CISSP基礎概念

到目前為止, 大家應該要懂的主題:

  1. 資訊安全的定義及定位(幫公司作生意賺錢/商業思維)!
  2. 風險管理的基本流程
  3. 業務持續的概念: 事前預防, 事中回應, 事後復原
  4. 資安治理: 安全功能, CISO的角色及定位
  5. 資訊系統的定義!
  6. 資產保護的基本概念: 盤點/分類/保護
  7. 資訊系統的保護: RMF!!!
  8. 安全管制措施: 分類方式、常用/重要的管制措施、常用的框架(懒人包)
  9. 生命週期: 資訊系統, 資料, 人員等
  10. 資料殘留及清洗/消毒等議題
  11. 工程的定義: 架構與生命週期(處處都安全/時時都安全)
  12. 保證(Assurance)的觀念: 系統本身可信任, 客戶有信心, 第三方有加持(背書)
  13. 保證的實例: ISO 27001(資安制度), CC(資安產品), CMMI(工程/採購/服務能力), 及CISSP認證考試(資安人員)
  14. 密碼學: 能達成的四大資安目標及四大密碼學技術, 金鑰保密及開放設計原則, 對稱及非對稱的比較/優缺點, 金鑰交換技術, 數位憑證管理架構(PKI), 密碼學應用(密碼之儲存, 身份驗證, 無線網路, VPN等)