CISM · Certified Information Security Manager · 終極備考 2026
CISM Study Notes
2026 · Bilingual Edition
2026 · Bilingual Edition
8份官方 Handout 精華整合,175個考點全覆蓋,專為配合 QA&E 刷題設計。
150考試題目
4h考試時間
450及格 /800
4Domains
22章節
175考點覆蓋
Domain Weightings & Key Topics
四大比重與考點
| Domain | Name | Weight | ~Questions | Key Topics |
|---|---|---|---|---|
| D1 | Information Security Governance | 17% | ~25題 | 治理框架、Governance vs Management、CISO匯報、Policy層級、KGI/KPI/KRI |
| D2 | Information Risk Management | 20% | ~30題 | ALE/SLE/ARO公式、4T策略、控制分類、第三方風險、Risk Appetite vs Tolerance |
| D3 | Information Security Program | 33% | ~50題 | 資產分類、ISO 27001/NIST CSF框架、安全計劃管理、控制設計、Security Metrics、培訓設計、供應商管理 |
| D4 | Incident Management | 30% | ~45題 | BIA/BCP/DRP、測試類型(Parallel/Tabletop)、NIST六步驟、Containment優先、取證、GDPR/HIPAA通報、PIR四要素 |
時間分配建議: D3 > D4 > D2 > D1 · D3+D4合計63%超過一半!
Exam Day Tactics
考場實戰技巧
| Technique | Description |
|---|---|
| 沒有扣分 | 所有題目必須作答,不確定也要選,不能空白 |
| 每題 1.6 分鐘 | 遇難題先標記跳過,完成後再回頭 |
| 先讀關鍵詞 | FIRST / BEST / PRIMARILY / EXCEPT / LEAST — 決定答案方向 |
| 腦部傾倒 | 進場後在白板寫下:ALE公式、NIST六步、MTD≥RTO+WRT |
| 信第一直覺 | 除非發現明顯誤讀,否則不要輕易改答案 |
| 兩相似選項 | 選更偏業務導向、管理層視角的那個 |
| 工作經驗 | 需5年IS工作經驗,其中3年在安全管理崗位,涵蓋至少3個Domain |
CISM Exam Mindset — 10 Principles
答題十大心法
- 管理者視角 — 永遠以資訊安全管理者(ISM)身份思考,而非技術人員。選偏管理、策略、業務的答案。
- Business Alignment 最高原則 — 安全的存在是為了支援業務,而非阻礙業務。所有決策都要考慮業務影響。
- 先 Assess,後 Act — 遇到新情況、新系統、新問題,第一步永遠是評估(Assessment/BIA/Gap Analysis),而非立即行動。
- Senior Management Support 是基礎 — 高層管理承諾是所有安全計劃成功的最大前提。安全計劃失敗最常見原因 = 缺乏高層支持。
- Human 是最大弱點 — 員工培訓和安全意識比技術控制更根本。人為錯誤是最常見的安全失效原因。
- Third-Party 風險責任不可轉移 — 外包後責任仍在組織,需持續監控,合約必須包含安全要求和審計權。
- BIA 是 BCP/DRP 的基礎 — 沒有 BIA,不能正確確定 RTO、RPO 和優先次序。BIA → BCP → DRP。
- 合規 ≠ 安全 — 合規係最低標準,唔係安全目標。可以合規但不安全。Risk-based approach 優於 Compliance-based。
- Post-Incident Review = 改善,唔係問責 — Blameless Culture,目的係 Lessons Learned,唔係懲罰。
- 關鍵詞決定答案方向 — BEST / FIRST / PRIMARILY / EXCEPT / LEAST 完全改變答案,先識別再作答。
ISACA Thinking vs Technical Thinking
