【AICPA美國會計師】ISC重點筆記整理 | S1-ISC準備方式、六大準則介紹、重要考點提示

ISC準備前言

S1主要在介紹各大基本準則的架構及內容。了解這些準則的大鋼，會對後面各章節介紹資訊系統細節內容時，有初步的認知。雖然由AICPA官方公告的考點分布中，此unit並非主要考點，但依據我的實際應考經驗，關於各framework細節的考題還是有它的分量在。所以建議大家還是要認真把每個準則的內容讀熟，才能有把握的應付這部分的考題！

▼AICPA官方公告的ISC考試方向(Becker TW教材和YouTube頻道中也有相關中文解析影片)

下載AICPA官方Blueprint請點此連結👉AICPA官網下載區

▨ 前情提要：此重點筆記是我讀完Becker教材內容後，從寫題目的經驗中整理出來的考點。純為個人讀書心得，且非所有考試範圍詳細內容。較適合作為開始準備前的參考、或最後應試前的總複習。考試準備仍要以Becker教材或AICPA官方公告為準~~

ISC Unit 1重點整理

NIST Frameworks

NIST Frameworks共有三大架構，都是各產業通用。

Cybersecurity Framework(CSF)

• 用來發展一套plain language的控制
• 自願性質
• 五大functions：identify-風險管理、protect-維護access的管控/資安/保持警覺/教育訓練、detect-持續監控和檢測、respond、recover，再下分23個categories和108個subcategories
• 將企業依基礎建設的完整程度分為4個Tiers-Tier 1(partial)、Tier 2(risk-informed)、Tier 3(repeatable)、Tier 4(adaptive)

✏ 考點：各個tier的意義

Privacy Framework

• 架構跟CSF很像，且兩者都是只追求cost-effective & best practice
• 用來保護個資
• 八大functions：CSF的那五個(identify-辨認程序中的隱私風險)、govern-策略/政策/教育訓練/監管…等治理架構、control-process的管理架構、communicate，再下分29個categories和100個subcategories

✏ 考點：某群categories是屬於哪個function、不同function的意義

SP 800-53(Security and Privacy Controls)

• 比前兩個架構更嚴格、對企業而言負擔更大
• 用來保護資訊系統，以達到OMB的Circular A-130和FISMA兩個對系統控制的準則
• 提出三種實施每個控制的方式：common(=inheritable)、system-specific、hybrid

HIPAA

共有3大類safeguards：

• Administrative Safeguards→原則、非實體控制
• Physical Safeguards→實體控制
• Technical Safeguards→自動化控制

✏ 考點：某個控制是為了符合哪個safeguards→要記得有哪三種safeguards

GDPR

歐盟用來保障個資的法案，非常嚴格

PCI DSS

金融機構聯合制定，用來強化支付安全的標準

CIS

• 由SANS Institute支持其運作
• 用來防禦保護網路安全
• 建議而非強迫性質
• 五大principles：align(遵循相關準則)、measurable(明確性)、offense informs defense(確實有防禦作用)、focus、feasible(可行性)
• 最新版本(Version 8)的control共有18個，再下分153個safeguards
• 將企業依規模(由小到大)分為3個Implementation Groups(IGs)-IG1, IG2, IG3

COBIT 2019 Framework

• 由ISACA提出
• governance system的principle共有6個：provide stakeholders value、holistic approach(可以包含多個不同成分)、dynamic governance(隨情況不同而更新)、governance distinct from management(兩者的function不同)、tailored to enterprise needs(依據不同組織做調整)、end-to-end governance system(所有相關流程都應納入考慮)

✏ 考點：不同principle的意思

• 指引企業如何govern(治理單位的事)和manage(Mgt的事) IT
• objectives(共2大類)：
  • governance objectives→EDM
  • management objectives→APO, BAI, DSS, MEA
• components to satisfy objectives(共7個)：
  • Process→實際進行activities
  • Organizational structures→有決策單位
  • Principles, policies, and frameworks→有實施政策的指引
  • Information→有必要的data
  • Culture, ethics, and behavior→tone of the top、風格
  • People, skills, and competencies→做有建設性的決策並適時予以修正
  • Services, infrastructure, and applications→有必要的資源及工具

✏ 考點：某個措施是為了符合哪個objective或components⇒要記得每個objective和components代表的意義

• compliance requirements分三階：low-最低要求、normal-該產業平均等級、high

延伸閱讀：
更多AICPA重點整理筆記全部彙整在👉AICPA分類
出國應考行前準備可以參考這篇👉【AICPA美國會計師】夏威夷考場&旅遊指南
還沒看過的人趕快去看看吧( ˶ˊᵕˋ)੭♡