ISC準備前言
S1主要在介紹各大基本準則的架構及內容。了解這些準則的大鋼,會對後面各章節介紹資訊系統細節內容時,有初步的認知。雖然由AICPA官方公告的考點分布中,此unit並非主要考點,但依據我的實際應考經驗,關於各framework細節的考題還是有它的分量在。所以建議大家還是要認真把每個準則的內容讀熟,才能有把握的應付這部分的考題!
▼AICPA官方公告的ISC考試方向(Becker TW教材和YouTube頻道中也有相關中文解析影片)
下載AICPA官方Blueprint請點此連結👉AICPA官網下載區
▨ 前情提要:此重點筆記是我讀完Becker教材內容後,從寫題目的經驗中整理出來的考點。純為個人讀書心得,且非所有考試範圍詳細內容。較適合作為開始準備前的參考、或最後應試前的總複習。考試準備仍要以Becker教材或AICPA官方公告為準~~
ISC Unit 1重點整理
NIST Frameworks
NIST Frameworks共有三大架構,都是各產業通用。
Cybersecurity Framework(CSF)
- 用來發展一套plain language的控制
- 自願性質
- 五大functions:identify-風險管理、protect-維護access的管控/資安/保持警覺/教育訓練、detect-持續監控和檢測、respond、recover,再下分23個categories和108個subcategories
- 將企業依基礎建設的完整程度分為4個Tiers-Tier 1(partial)、Tier 2(risk-informed)、Tier 3(repeatable)、Tier 4(adaptive)
✏ 考點:各個tier的意義
Privacy Framework
- 架構跟CSF很像,且兩者都是只追求cost-effective & best practice
- 用來保護個資
- 八大functions:CSF的那五個(identify-辨認程序中的隱私風險)、govern-策略/政策/教育訓練/監管…等治理架構、control-process的管理架構、communicate,再下分29個categories和100個subcategories
✏ 考點:某群categories是屬於哪個function、不同function的意義
SP 800-53(Security and Privacy Controls)
- 比前兩個架構更嚴格、對企業而言負擔更大
- 用來保護資訊系統,以達到OMB的Circular A-130和FISMA兩個對系統控制的準則
- 提出三種實施每個控制的方式:common(=inheritable)、system-specific、hybrid
HIPAA
共有3大類safeguards:
- Administrative Safeguards→原則、非實體控制
- Physical Safeguards→實體控制
- Technical Safeguards→自動化控制
✏ 考點:某個控制是為了符合哪個safeguards→要記得有哪三種safeguards
GDPR
歐盟用來保障個資的法案,非常嚴格
PCI DSS
金融機構聯合制定,用來強化支付安全的標準
CIS
- 由SANS Institute支持其運作
- 用來防禦保護網路安全
- 建議而非強迫性質
- 五大principles:align(遵循相關準則)、measurable(明確性)、offense informs defense(確實有防禦作用)、focus、feasible(可行性)
- 最新版本(Version 8)的control共有18個,再下分153個safeguards
- 將企業依規模(由小到大)分為3個Implementation Groups(IGs)-IG1, IG2, IG3
COBIT 2019 Framework
- 由ISACA提出
- governance system的principle共有6個:provide stakeholders value、holistic approach(可以包含多個不同成分)、dynamic governance(隨情況不同而更新)、governance distinct from management(兩者的function不同)、tailored to enterprise needs(依據不同組織做調整)、end-to-end governance system(所有相關流程都應納入考慮)
✏ 考點:不同principle的意思
- 指引企業如何govern(治理單位的事)和manage(Mgt的事) IT
- objectives(共2大類):
- governance objectives→EDM
- management objectives→APO, BAI, DSS, MEA
- components to satisfy objectives(共7個):
- Process→實際進行activities
- Organizational structures→有決策單位
- Principles, policies, and frameworks→有實施政策的指引
- Information→有必要的data
- Culture, ethics, and behavior→tone of the top、風格
- People, skills, and competencies→做有建設性的決策並適時予以修正
- Services, infrastructure, and applications→有必要的資源及工具
✏ 考點:某個措施是為了符合哪個objective或components⇒要記得每個objective和components代表的意義
- compliance requirements分三階:low-最低要求、normal-該產業平均等級、high
延伸閱讀:
更多AICPA重點整理筆記全部彙整在👉AICPA分類
出國應考行前準備可以參考這篇👉【AICPA美國會計師】夏威夷考場&旅遊指南
還沒看過的人趕快去看看吧( ˶ˊᵕˋ)੭♡
如果你覺得這篇文章對你有幫助,歡迎
關注我的IG: @happyrainydayyyyy,我將發布更多工作、生活、及旅遊分享!
【訂閱文章】免費及時收看所有新發布的內容🥨
分享給身邊需要的人,讓文章發揮更大價值,也是給我最好的鼓勵❤️