ISACA 思維 vs 技術思維
| Scenario | ❌ 技術思維(錯) | ✅ ISACA管理思維(正確) |
|---|---|---|
| 發現新漏洞 | 立即打補丁 | 先評估業務影響和風險,制定修補優先次序 |
| 員工違反安全政策 | 立即技術封鎖 | 了解情況,按程序處理,向管理層匯報 |
| 管理層要求繞過控制 | 直接拒絕 | 評估風險,提供替代方案,文件記錄,獲取書面批准 |
| 採購新系統 | 評估技術規格 | 進行安全評估,確保合同包含安全條款 |
| 發生安全事故 | 立即修復技術問題 | Containment → 評估影響 → 通知管理層 → 按 IRP 處理 |
| 新業務拓展 | 評估 IT 需求 | 進行 BIA 和風險評估,更新安全計劃 |
| 安全預算被削減 | 接受並減少控制 | 向管理層呈現風險,文件記錄,獲取正式批准接受殘餘風險 |
Last-Minute Exam Reminders
考場衝刺提醒
- 考試前一晚睡足 7-8 小時,不要臨時抱佛腳
- 帶兩份有效身份證明(含相片的政府證件)
- 提早 30 分鐘到達考場辦理登記
- 進場後在白板「腦部傾倒」:ALE公式、NIST六步、MTD≥RTO+WRT、GDPR=72h、HIPAA=60d
- 每題平均 1.6 分鐘,遇難題先標記跳過
- 沒有扣分,所有題目必須作答
- 先讀題幹找關鍵詞,再看選項,不要被技術性答案迷惑
- 完成後留時間檢查標記的疑難題目
Keyword Strategy — Must Know
關鍵詞答題技巧
CISM 考題中,以下關鍵詞會完全改變答案方向,做題前必須先識別這些字。
🎯 BEST
選最符合業務目標、管理層視角的選項。通常選有長遠業務價值,而非技術最強的答案。
1️⃣ FIRST / INITIALLY
選第一步應做的事。通常是「評估/了解情況/BIA」,而非立即行動或實施技術控制。
🎯 PRIMARILY
選最核心的目的。通常是「業務對齊」或「風險管理」,而非次要目標。
⭐ MOST IMPORTANT
選最優先考慮的因素。通常是業務影響、高層支持或業務需求。
❌ EXCEPT / NOT
反向題!選不屬於該類別的選項。要特別小心,容易因慣性而答錯。
⬇ LEAST
選最不有效的做法。同樣是反向題,選最弱、最不合適的選項。
⚡ IMMEDIATE
立即行動,緊急響應。事故場景選 Containment(遏制);其他場景選通知管理層。
📊 MOST LIKELY
選最常見、最合理的情境。避免極端或罕見的答案,選符合常理的選項。
Keyword Quick Reference
關鍵詞參考表
| Keyword | Answer Direction | Correct Answer Pattern | Common Trap |
|---|---|---|---|
| BEST | 業務導向,管理層視角 | 業務對齊、風險管理、高層支持 | 技術最強但不符業務的答案 |
| FIRST | 第一步,評估優先 | BIA、Risk Assessment、Gap Analysis | 立即實施技術控制 |
| PRIMARILY | 最核心目的 | 業務目標、風險管理 | 次要好處(合規、成本節省) |
| MOST IMPORTANT | 最高優先級 | Management Support、業務影響 | 技術完整性、預算充足 |
| EXCEPT / NOT | 找不屬於的選項 | 選不合適的、不相關的 | 習慣性選正確的,忘記是反向題 |
| LEAST | 找最差的選項 | 選最弱、最不合適的 | 選了最好的選項 |
| IMMEDIATE | 緊急行動 | Containment(事故);通知管理層(其他) | 直接根除或恢復 |
Worked Examples
實戰例題
「發現勒索軟件,應 FIRST 做什麼?」▼
✅ 答案:Containment(隔離系統)
FIRST = 第一步。事故響應中圍堵永遠優先,阻止蔓延。注意:圍堵前先收集揮發性證據。
「哪個 BEST 衡量安全計劃有效性?」▼
✅ 答案:安全事件數量減少(唔係培訓完成率、唔係防火牆數量)
BEST = 業務影響指標。安全事件減少直接反映對業務的保護效果。
「MTD=24h,WRT=4h,RTO MOST LIKELY 最多是?」▼
✅ 答案:20小時
公式:MTD ≥ RTO + WRT → RTO ≤ 24 - 4 = 20小時。係高頻計算題!
