眾本身要不斷學習、提升防詐意識外,是不是還有其他方面的作法呢? 本文就來聊聊在企業端可以做些什麼。
要打造一個密不可破的防護網,企業端就不能夠缺席。
舉幾個例子讓大家知道。
資訊保安對於企業的資訊科技部門是越來越重要,有很多企業己經開始將資訊保安從日常的資訊科技拆分,以避免資訊科技部門因日常繁重的技術支援無法同時兼顧資訊保安的應對。
而資訊保安和IT審計是密不可分的。如果說資訊保安是日常的防御工事,那IT審計就是比起防御更能預先部署的可預視的一環。
過往IT審計可能
現代社會跟以前不同了,人人都有一支手機,只要打開就可以獲得各種資訊。過去想要辦卡或是開戶就要跑一趟銀行,然而如今科技快速發展之下,金融App無聲無息地進到你生活中。但同樣的,每一家銀行都有自己的App時,我們又該如何選擇呢?(本文係由國泰世華銀行邀約)
今天我會用不同角度帶大家看這款國泰世華CUB
在當今數位化和資訊化程度越來越高的環境下,企業面臨的資安挑戰也日益嚴峻。資料外洩不僅可能造成重大財務損失,還可能觸犯法律法規,影響企業的聲譽和運營。因此,選擇合適的防毒軟體對於企業來說至關重要。本文將探討企業在選擇防毒軟體時需要考慮的關鍵因素,以及如何避免因資料外洩而觸法的問題。
在現今數位時代,網路安全已成為企業和個人必須面對的首要挑戰。隨著網路犯罪活動的日益猖獗,如何有效地保護敏感資訊並確保網絡環境的安全,成為每個組織和個人不可忽視的重要課題。本文將帶你了解如何利用先進的監控軟體來提升資訊安全,為您提供全面的解決方案。
政府、法令是資訊安全的最後防線,本文從政府及法律層面探討網路安全議題,以及資通安全管理法和個資法的重要性。政府擴大進用資安人才,以及執行資通安全管理法、個資法的相關規定,對維護數位平臺安全有著重要作用。除此之外,文章還強調了民眾的資安素養及企業、政府的連手防禦對抗駭客組織及詐騙集團的重要性。
大數據時代下,Log的多元應用至關重要。Log生成龐大,格式各異,特別金融業需合規。探討Log廣泛應用、資訊安全、IT管理和商業決策。建立Log管理系統核心深入法規,強化IT治理、權限控管。一站式Log管理平台,確保資訊安全合規。
談了許多網路安全的議題,提醒民眾要注意哪些事情,建構哪些網路安全思維,讓我們可以降低踏入詐騙陷阱的風險。但除了民眾本身要不斷學習、提升防詐意識外,是不是還有其他方面的作法呢? 本文就來聊聊在企業端可以做些什麼。
要打造一個密不可破的防護網,企業端就不能夠缺席。
舉幾個例子讓大家知道。
資訊保安對於企業的資訊科技部門是越來越重要,有很多企業己經開始將資訊保安從日常的資訊科技拆分,以避免資訊科技部門因日常繁重的技術支援無法同時兼顧資訊保安的應對。
而資訊保安和IT審計是密不可分的。如果說資訊保安是日常的防御工事,那IT審計就是比起防御更能預先部署的可預視的一環。
過往IT審計可能