在了解怎麼保護之前必須要知道什麼是資產。

這邊就要提到Bruce老師講的經典孔雀八根毛

(資料來源)

口訣：盤點分類保護

在盤點之前必須要知道要保護什麼，其中資料有分兩種： 個人資料跟企業自有資料 孔雀本身如何保護、Owner、資料

• 執行順序

  1. 盤點資產 Inventory : 盤點公司內部資產，要從種類以及重要性來看、還必須指定Owner(資產的Owner責任重大)

     1. 可從產銷人發財的角度來看，生產>配方(營業秘密)、行銷銷售>型錄(版權、商標)、人事招募(個資、隱私權、 去識別化)、研發(專利、營業秘密)、財務(機密性)
     2. 當責：身為owner須承擔保護資產的責任。
     3. 智慧財產權：

        • 專利 patent：保護發明者的知識產權

          • 從申請日起算20年，需要被公開，屬於交換條件 (專利申請國，國家用法律保障你獨佔)
          • 專利期滿 -> 人類共同資產

        • 版權 Copyright：版權法保護原創作品的創作者，防止創作者的作品遭未經授權的複製。用一個簡單的方式來說明一下

          想像一下你是一個傑出的烘焙師傅，你創造了一種特別的麵包，全世界都還沒有人做過。你把配方記錄下來，並且決定每天早上在你的小烘焙店裡販售這種麵包。但是，你發現鄰居也開始在他們的店裡賣一模一樣的麵包，還聲稱是他們的創新產品。那你會有多生氣呢？

          版權其實就像是那份麵包的「配方」。只要你創作了一個原創的作品，像是一首歌、一本書、一幅畫，或是一段程式碼，你就會自動擁有該作品的版權。這表示你擁有控制這個作品被如何使用的權利，包括複製、發行、公開演出或展示，以及製作衍生作品等。

          當別人想要使用你的作品時，他們需要先取得你的許可，這通常會透過版權許可或授權的方式。如果沒有得到你的許可，他們就可能侵犯你的版權。

          不過，也要注意的是，版權並不會永遠存在。大部分的情況下，版權會在作者過世後的一段時間內終止。這個時間長度會根據不同的國家法律而有所不同。

          總的來說，版權就像是一種保護創作者的力量。所以，下次當你聽到一首好歌，或是看到一幅美麗的畫作時，你就知道背後有一個版權在默默的守護著創作者的權益了！

        • 創作者,版權歸作品的創作者所有

          • 被保護時間,第一作者去世後的 70 年

        • 受雇用而創作的作品

          • 版權的期間則是從作品被創作或出版的那一年起算，長達95年或120年，以較短者為準

        • 相關法案

          • 數字千年版版權法 DMCA
          • 防止複製數字介質 (數位媒體)
          • 若罪犯使用ISP線路嘗試違反版權活動時,ISP要負責

        • 商標 Trademark：主要目的用來識別主要企業或產品 Ex. 麥當勞

          • 商標批准後10年 到期可以申請延長 無限次數
          • 圖案、文字、聲音也算
          • CISSP® <–文字也是
          • 7-11 <– 便利商店音樂
          • 有登記 -> ®
          • 未登記 -> TM 表示

        • 營業秘密，或者你也可以稱之為商業秘密：是一種企業或個人對自己獨有的、對外未公開的資訊進行保護的方式。營業秘密可能包括各種不同的資訊，例如製程技術、商業策略、客戶名單等等，只要是對於企業有利，且並未公開的資訊，都可能被視為營業秘密。 營業秘密的保護很重要，因為如果這些信息被競爭對手獲得，可能會威脅到企業的競爭優勢。因此，企業通常會採取各種措施來保護其營業秘密，包括簽訂保密協議、設立內部保密制度、進行專利申請等。

          • 舉個簡單的例子，你知道可口可樂的配方嗎？這就是一個營業秘密的例子。可口可樂公司將其飲料的配方作為營業秘密，這樣其他公司就無法製造出與可口可樂完全相同的飲料。這就是營業秘密對於企業的重要性。

  2. 分類 Classification ：依照商業價值（有意義也可以算）

     分類方法有兩種：軍方 , 商業

     根據機密性來分類，人員背景調查會核定一個機密等級(Security Clearance)

     • 軍方(Military)

       1. 機密（Top Secret）：這是最高等級的機密。如果這些資訊落入錯誤的手中，可能會對國家安全產生極大的影響。
       2. 秘密（Secret）：這是次一等級的機密。這些資訊的洩露可能會對國家安全產生嚴重的影響。
       3. 機密（Confidential）：這是最低等級的機密。這些資訊的洩露可能會對國家安全產生一定的影響。
       4. 未分類（Unclassified）：這種資訊並未被認為是機密，可以公開分享和討論。

     • 商業(Business)

       1. 機密(Confidential) / 私人(Private)：用於極度敏感只在內部使用的數據，私人是用於個人資料

       2. 敏感(Sensitive) ：一但洩漏會對公司帶來負面的影響

       3. 公開(Public)：不敏感的數據

根據資產的業務價值(Business Value)來分類

1. 保護 Protection：控制措施、NIST RMF、I+3A（Identity Management +3A)

懶人包 = 框架(Framework) > NIST RMF   同類型的包含 ISO 27001

因為是框架(懶人包) 僅是基準而已 所以不含風險評鑑。

(資料來源)

NIST RMF，全名是美國國家標準與技術研究院的風險管理框架（National Institute of Standards and Technology’s Risk Management Framework），是一套為政府機構和企業提供信息系統風險管理指導的方法論。

你可以將NIST RMF看作是一套”配方”或者說是一條”路線圖”，它告訴我們如何確保信息系統的安全。這套框架包含了六個步驟，我們可以用一個簡單的例子來解釋：

1. 分類系統（Categorize System）：首先，我們需要確定我們的”寶藏”是什麼。這裡的”寶藏”就是我們需要保護的資訊或系統。
2. 選擇控制（Select Controls）：接著，我們需要選擇一個”保險箱”來保護我們的”寶藏”。這裡的”保險箱”就是我們選擇的安全控制措施，例如密碼保護、防火牆等。
3. 實施控制（Implement Controls）：然後，我們需要將”寶藏”放入”保險箱”中，並設置好保護措施。這裡的設置保護措施就是實施我們選擇的安全控制。
4. 評估控制（Assess Controls）：接下來，我們需要檢查”保險箱”是否足夠堅固，是否能夠有效保護我們的”寶藏”。這裡的檢查就是評估我們實施的安全控制是否有效。
5. 授權操作（Authorize Operation）：如果我們確認”保險箱”足夠堅固，那麼我們就可以放心地將”寶藏”放在裡面。這裡的放心就是授權系統的操作。
6. 監控控制（Monitor Controls）：最後，我們需要定期檢查”保險箱”，確保它一直保持堅固。這裡的定期檢查就是監控和評估我們的安全控制，並在需要時進行調整。

這就是NIST RMF的大致內容。它的目標是幫助我們建立和維護一個安全且能夠管理風險的信息系統。透過這六個步驟的循環進行，我們可以持續評估和改進我們的安全措施，以應對持續變化的安全威脅和風險。

上一篇：CISSP心得筆記-6(淺談符合性Compliance)

下一篇：心得 8-(淺談資料保護)