「以下哪項 EXCEPT 是 IRP 的組成部分?」▼
✅ 答案:年度安全預算分配(唔係 IRP 的部分)
EXCEPT = 反向題,選不屬於的選項。預算屬於安全治理,不是事件響應計劃。
Domain 1 · Information Security Governance
🏛 資訊安全治理
17% · 約25題 · 考點:治理框架、CISO匯報、Policy層級、KGI/KPI/KRI
Governance FrameworkCISO ReportingPolicy HierarchyKGI / KPI / KRIStrategic Planning
17%
Governance vs Management
必考概念
| Governance | Management | |
|---|---|---|
| 關注點 | WHAT / WHY(方向與政策) | HOW / WHEN(執行與監控) |
| 負責人 | Board / 高層管理 / 董事會 | CISO / ISM / 部門經理 |
| 例子 | 制定安全政策、設定風險容忍度 | 執行安全控制、監控合規狀況 |
| 問責性 | Accountability(不可委託) | Responsibility(可委託) |
| 時間視角 | 長遠策略性 | 日常運營性 |
⚠ Exam Trap:Accountability(問責)不能被委託,只有 Responsibility(執行責任)可以被委託給他人。問「誰最終負責」→ 永遠係 Senior Management / Board,唔係 CISO。
CISO Reporting Structure & Roles
匯報層級
Board(董事會)→ CEO / COO → CISO → ISM(資訊安全經理)
⚠ Important:CISO 應匯報給 CEO / COO / Board,而非 CIO!Historically CISOs reported to CIO, but this has evolved — best practice is now CEO/CFO/Board. Reporting to CIO creates conflict of interest: security needs may be subordinated to IT operational priorities. ISACA exam answer: CISO → CEO/CFO/Board.
| Role | Responsibilities | Exam Focus |
|---|---|---|
| Board(董事會) | 最終問責,設定風險容忍度,監督治理 | 治理最高層 |
| Senior Management / CEO | 最終安全責任;接受殘餘風險;分配資源 | 最常考!最終責任 |
| CISO | 建議、協調、執行安全計劃;向 Management 彙報 | 顧問角色,唔係最終責任 |
| CPO (Chief Privacy Officer) | Oversees org's privacy program; PII/PHI protection; advocates for consumer privacy; coordinates with CISO on information protection | Privacy-focused role; distinct from CISO |
| CRO (Chief Risk Officer) | Overall enterprise risk management incl. IS-related risks; common in banking for minimising financial fraud | Broader enterprise risk view than ISM |
| Data Owner | 數據分類;確定保護需求;批准訪問 | 業務部門,唔係 IT |
| Data Custodian | 技術層面數據保護實施;日常維護 | IT 執行角色 |
| ISM(資訊安全經理) | 執行安全計劃,日常管理 | CISO 的直屬 |
| Steering Committee | 跨部門治理監督;確保安全與業務對齊 | 治理機構,唔係技術顧問 |
Policy Document Hierarchy
政策層級 Policy→Standard→Procedure→Guideline
1
Policy(政策)— 強制性
高層次原則性要求(WHAT)。由 Senior Management 制定和簽署批准。語言清晰通俗,無技術細節。例:「所有員工必須保護客戶數據」。Policy 最重要係 Management Support!
2
Standard(標準)— 強制性
具體量化規格(How Much)。支持 Policy 的強制要求,全組織統一執行。例:「密碼最少 12 字元,含大小寫數字符號」。
3
Procedure(程序)— 強制性
逐步操作步驟(HOW)。告訴員工如何執行。例:「離職員工帳戶停用的 Step-by-Step 程序(24小時內完成)」。
4
Guideline(指引)— ⚠ 建議性,非強制!
建議性最佳實踐,可彈性應用。例:「選擇密碼的建議方法和技巧」。Exam Trap: Guideline = advisory; Standard = mandatory.
