资安稽核篇

本来打算把稽核与风险管理和在一篇的，
後来想想，决定先发一篇稽核的惹。

稽核也是我不熟的领域，
大概就知道稽核通常都需要一些证照认证，
然後也会有一些年资的要求，而且好像都是满硬性规定的。
要入门可能可以从ISO 27001着手吧。
不过实际上稽核需要甚麽样硬实力我就不基础了。

照惯例，每篇文章都会附上第一篇的文章，让大家了解一下这系列文章说明
https://ithelp.ithome.com.tw/articles/10264252

1.为何需要稽核？

无论产业的类型或企业的规模大小如何．组织应该需要了解自身的安全状况，而透过稽核可以了解到组织自身的安全情况，透过稽核可改善或加强组织的内部安全问题。或者是要符合法律规范、条例。

2.甚麽是ISO 27001？

ISO 27001是一套国际认可的资讯安全管理系统规范，可以替公司或组织提供一个资安制度与标准流程。

3.甚麽PDCA

Plan计画-Do执行-Check验证-Act改善

4.资讯安全三要素CIA分别为何？简单描述一下各自的意义？

Confidentiality 机密性、Integrity 完整性、Availability 可用性。
机密性：资源在未授权的情况下，不应该被看到或是泄漏。
完整性：资安不会遭受到未授权的窜改、或是丢失，应该维持资料的正确完整性。
可用性：当该资源被授权需要使用的时候，必须要可以使用。

5.Windows和Linux中的稽核有甚麽不同？

同样作为作业系统，思路上应该大同小异，主要差异在於技术上执行上，作业系统本身导致的差异。例如Windows会利用EventLog储存电脑上的重要纪录，而Linux通常都是使用Log档案替个个不同的服务来保存Log。

6.从资安稽核的角度来看，有甚麽样的法律条例为比较重要的？

一般资料保护规范(GDPR)　－　个资相关
健康保险便利和责任法案 (HIPAA)　－　医疗相关
支付卡产业资料安全标准 (PCI DSS)　－金融相关

7.甚麽是BCP(营运持续计画)？

BCP是企业组织针对可能会面临到无法预期的突发状况或风险，例如地震、风灾，甚至像是这次的COVID-19导致影响公司营运也算。所事先拟定好的解决方针或应对的处理流程，主要目的就是让冲击、影响与损失能够降到最低。

8.甚麽是DR(灾害复原)？

灾害复原就是在发生自然或是人为灾害，例如天灾、设备故障、骇客攻击等等情况发生，导致资讯设备或是系统受到影响後，所拟定应变措施或策略。

9.一个正确的DR(灾害复原)计画，你觉得应该符合甚麽样的要求？

灾害复原不仅仅是强调要将IT资源复原，也必须注意复原的时间，要能尽可能的快速。
而我觉得一个好的计划，应该要至少具备：
A.对於设备故障的定义与判断方法是明确的。
B.灾害发生後应该要联络的部门、外部厂商、或是其他任何该联络的人，资讯都必须事先列清楚。
C.要有对於复原的流程顺序标准。

稽核呀稽核..老实说我没有很大兴趣XD
不过有机会有时间还是会去考ISO 27001，
如果考完有机会，可能会在自己的网站(部落格)分享心得罗。

若有要补充也都欢迎留言