Day06_本部的规范就是没有规范XD"如果听到这句，是要兴奋的举手我来还是原地放生，逃跑呢?XD"

今天没有前言，幽默感本人去见周公，还未回归。

└第六章、规划
6. 规划
6.1 因应风险及机会之行动
6.1-1 一般要求
6.1-2 资讯安全风险评监
6.1-3 资讯安全风险处理
6.2 资讯安全目标及其达成之规划

▉怎麽开始规划呢?
(1)分析>
企业>业务冲击分析(BIA)>非关键业务(会议室管理、采购管理)
关键业务>风险评监>营运持续施选择(营业持续要件)
依照"重要与敏感程度"定义不同作业程序的关键次序与机密等级
在组织内形成营运持续的资安共识
提供管理阶层在订定营运持续性策略和购置支援设备时的参考资料

资通系统分析(以政府机关已有资安等级，私人企业六个构面?)
►参考：行政院资通安全处-资通安全责任等级分级及应办事项说明
https://download.nccst.nat.gov.tw/attachfilehandout/02._%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E8%B2%AC%E4%BB%BB%E7%AD%89%E7%B4%9A%E5%88%86%E7%B4%9A%E5%8F%8A%E6%87%89%E8%BE%A6%E4%BA%8B%E9%A0%85%E8%AA%AA%E6%98%8E_v.7.pdf

参考已经发生过的(借监别人的事件)
举例：应用程序>缺乏设计规范、安全测试不足、未检视程序码

• 风险拥有者>事件发生时应负责的单位，对於风险的接受程度，发生风险的图重程度
• 发生的机率，发生的次数，严重的程度(财务损失?)

(2)风险处理对策>
调整、分摊(备援、资安责任险)、避免(实体的比如禁USB)、保留(风险超过可接受范围但因预算限制:维持现状不恶化)
(3)营运持续计划>
事故管理流程、营运持续管理流程

(4)与附录A控制措施加以比较
适用性声明书
适用/排除(都要声明理由)

▉模拟练习：什麽样的业务(系统)>什麽的风险>风险处理
资讯流程盘点(就大家常看到的流程图)
以人事系统来举例(这个通常大家都有后XDDD"")
►登入(身份检核)>打卡、请假(分成这两个路线之後)
打卡>实体门禁卡或线上刷卡
请假>假别、日期、事由
• 在每一个环节有可能发生的资安问题
○ 举例：在登入时的身份检核，是否可能被盗用

补充|google：业务冲击分析
►参考：中华电信的『资讯安全 营运持续运作管理』
LINK： https://isms.ym.edu.tw/ezfiles/267/1267/img/1168/1030731.pdf
上面这个就写的蛮清析的XD"
今天的笔记蛮废的， 抱歉啊，写的超级混乱，伤眼了。

►真的不知道怎麽开始，可以参考一下何飞鹏社长的『说我所做，写我所说』
LINK： https://feipengho.pixnet.net/blog/post/47858955-%e5%8c%96%e7%b9%81%e7%82%ba%e7%b0%a18%e5%ad%97%e8%a8%a3%ef%bc%9a-%e8%aa%aa%e6%88%91%e6%89%80%e5%81%9a%ef%bc%8c%e5%af%ab%e6%88%91%e6%89%80%e8%aa%aa