5
Baseline(基線)— 最低標準
最低可接受的安全配置標準。例:「所有系統必須符合 CIS Benchmark Level 1」。
Security Strategy — Business Case Elements
業務論證核心元素
| Element | Description | Why Important |
|---|---|---|
| Business Objectives Alignment | 安全策略與業務目標對齊 | 沒有業務支持,安全計劃無法推進 |
| Current State Assessment | 現況評估 / Gap Analysis | 了解現在在哪裡,才能規劃去哪裡 |
| Risk Appetite | 組織願意接受的風險水平 | 由 Board 定義,是所有決策的基礎 |
| Regulatory Requirements | 適用法規(GDPR、PCI DSS 等) | 合規是最低要求,必須滿足 |
| Resource Requirements | 人員、預算、技術需求 | 無資源就無法執行 |
| Roadmap | 實施時間表和里程碑 | 讓 Management 看到計劃可行性 |
| ROI / Business Case | 安全投資回報,用財務語言 | Management 語言是財務,不是技術 |
Security Metrics: KGI / KPI / KRI
三種指標類型
| Metric | Full Name | Function | Time Horizon | Example |
|---|---|---|---|---|
| KGI | Key Goal Indicator | Measures goal achievement — did we reach the objective? | Past (retrospective) | 年度安全目標完成率、合規認證達成率 |
| KPI | Key Performance Indicator | Measures current execution performance — Lagging indicator (tells you what happened) | Present / Past (retrospective) | MTTR、MTTD、合規率、漏洞修補時間 |
| KRI | Key Risk Indicator | Predicts future potential risk — Leading indicator (early warning system; signals risk BEFORE incident occurs) | Future (forward-looking) | 未修補高危漏洞數量、特權帳戶增長率 |
Exam Mnemonic:問「哪個指標最能幫助管理層預防未來風險」→ 選 KRI。問「衡量計劃執行效率」→ 選 KPI。問「目標達到了嗎」→ 選 KGI。培訓完成率 = KPI(參與率),唔係培訓效果。
Domain 1 — 8 Supporting Tasks (ISACA Official)
八大任務
- 建立並維護資訊安全治理框架(Governance Framework)
- 制定並維護資訊安全策略(Information Security Strategy)
- 將資訊安全治理整合至企業治理(Corporate Governance)
- 建立並維護資訊安全政策(Security Policies)
- 為安全投資建立業務論證(Business Cases)
- 識別並管理內外部影響因素(Internal & External Influences)
- 獲取高層管理承諾與支持(Senior Management Commitment)
- 定義並溝通角色與職責(Roles & Responsibilities)
Vision / Mission / Strategic Objectives
願景/使命/策略目標
| Concept | Definition | Example |
|---|---|---|
| Vision(願景) | 組織渴望達到的未來安全態勢的清晰、有抱負的聲明(desired future state) | Microsoft:「讓 AI 普及化,讓每個人都能受益」 |
| Mission(使命) | 組織實施和維護安全措施的核心目的,以及服務的主要持份者(core purpose) | Microsoft:「賦能地球上每個人和組織實現更多」 |
| Strategic Objectives(策略目標) | 具體、可衡量、有時限的目標,概述實現安全願景的路徑,與組織優先事項對齊 | 12個月內實現 ISO 27001 認證、將 MTTD 縮短至 <2h |
Memory Aid:Vision = 「我們要去哪裡?」Mission = 「我們為什麼在這裡?」Strategic Objectives = 「我們具體怎麼去?」
Span of Control
控制幅度 — <10 人最佳
向一位管理者匯報的下屬人數,或管理者能有效監督的下屬數量。
