Day08_把四阶文件写的跟资治通监一样~你就赢啦XDDD"(拖走)

▉补一下，昨天说的，不知道怎麽评弱点跟威胁分数的话
技服中心 教材下载 共通性规范| https://www.nccst.nat.gov.tw/CommonSpecification?lang=zh
--107年资通系统风险评监参考指引(修订)(V4.0).rar

▉进入今天的正题啦
└第七章、支援
7.1 资源(给钱给人吗?这段我没有听懂，所以。。。放生它)
7.2 能力>该有的技能(专业知识)，如果没有，需要受训(教育训练就是这样来的)
• 资通安全管理者：资安人员(12小时)、资讯人员(3小时)
└上课时数的规定>资通安全责任等级分级办法(通常是说政府机关)
• 职能或证照就是『能力』。
• ISO 27550 系统周期(不过我查到的资料，它是隐私工程相关捏?)
7.3 认知>要让同仁们有同样的认知罗，比如办公室的标语啦，简单来说会是改变大家习惯
(洗脑的过程，举个简单的例子，离开座位，萤幕要锁定，其实很多人没理会这个的呢~)
7.4 沟通>传递讯息(比如当政策调整时，需要大家逐项落实)
• 资安教育训练>管理认知、管理建置、管理稽核、保护计术。
7.5 文件化资讯(四个层次不代表四阶文件，比如组织如果比较简单，政策&程序是可以放一起的。)
• 政策(原则性的东西，举例：可以或不可以用自已的笔电，也是"原则性"的规定。)
• 程序(共通性的管理流程，比如负责的单位，权限，大家一样的部份。)
• 工作指导书(因应部门的操作步骤，比如RD跟QA就不会完全一样~对吧)
• 表单(检查清单)、表格--如何留下实作的证据

└第八章、运作(P"D"CA的D)
8.1 运作规划与控制(依据前面的第四章~第七章，如期、如实的执行。)
8.2 资讯安全风险评监(定期或重大变更时，举例：搬家>重大变更)
8.3 资讯安全风险处理(执行>追踪)
这三个写的很少，但日常执行，几乎都落在这了。