精華摘要:CISM Domain1 筆記,深入了解資訊安全治理

CISM考試共分為四個主要的領域或“Domain”,其中Domain 1涵蓋了“資訊安全管理”方面的主題。

整章的大概念對應到CISSP其實就是在講資安的三階目標+GRC(治理,風險管理,符合性)+資產的盤點分類保護,其中有一些在CISSP中比較少提到的是平衡計分卡,RACI矩陣,COBIT,BMIS模型等。

下面是CISM Domain 1的重點:

1.1 資訊安全治理結構:

包括建立、維護和改進資訊安全治理框架,以確保其對組織的價值和目標具有適當的對應關係就是必須保持一致。

講到治理,一定要知道治理的定義。

治理 (Governance) 指的是企業或組織的經營高層所進行的管理作為,目的是創造價值。在資訊安全中,治理是最高階的目標,即保障資訊安全,創造價值以達成企業的使命與願景。

有了治理之後緊接著就要擬定戰略,

戰略圖

戰略是指在一定目標和資源限制下,制定長期的、全面的、統籌的計劃,為實現目標而採取的行動方案。在資訊安全管理方面,戰略是指確定組織的資訊安全目標和方向,並為達成這些目標而採取的行動和策略。簡而言之就是達成目標的一個高階方法。

在資訊安全管理方面,目標是指組織在資訊安全方面所追求的結果。通常由治理層面訂定,以確保資訊安全與組織的價值和目標相關,並為達成這些目標而採取相應的行動和策略。

有了這些目標之後,我們可以開始進一步擬定政策。這些政策將會是我們達成目標的重要工具,因此需要仔細地制定。在制定政策的過程中,我們需要考慮多種因素,如預算、時間、人力等。此外,為了確保政策的執行效果,我們還需要制定相關的準則或是SOP(標準作業流程)等。這些文件將會成為政策實施的重要參考,幫助我們達成目標。

以上就是整體資安三階目標的概念,所以所有資安作為都會對應到組織的價值和目標。

1.2 資訊風險管理

評估和管理組織的資訊資產的風險,並建立和執行相應的風險管理策略和計劃。

因為Domain2 會著重在講風險管理,所以在這邊提到的風險管理比較著重在資產的風險。

所以會提到資產的盤點分類以及保護。

一般來說資訊資產盤點評估程序及方法主要是指針對企業的資訊資產進行盤點,評估其價值、風險和保護需求的程序和方法(好記的方法就是盤點分類保護)。以下是一些常見的程序和方法:

  1. 識別資訊資產:確定企業的所有資訊資產,包括數據、系統、軟件、硬件、設施等。也就是CISSP 提到的八根毛
  2. 評估資訊資產價值:針對所有識別出的資訊資產進行價值評估,確定其對企業業務的重要性和價值,以便進行優先級排序。(通常是由各部門的資料擁有者(Data Owner)來評估)
  3. 評估資訊資產風險:針對所有識別出的資訊資產進行風險評估,評估其可能遭受的威脅、風險和潛在損失。
  4. 確定保護需求:根據資產價值和風險評估結果,確定每個資訊資產的保護需求,包括安全措施、保護級別和控制措施等。
  5. 評估現有保護措施:評估企業現有的資訊安全措施是否足夠保護資訊資產,發現缺陷並提出改進建議。
  6. 規劃保護措施:根據保護需求和現有保護措施的評估結果,制定保護措施計劃,包括技術措施、管理措施和物理措施等。
  7. 建立監控和評估機制:建立資訊安全監控和評估機制,定期監測資訊資產的風險和保護措施的有效性,以便及時發現問題並進行調整。

在寫考題的時候常常遇到資料擁有者(Data Owner)相關的題目,所以在這邊特別解釋一下資料擁有者的定義

資料擁有者指的是對特定資料具有法律上所有權或財產權的人或實體,通常是資料的創造者、收集者或購買者。在企業和組織中,資料擁有者通常是管理者、決策者、部門負責人或業務負責人。他們負責管理和保護企業所擁有的敏感資訊,確保資訊的完整性、可靠性和保密性。

資料擁有者通常需要負責以下幾個方面:

  1. 負責確定資料的價值和重要性:資料擁有者需要確定企業所擁有的資料的價值和重要性,並根據該價值和重要性制定保護措施。
  2. 負責保護資料安全:資料擁有者需要確保資料安全,並制定相應的政策和程序以保護企業的資料,例如訪問控制、身份驗證和加密等。
  3. 負責授權和管理訪問權限:資料擁有者需要確定誰可以訪問企業的敏感資訊,以及哪些人可以進行修改、刪除或分享等操作。
  4. 負責確保合規性:資料擁有者需要確保企業的資料管理和保護措施符合相關的法律和法規,例如GDPR和HIPAA等。
  5. 負責監控資料使用情況:資料擁有者需要定期監測資料的使用情況,並發現和處理不當使用或違反政策的情況。

另外在資產盤點中,通常涉及到幾種不同的角色,這些角色包括:

  1. 資產所有者:資產所有者是指負責管理和擁有企業或組織的特定資產的人或實體。通常情況下,他們負責確定資產價值、評估風險並制定保護措施。
  2. 資產管理人員:資產管理人員是指負責實施資產管理策略和程序的人員。他們負責監控資產的使用情況,確保資產的完整性和可用性。
  3. 安全專家:安全專家是指負責設計、實施和維護企業或組織的安全控制措施的人員。他們負責評估安全風險、提供解決方案和確保企業或組織的資產得到充分的保護。
  4. 系統管理人員:系統管理人員是指負責管理企業或組織的系統和應用程序的人員。他們負責維護系統的可用性和安全性,確保系統能夠運作正常並且沒有安全漏洞。
  5. 資料所有者:資料所有者是指負責管理企業或組織敏感資訊的人員。他們負責確定敏感資訊的價值、評估風險並確保資料得到適當的保護。

資料分類通常被劃分為以下四個類別:

  1. 公開:公開的資料是指沒有保密限制的資料,可以自由地分享、分發和公開。
  2. 內部使用:內部使用的資料是指僅限於組織內部使用的資料,不能被外部人員訪問或使用。
  3. 機密:機密的資料是指非常敏感且需要特別保護的資料,例如個人身份識別資訊、財務信息和戰略計劃等。
  4. 受限制:受限制的資料是指具有某些限制的資料,例如合約條款或法律限制等。這些資料需要遵守相關的限制要求,例如保密期限或使用限制。

透過對資料進行分類,組織可以更好地了解哪些資料需要進行更嚴格的保護和管理,確保敏感資訊不會被未經授權的人員訪問、修改或洩漏。

資訊資產的保護分級通常分為以下四個級別:

  1. 極高(Very High):這是最高的分級,這些資產包含絕對必要的機密資料,一旦泄露或遭受損害,將對組織造成災難性的影響。這些資產通常只能被授權人員訪問,需要最高級別的保護措施。
  2. 高(High):這些資產包含敏感資料,例如個人身份識別信息、金融資料和競爭情報等。這些資產需要適當的保護措施,包括存儲和傳輸加密、訪問控制和監控等。
  3. 中(Medium):這些資產包含一般的內部資料,例如員工個人信息、內部文件和報告等。這些資產需要一定程度的保護,包括訪問控制、身份驗證和審計等。
  4. 低(Low):這些資產包含一般的公開資料,例如公司新聞、廣告和公告等。這些資產需要基本的保護措施,例如防火牆和防病毒軟件等。

資訊資產的保護分級可以幫助企業了解其資產的價值和風險,並制定相應的保護措施。不同的級別需要不同的保護措施,企業需要根據實際情況制定相應的措施,以確保其資產的安全和完整性。

 

1.3 資訊安全管理的角色和責任

確定資訊安全管理角色和責任,以及組織的相應政策和程序。

相關角色描述如下

治理委員會:治理委員會是企業內部的一個高級別組織,通常由企業的高層領導組成,如董事會成員和高階管理人員。治理委員會主要負責制定企業的整體戰略,包括資訊安全戰略。它們確保資訊安全策略與企業的整體目標和戰略保持一致,並監督資訊安全管理計劃的實施。