Best Practice:大多數觀點認為少於 10 人最為理想。控制幅度過大會降低管理效能,影響安全文化的建立。
6 Outcomes of IS Governance
治理六大成果
| # | Outcome | Description |
|---|---|---|
| 1 | Strategic Alignment(策略對齊) | 安全投資與業務策略對齊;安全策略支持業務目標;解決方案針對組織定制 |
| 2 | Risk Management(風險管理) | 將風險保持在組織風險容忍度以內;對組織風險狀況的共同理解;主動識別和緩解風險 |
| 3 | Value Delivery(價值交付) | 安全實踐標準化,與風險成比例;資源優先排序,最小化安全開銷;解決方案具成本效益 |
| 4 | Resource Optimization(資源優化) | 有效利用知識、人員、預算和技術;流程在 IT 政策和程序中正式化 |
| 5 | Performance Measurement(績效衡量) | 與策略目標對齊的明確指標;通過審計和評估進行獨立保證。「不能衡量就不能管理!」 |
| 6 | Assurance Process Integration(保證流程整合) | 協調組織內所有保證職能;明確角色和職責以避免缺口或重疊;安全不是孤立職能 |
Mnemonic:策略 → 風險 → 價值 → 資源 → 績效 → 保證
考試問「IS Governance 的目的/成果」→ 選涉及這六項之一的選項
考試問「IS Governance 的目的/成果」→ 選涉及這六項之一的選項
Business Record Retention / Legal Hold
業務記錄保留
業務記錄要求包括創建、存儲、檢索、保留和銷毀記錄的法律和監管要求。
| Considerations | Description |
|---|---|
| Legal Hold(法律保留) | 訴訟程序中的記錄受「法律保留」保護,不得更改或銷毀 |
| Retention Period(保留期限) | 由適用法規(GDPR、HIPAA、SOX)、風險管理和待決訴訟決定 |
| 媒體類型 | 適用於所有媒體類型:電子郵件、財務文件、員工記錄、合同等 |
| 不同司法管轄區 | 不同地區對記錄處理的各方面有具體規定(保留多久、何時可銷毀) |
| Disposal(處置) | 保留超過必要時間的數據會增加風險。不再需要時必須安全銷毀。 |
Exam Key Point:記錄保留要求來自三個主要驅動因素:①適用法規(最重要)②風險管理 ③待決訴訟。涉及訴訟時發出 Legal Hold,相關記錄必須保留。
Desired State & Current State Assessment
目標狀態 vs 現況評估
| Concept | Definition | Exam Focus |
|---|---|---|
| Current State Assessment | Comprehensive evaluation of org's current security posture — assets, vulnerabilities, threats, existing controls. Identifies gaps. | FIRST step in strategy development; provides baseline |
| Desired State | Complete future snapshot of security encompassing: principles, policies, frameworks, processes, org structures, culture, technology, people and skills | Security cannot be defined purely in quantitative terms — must include qualitative attributes |
| Gap Analysis | Compares current vs desired state — clarifies which processes need improvement, what tech/skills are required, what to prioritise | Output of Gap Analysis → informs the security roadmap |
| Roadmap | Path from current → desired state; multiple phased projects with milestones; allows mid-course correction | Associate "Roadmap" with Strategy (not Governance) |
Exam Sequence: Current State Assessment → Gap Analysis → Roadmap → Implementation → Metrics. The ISM never skips the assessment step.
