Day 08:
ACW 提供的线上课程除了资安长的演讲片段都看过了，
不太确定需不需要也看看？先留着。
今天不贴笔记写一点个人感觉，
看完入门课程觉得对资讯安全有些初浅的理解。
资讯安全是管理和技术的结合
根据统计资讯安威胁有 80% 是来自于内部人员
对没那么多骇客！所以订定安全的游戏规则依照规则执行很重要。
目前关于资讯安全系统的国际标准是 ISO 27001
27000 系列都是资讯安全相关的 27001 制定了基本原则
其他号码有实做的规则、特定行业（金融）、设备位置（云端）、
资料传输（网络）、风险控制…等都有更进阶的规则。
在其他课程会一直看到 27001 这个词，
以 27001 为骨架去延伸出其他部份
就可以覆蓋整个资安的范围
法规面内含：资讯安全管理法（及子法）、个人资料保护法
公司面：公司政策…
然后在实际执行中会一直看到 Plan, Do, Check, Actaion
这个流程不管是资讯安全管理系统、风险管理中都持续
出现著照着这个规则持续的强化资安管理系统与风险的
处理让整个系统愈来愈好…
资安里面会持续重复的看到 CIA ：机密性(C)、完整性(I)、可用性(A)
这三个词，它们强调资料要被保护、要完整、要可以使用。
如果说 27001 是骨架那相关保护技术就是它的内容物必须
透过那些密码学、OWASP、云端、防火墙…相关技术去达到
系统想守住的安全。