Security Controls 安全控制

• Security control categories 安全控制類別
• • Managerial 管理控制
  • • 涉及制定和執行安全政策和程序，以管理和保護組織的資產。例如風險評估、資產管理和安全審計。
  • Operational 操作控制
  • • 涉及日常運營活動，以確保安全措施的有效實施。例如員工培訓、變更管理和事件響應計劃。
  • Technical 技術控制
  • • 使用技術手段來保護系統和數據。例如防火牆、加密技術和入侵檢測系統。
  • Physical 物理控制
  • • 旨在保護實體資產和設施的安全。例如門禁系統、監控攝像頭和保安人員。

• Security control functional types 安全控制類別
• • Preventive 預防性
  • • 在攻擊發生前，物理或邏輯地限制未經授權的訪問。如防火牆、ACL。
  • Detective 檢測性
  • • 在攻擊發生期間，識別企圖或成功的入侵過程中的所有紀錄。如 IDS。
  • Corrective 修正性
  • • 在攻擊發生後，回應與修復事件並可能防止其再次發生。如備份與恢復計畫。
  • Directive 指導性
  • • 指導和規範行為，以確保符合安全政策。如安全政策、程序手冊。
  • Deterrent 威懾性
  • • 從心理上阻止入侵。如警告標示。
  • Compensating 補償性
  • • 替代措施。

• Information security roles and responsibilities 資訊安全角色和職責
• • Executive Management 執行管理階層
  • • 執行層級的職位通常負責監督企業資訊安全策略，以確保資訊資產受到保護。
    • 如 CISO（首席資訊安全長）、CTO（首席技術長）、CRO（首席風險長）、CSO（首席安全官）等。
  • Information System Security Professionals 資訊系統安全專業人員
  • • 負責組織的安全政策、標準、基準、程序和指南的設計、實施、管理和審查。
    • IT 安全經理、IT 風險管理經理、合規經理、IT 安全分析師等。
  • Data Owners 資料所有者
  • • 所有者負責確保在其資訊系統中實施與組織的安全策略一致的適當安全措施，
    • 包含確定適當的敏感度或分類級別、確定存取權限。
  • Data Custodians 資料保管人
  • • 在一段時期內對系統/資料庫具有「保管」權（但不一定屬於他們）。
    • 通常是網路管理或操作（通常為所有者作業系統的人員）。
  • Users 使用者
  • • 使用者負責使用資源並保持資產的可用性、完整性和機密性。
    • 負責遵守安全政策。
  • IS Auditors 資訊系統審計師
  • • 就安全目標的適當性向管理層提供獨立保證
    • 確定安全政策、標準、基線、程序和指南是否適當且有效地符合組織的安全目標
    • 確定目標和控制是否正在實現

• Information security competencies 資訊安全能力

這似乎只是在描述一位資安人員工作內容，其實跟前面所說資安框架很類似，又重複說了一遍，看看就好。

• • 風險評估和測試
  • 指定、採購、安裝和設定安全設備和軟體
  • 存取控制和使用者權限
  • 審計日誌和事件
  • 事件回應和報告
  • 業務連續性和災難復原
  • 安全訓練和教育計劃

• Information security business units
• • SOC，Security Operations Center 安全運營中心
  • • 負責監控和管理組織的安全狀況，及時發現和應對安全事件。
  • DevSecOps，Development, security, and operations
  • • 將安全性集成到軟件開發和運營過程中，確保從開發到部署的每個階段都考慮到安全性。
  • CIRT，Cyber incident response team 網絡事件響應小組
  • • 專門處理網絡安全事件，快速響應和解決安全威脅，並進行事後分析和改進。