D1 — 12 Must-Know Points
必背要點
- 最終安全責任 = Senior Management,永遠唔係 CISO
- Accountability(問責)唔能委託,Responsibility(執行)可以委託
- Data Owner = 業務部門;Data Custodian = IT 執行
- CISO 應向 CEO/COO/Board 匯報,而非 CIO(避免利益衝突)
- KGI = 目標達成;KPI = 執行效能(回顧);KRI = 風險預警(前瞻)
- Policy 最重要係有 Management Support(支持和簽署)
- Guideline = 建議性,唔係強制(Standard 才係強制)
- 安全策略必須 align 業務策略,唔係獨立存在
- Risk Appetite 由 Board 定義,唔係 IT 或 CISO
- 安全計劃成功最重要因素 = Senior Management Support
- Steering Committee = 跨部門治理機構,唔係技術顧問
- 培訓效果量度 = 行為改變(Phishing點擊率),唔係完成率
Domain 2 · Information Security Risk Management
⚖ 資訊安全風險管理
20% · 約30題 · 考點:ALE/SLE/ARO公式、4T策略、控制分類、第三方風險
ALE / SLE / ARORisk Treatment 4TControl TypesThird-Party RiskRisk Appetite
20%
Essential Formulas — Memorise All
必記公式
Risk = Threat × Vulnerability × Impact (Risk = Threat × Vulnerability × Impact)
SLE = Asset Value × EF (SLE = Asset Value × Exposure Factor)
ALE = SLE × ARO (ALE = SLE × Annualised Rate of Occurrence)
ROI of Control = (ALE_before − ALE_after − Cost_of_Control) ÷ Cost_of_Control × 100%
Residual Risk = Inherent Risk − Risk Reduction from Controls
Worked Calculation:
伺服器 Asset Value = $200,000 | EF = 30% | ARO = 0.5次/年
SLE = $200,000 × 30% = $60,000
ALE = $60,000 × 0.5 = $30,000(控制投資上限)
若控制成本 $5,000,控制後 ALE = $3,000
ROI = ($30,000 − $3,000 − $5,000) ÷ $5,000 = 440%(值得投資)
伺服器 Asset Value = $200,000 | EF = 30% | ARO = 0.5次/年
SLE = $200,000 × 30% = $60,000
ALE = $60,000 × 0.5 = $30,000(控制投資上限)
若控制成本 $5,000,控制後 ALE = $3,000
ROI = ($30,000 − $3,000 − $5,000) ÷ $5,000 = 440%(值得投資)
4 Risk Treatment Options (4T)
四大風險處理
| Option | Description | Conditions | Example |
|---|---|---|---|
| Treat / Mitigate(減輕) | 實施控制降低風險 | 風險較高,有效控制存在且成本合理 | 安裝防火牆、加密數據 |
| Transfer(轉移) | Shifts financial impact to a third party — does NOT transfer legal accountability | Risk hard to eliminate; can outsource financial consequences | Cyber insurance; outsourcing |
| Tolerate / Accept(接受) | 接受殘餘風險 | 控制成本 > 風險損失,或風險低於容忍度 | 接受低概率低影響事件 |
| Terminate / Avoid(迴避) | 停止高風險活動 | 風險極高,無法接受,業務可放棄 | 放棄高風險業務項目 |
⚠ Transfer Note: Insurance / outsourcing only transfers financial loss — the org retains full legal accountability to customers and regulators. If a vendor suffers a breach, your org is still responsible for notification obligations (GDPR 72h / HIPAA 60d).
Quantitative vs Qualitative Risk Assessment
定量 vs 定性
Qualitative(定性)
- 主觀評分(高/中/低矩陣)
