此篇筆記我們來探討一下安全控制框架: 

安全管理框架是一種制定和實施安全政策和措施的系統化方法，旨在保護組織的資產，包括數據、人員、設施和聲譽等。它提供了一個結構化的方法來管理和維護組織的安全，並確保安全措施與組織目標相一致。

安全管理框架通常由一組相關的政策、程序和措施組成，旨在確保組織的安全總體能力。這些框架可以根據組織的規模、性質、風險和需求等因素進行定制，以確保其最大程度地符合組織的需求。

安全管理框架的實施通常包括以下幾個步驟：評估風險、制定政策和程序、執行措施、監督和審核措施、進行持續改進和修訂。通過這些步驟，組織可以不斷地加強其安全總體能力，以應對不斷變化的安全威脅和風險。

CISSP 中有提到四大類的安全控制框架分別是HIPPA, (ISC)2,NIST,ISO27002四種

1.Security Safeguards(HIPAA):

Security safeguards 是由 Health Insurance Portability and Accountability Act (HIPAA) 定義的管理、物理和技術措施，旨在保護電子受保護健康資訊 (ePHI) 的機密性、完整性和可用性。這些措施旨在防止未經授權的存取、使用、披露、修改或破壞 ePHI。主要分成以下3類

a. 行政類(Administrative):又稱管理類

b. 技術類(Technical):又稱邏輯類

c. 實體類(Physical)

這些保障措施可以包括：

1. 身份驗證和訪問控制：這些措施用于確認用戶的身份，限制其訪問信息資產的權限。

2. 加密：加密用于將敏感的信息資產轉換為不易理解的形式，以保護其機密性。

3. 防火牆和入侵檢測系統：防火牆和入侵檢測系統用于監視網絡流量和識別潛在的威脅和攻擊。

4. 安全培訓和意識：這些措施用于提高員工對信息安全風險的認識和教育，以減少人為錯誤和不當行為帶來的損失。

5. 系統更新和漏洞管理：這些措施用于定期更新系統，修補漏洞，減少潛在的安全漏洞。

6. 監控和審計：這些措施用于監視信息系統，追蹤安全事件，並記錄安全活動以供審計和調查。

2.(ISC)2以時間序列來看:7個存取控制類型：

1. 事前
   1. 指示類(Directive):行政管理類,管理意圖的表現,重點是影響行為
   2. 嚇阻類(Deterren):告知你後果,不要這樣做,重點是打消動機(Ex: 警告標示)
   3. 預防措施(Preventive):重點是提高門檻 ex: 門禁管制
2. 事中
   1. 偵測措施(Detective):ing的概念 ex: 一直測密碼、監視器
   2. 矯正措施(Corrective):偵測到問題發Alert後要進行矯正 ex: 保全來檢查
3. 事後
   1. 復原措施(Recovery):已被破壞後進行復原
4. 最後補上
   1. 補償措施(Compensating):現行的不好用，所以要補償修改

3.ISO 27002(ISO 27001 Annex A):分為14大類共114個控制措施

ISO 27002 是一項國際標準，定義了一套資訊安全管理系統 (ISMS) 的指南，旨在幫助組織確保資訊安全。它提供了一個關於資訊安全風險管理和實施安全措施的框架，並涵蓋了資訊安全管理、審核和評估、訓練和管理、以及技術和程序等方面的指南。 ISO 27002 是一個通用的標準，適用於任何類型和大小的組織。

(資料來源)

4.NIST RMF:分為20個Families

NIST RMF (National Institute of Standards and Technology Risk Management Framework) 是由美國國家標準與技術研究所 (NIST) 所提出的一種風險管理框架，用於評估和管理風險，以保護組織的資訊系統和數據。NIST RMF 提供了一個系統和科學的方法來評估和管理風險，並確保組織的資訊系統符合法律、法規和政策的要求。

(資料來源)

上一篇：CISSP心得筆記-3(淺談治理與管理)

下一篇：CISSP心得筆記-5(淺談風險管理)