治理委員會的職責包括:

a. 制定和維護資訊安全政策與策略

b. 確保企業遵循相關的法律、法規和行業標準

c. 監督資訊安全風險評估和管理過程

d. 監控資訊安全管理計劃的執行情況 e. 評估和批准資訊安全預算

  1. 高階管理層:高階管理層,如首席執行官(CEO)、首席資訊官(CIO)和首席資訊安全官(CISO),在資訊安全管理過程中扮演著關鍵角色。他們負責將治理委員會制定的資訊安全戰略轉化為具體的資訊安全計劃和措施,並確保這些計劃和措施得到有效執行。

    高階管理層的職責包括:

    a. 資訊安全戰略的實施和執行

    b. 資源的分配,以確保資訊安全計劃得到足夠的支持

c. 協調企業內部各部門在資訊安全管理上的合作

d. 監督資訊安全項目和活動的進度

e. 與治理委員會定期報告資訊安全狀況和成果

RACI
RACI矩陣

 

 

1.4 資訊安全管理的合規性

了解與資訊安全相關的合規性要求,並確保組織的相應政策和程序符合這些要求。(可以對應到 CISSP 的符合性)

在CISM中有提到的COBIT框架

COBIT(Control Objectives for Information and Related Technologies)是一個由ISACA(信息系統審計與控制協會)開發的全球廣泛應用的資訊技術(IT)治理與管理框架。COBIT 框架旨在幫助組織制定、實施、監控和評估 IT 策略、流程和控制,以支持企業的整體目標和戰略。

在 CISM(Certified Information Security Manager,資訊安全管理師認證)中,COBIT 框架作為一個重要的資訊安全治理和管理工具,有助於確保資訊安全策略與企業的整體目標保持一致。

COBIT 框架的主要特點如下:

  1. 綜合性:COBIT 涵蓋了從 IT 治理到運營管理的各個方面,包括策略規劃、流程實施、績效衡量和風險管理等。
  2. 標準化:COBIT 提供了一套統一的、標準化的 IT 管理流程和控制目標,有助於企業跨部門、跨地區實現一致性和可比性。
  3. 面向業務需求:COBIT 以業務需求為基礎,確保 IT 策略和流程與企業戰略和目標保持一致。
  4. 面向利益相關者:COBIT 著重於滿足企業的各類利益相關者,包括董事會、高層管理人員、客戶、供應商和監管機構等。
  5. 可適應性:COBIT 框架具有很強的靈活性,可根據企業的規模、行業特點和具體需求進行客制化調整。

COBIT 框架的主要組件包括:

  1. COBIT原則:指導企業如何構建和實施有效的 IT 治理和管理體系。
  2. COBIT過程:提供一套完整的、標準化的 IT 管理流程和控制目標,用於實現企業的 IT 治理和管理目標。
  3. COBIT績效指標:用於衡量 IT 管理流程和控制的有效性,以支持持續改進和價值創建。
  4. COBIT成熟度模型:評估企業 IT 治理和管理體系的成熟程度,並提供改進建議。
  5. COBIT實施指南:提供實踐指導,協助企業根據自身需求實施和適應 COBIT 框架。

1.5 資訊安全計劃的開發和實施

建立和實施組織的資訊安全計劃,以管理資訊安全風險,並確保相應的資源和財務支持。

1.6 資訊安全監控和測試

建立和執行資訊安全監控和測試策略和程序,以確保組織的資訊安全措施能夠達到預期的效果。

1.7 資訊安全事件管理

建立和執行組織的資訊安全事件管理策略和程序,以應對和減少資訊安全事件對組織的影響。

1.8 資訊安全的改進

建立和執行改進資訊安全的策略和程序,以確保組織的資訊安全持續改進。

分層防禦

預防性

身分認證

授權

加密

防火牆

資料標記處理跟保留

管理

物理安全

入侵防護

病毒掃描

人員安全

意識與培訓

遏止

授權

數據隱私

防火牆

網路分段

物理安全

檢測

監控

衡量指標

審計 日記記錄

蜜罐

入侵檢測

病毒檢測

反應

事故響應

政策程序變更

其他安全機制

更好的控制措施

證據收集

日誌記錄

不可否認信

取證

恢復還原

備份還原

故障轉移

BCP 跟 DR

政策

治理工具

憲法

標準

管理工具

法律

控制

安全組成架構的部分

強制執行

發佈留言