Day 27
越测越差，整个人觉得好焦虑接近 4/8 了
#资讯资产清册是一份清单包含硬件、软件、资料、网络。
#资讯资产分级之主要目的：协助组织定义资讯资产对组织的重要性。
#适切保护资产的几种方式：
．了解和控制资讯资产的存取权限并限制未经授权的存取。
．监视和追踪资讯资产的使用情况以便及时检测和回应安全事件。
．实施适当的安全措施，例如加密、防火墙、入侵侦测等，以保护资
讯资产免受攻击和破坏。
．定期进行风险评估和漏洞扫描及时补救和强化资讯安全防护。
#资讯资产管理角色：
．权责单位(Owner)–由组织指定的资讯资产拥有单位。
．保管单位(Keeper)–由组织指定的资讯资产保管单位。
．使用单位(User)–由组织授权的资讯资产使用单位。
#资讯分级的依据：
．依法律要求
．依资讯的价值
．依资讯的重要性
＃个人资料保护法：
．立法目的：避免人格权受侵害、促进个人资料合理利用。
．个人资料保护及 GDPR 均强调个人拥有资料删除权。
#GDPR：主要目标为取回个人对个资的控制权
．为欧盟一般资料保护法规。
．任何使用与欧盟公民相关资讯的公司都应评估遵循。
．要求持有个人可识别资讯的组织，需实施适切的安全控制措施，以
防止个人资料遗失。
#智慧财产权
．商标权是使用文字、标语和标志的权利，注册商标后，注册人即享
有商标专用权。
．专利权是对发明授予的权利，对专利权人之发明予以保护。
．营业秘密是指不为公众所知悉，能为权利人带来经济利益，具有实
用性并对权利人采取保密措施的技术资讯和经营资讯。
#营运持续管理：个旨在确保组织在面对不可预期的灾难、中断或紧
急情况时，可以持续运营并恢复正常运作的策略和程序。
．确保组织的利益最大化
．确保人员的成本最小化
．确保组织在发生重大灾害时，业务持续不中断
#营运冲击分析应考虑项目：
． 复原至最低营运程度所需之员工、技能、设施及服务所需之时间
．最低营运程度所需之员工、技能、设施及服务
．完全复原至原服务水准所需之员工、技能、设施及服务所需之时间
#风险管理：
．风险识别
．风险分析
．风险评估–风险辨识、风险分析、风险评量
．风险计划
．风险处理–风险规避、风险降低、风险转移、风险保留。
＊风险改善计画应该依照预订的期限执行，并且应该在改善计画完
成后进行风险再评估，以确保风险是否已经降低到接受的水平。
．残余风险再评鉴
#资安事故：指已经造成服务或营运中断之资安事件（Security
Event），也就是已经发生了实际的影响。
#资安事件：指已经发生的资安相关事件，不一定会造成实际的影响
，而是可能会导致未来的风险。遇到资安事件时应该要及时处理。
#备份：
．完整备份（Full Backup）–就是完整备份。
．差异备份（Differential Backup）–完整备份 + 差别的部份备份。
．增量备份–前一次备份 + 差异的部份备份。
#RTO, RPO, MTPD
．RTO 时间越长，代表可容忍系统无法使用时间越长。
．RPO 的时间点要求越远，代表可允许之资料备份周期越长。
．MTPD 时间越长，代表可容忍系统无法使用时间越长。
#磁盘阵列：RAID 0 不具容错功能。
#资讯伦理四大议题（PAPA）
．隐私权(Privacy)–任意公开或贩卖私人资料。
．精确性(Accuracy)–不正确的资讯或病毒在网络传播。
．财产权(Property)–任意传播或下载未经授权之数位资产。
．存取权(Accessibility)–资讯安全不足，私人资料遭到非法存取。