- 快速,適用資料不足時
- 主觀性強,難以比較
- 輸出:Risk Heat Map
- 適合:初步評估、小型組織
Quantitative(定量)
- 數字計算(ALE, SLE, ARO)
- 客觀,可計算 ROI,財務語言
- 需大量歷史數據,耗時
- 輸出:具體金額(ALE)
- 適合:財務決策、大型組織
Exam Trap:定量唔一定比定性好!選擇取決於可用數據質量。數據不足時,定性分析反而更合適。
Control Classification (2 Dimensions)
控制分類
| Functional Category | Timing | Description | Example |
|---|---|---|---|
| Preventive(預防) | 事前 | 阻止事件發生 | 防火牆、加密、訪問控制、背景調查 |
| Detective(偵測) | 事中 | 偵測事件發生 | IDS/IPS、SIEM、日誌審計、CCTV |
| Corrective(糾正) | 事後 | 修復損害 | 備份恢復、Patch Management |
| Deterrent(威懾) | 事前 | 威懾潛在攻擊者 | 警告標誌、可見攝像頭、法律聲明 |
| Compensating(補償) | 任何 | 補償主控制不足 | 無法修補系統時加強監控 |
| Recovery(恢復) | 事後 | 事後恢復正常 | DRP、BCP、HA 架構 |
| Implementation Type | Example |
|---|---|
| Administrative / Managerial | 政策、程序、培訓、背景調查、職責分離 |
| Technical / Logical | 防火牆、加密、MFA、IDS、訪問控制系統 |
| Physical / Environmental | 門禁卡、保險箱、CCTV、消防系統、UPS |
Core Risk Concepts
核心概念
| Concept | Definition | Exam Focus |
|---|---|---|
| Risk Appetite | 管理層願意接受的風險水平(主動決策) | 由 Board 定義,是策略決策 |
| Risk Tolerance | 風險可接受的操作偏差範圍(操作邊界) | Appetite 的具體操作限制 |
| Risk Capacity | Maximum amount of risk the org can absorb and still survive — the absolute outer limit | Nested hierarchy: Capacity > Tolerance > Appetite. Risk acceptance must stay within Appetite; must never exceed Capacity. Board sets Appetite; operational teams work within Tolerance. |
| Inherent Risk | 控制前的原始風險水平 | Inherent > Residual |
| Residual Risk | 控制後的剩餘風險 | 必須由 Senior Management 正式接受 |
| Control Risk | 控制措施本身失效的風險 | Security Team 管理 |
Third-Party Risk Management
第三方風險
Core Principle: Outsource the work, NOT the responsibility!組織對客戶和監管機構的法律責任唔能轉移,即使供應商數據洩露,組織仍須負最終責任。
| Control Measure | Description |
|---|---|
| 合約條款 | SLA、安全要求、Right to Audit(審計權)、通報義務 |
| Due Diligence | 合作前盡職調查(財務穩定性、安全成熟度、合規認證) |
| 持續監控 | 定期安全評估、SOC 2 報告審查 |
| BAA(HIPAA)/ DPA(GDPR) | 處理受保護數據時必須簽署的協議 |
| Fourth-Party Risk | 供應商的供應商(子供應商)帶來的風險 |
Compliance as a Business Decision
合規作業務決策
| Situation | Approach |
|---|---|
| 合規要求強制且不可協商(如 GDPR、HIPAA) | 必須合規,無法以風險接受代替 |
| 合規未被常規執行(如某些地區的規定) | ISACA 認為可作業務決策評估 |
| 合規成本遠超罰款 | 可評估,但需考慮聲譽和道德風險 |
| 人類安全或隱私受威脅 | 職業道德優先,不能以成本理由不合規 |
⚠ Exam Trap:「合規是最低標準,不是安全目標」但「某些合規(GDPR/HIPAA)是強制性的,不能選擇不合規」。兩者都是 CISM 正確答案,取決於題目情境。
Insurance — Risk Transfer, NOT Elimination
保險在風險管理中的角色
| Insurance Type | Description |
|---|---|
| First-Party(第一方) | 直接保障企業資產,如業務中斷、IT 設備、媒體重建 |
| Third-Party / Liability(第三方/責任) | 數據洩露等事件的責任保險 |
