讀書觀念

所謂的觀念是指腦中的想法，已經釐清的觀念才會變成知識。我們腦中的每一個觀念或想法都會由【名詞】展現，但有的觀念是【簡單的觀念】（單點知識），有的則是【複雜的觀念】（由好幾個簡單的觀念組成複合型的觀念）。將多個名詞所代表的觀念集合起來，就會形成一個觀念【架構】。所謂的架構就是【主要元素及其關係】。因此，所謂的釐清【觀念】就是要：了解【名詞定義】了解【觀念架構】— 換句話說，就是了解主要的觀念以及它們之間的關係。

CISSP 筆記撰寫設計邏輯

Domain 1. Security and Risk Management：CIA+GRC(Governance, Risk Management, Compliance)

Domain 2. Asset Security：盤點、分類、保護

Domain 3. Security Architecture and Engineering：時時都安全(生命週期、狀態)、處處都安全(架構)

Domain 4. Communication and Network Security：處處都安全(ISO OSI七層協定與TCP/IP)

Domain 5. Identity and Access Management(IAM)：情境、內涵(I+3A)、零信任

Domain 6. Security Assessment and Testing：查驗、訪談、測試(滲透測試、軟體測試)

Domain 7. Security Operations：日常作業、持續改善

Domain 8. Software Development Security：時時都安全、處處都安全

D1、2、5、6、7管理類

D3、4、8技術類

資訊安全WISE Model

資訊安全的定義

資訊安全是一門透過安全管制措施, 保護資產免於受到危害, 以達到機密性、完整性、可用性的目標, 進而支持組織業務、創造價值、實現組織使命與願景的一門學問。

Pre資訊安全的三階目標

創造價值、實現組織使命與願景
支持組織業務
機密性、完整性、可用性

資訊安全的達標方法

戰略管理
風險管理
問題解決
將安全融入組織的各個業務流程
產品與服務的持續交付
盤點、分類、保護

WISE Model 的【起手式】明確地指出了【資安的定義】、【三階目標】及【達標方法】，並透過【心智圖】來呈現資安的範疇、核心概念及流程，是一個有理論基礎、邏輯嚴謹、結構完整的資安知識體系。起手式的三個階層的議題又可總結成T1: 資安治理、T2: 業務持續、T3: 資產安全。學完起手式後即可改用心智圖來建講更完整的資安觀念架構。

資安的三階目標
- 第一階(T1)：創造價值、實現組織的使命及願景
- 第二階(T2)：支持組織業務
- 第三階(T3)：機密性、完整性、可用性，透過盤點、分類及保護。
三階目標之達標方法及比喻
- 三輪車：達成一階目標的方法包含戰略管理、風險管理及問題解決。
- 腳踏車：達成二階目標的方法包含將安全融入組織的各個業務流程(尤其是人事、採購、研發、併購)，以及支持組織產品及法服務的持續交付(ISO 22301)。
- 獨輪車：達成三階目標的方法是盤點-分類-保護。