| Fidelity Bonds(忠誠保證) | 保護企業免受員工不誠實行為(如員工盜竊)造成的損失 |
| Cyber Insurance(網絡保險) | 轉移罕見、高成本、高影響的網絡事件財務風險 |
⚠ 保險三大要點:
① 保險 = 風險轉移(Transfer),不是風險消除
② 保險只轉移財務損失,法律責任仍在組織
③ 必須理解政策條款、條件、排除項目和承保前提條件(保險公司可能要求特定安全控制)
① 保險 = 風險轉移(Transfer),不是風險消除
② 保險只轉移財務損失,法律責任仍在組織
③ 必須理解政策條款、條件、排除項目和承保前提條件(保險公司可能要求特定安全控制)
Fail-Safe (Fail-Secure) vs Fail-Open
故障安全 vs 故障開放
❌ Fail-Open(故障開放)
- 系統故障時默認允許訪問
- 優先保證可用性(Availability)
- 安全系統不應使用此模式
- 例外:物理安全中的消防門(緊急出口)應故障開放以保護人身安全
✅ Fail-Safe / Fail-Secure(故障安全)
- 系統故障時默認拒絕訪問
- 優先保證安全性(Security)
- 安全系統應使用此模式
- 例子:防火牆故障→阻止所有流量;門禁故障→鎖定
- 銀行等金融系統必須 Fail-Secure
Memory Aid:安全優先系統 = Fail-Secure(故障時更安全)。人身安全系統(消防門)= Fail-Open(故障時允許逃生)。
考試問「防火牆故障時應怎樣配置?」→ Fail-Secure(拒絕所有)
考試問「防火牆故障時應怎樣配置?」→ Fail-Secure(拒絕所有)
GRC — Governance, Risk & Compliance
治理、風險、合規
GRC 是將治理、風險管理和合規整合在一起的綜合方法。
| Component | Definition | Key Activity |
|---|---|---|
| Governance(治理) | 高層管理和董事會提供的監督,確保人員遵守政策和程序 | 政策制定、方向設定、績效監控 |
| Risk Management(風險管理) | 識別、評估和緩解可能影響業務目標的潛在風險 | 識別風險、評估影響、制定緩解策略 |
| Compliance(合規) | 記錄、監控和執行政策、程序和控制,確保遵守標準和法規 | 監控合規狀態、審計、報告差距 |
Value of GRC:將三個功能整合而非孤立,使組織能夠更高效地:識別治理缺口、優先排序基於業務目標的風險緩解、確保合規要求得到滿足。
Exam Memory Aid:GRC = 三位一體,不是三個獨立孤島。
Exam Memory Aid:GRC = 三位一體,不是三個獨立孤島。
B · 風險響應與監控(官方ECO D2-B)
Emerging Risk & Threat Landscape
新興風險與威脅(官方ECO D2-A1)
官方ECO D2-A1 明確列出「Emerging Risk and Threat Landscape」為考試範圍。CISM考試會測試你識別新興威脅同評估其對組織風險態勢的影響。
| Emerging Threat Category | Example | CISM Manager View |
|---|---|---|
| AI / ML威脅 | Deepfake社交工程、AI輔助釣魚攻擊、對抗性AI攻擊模型 | 更新威脅評估方法;員工AI安全意識培訓 |
| Supply Chain Attack | SolarWinds式軟件更新投毒、第三/四方供應商滲透 | 供應商風險評估加強;軟件完整性驗證(SBOM) |
| Ransomware-as-a-Service | RaaS平台令攻擊門檻降低,攻擊量急增 | 備份策略、BCP/DRP演練頻率提升 |
| Cloud Security Risk | 配置錯誤(Misconfiguration)係雲端最大威脅來源 | CSPM工具;Cloud共同責任模型理解 |
| IoT / OT威脅 | 工業控制系統(ICS/SCADA)攻擊;智能設備後門 | 網絡分隔(Segmentation);OT/IT融合風險評估 |
| Insider Threat(內部威脅) | 遠端工作環境令監控難度增加;離職員工帳戶管理 | UBA/UEBA行為分析;最小權限定期審查 |
| Geopolitical Risk | 國家級APT攻擊;地緣政治緊張影響關鍵基礎設施 | 威脅情報訂閱;關鍵系統備援計劃 |
🧠 新興風險評估流程
識別 → 評估影響 → 更新風險登記冊 → 調整控制
CISM考試角度:新興威脅 = 需要持續監控和定期重新評估的訊號。
問「發現新型AI釣魚攻擊,CISM應首先做什麼?」→ 評估對現有風險態勢的影響,更新Risk Register,而非立即部署技術控制。
問「發現新型AI釣魚攻擊,CISM應首先做什麼?」→ 評估對現有風險態勢的影響,更新Risk Register,而非立即部署技術控制。
Exam Trap:新興威脅唔係叫你立即實施技術控制——CISM角度係評估業務影響,更新風險評估,再決定響應優先次序。技術決策係IT做,管理決策係ISM做。
Risk Monitoring & Reporting — Continuous Process
持續風險監控與彙報(官方ECO D2-B3)
官方ECO D2-B3:Risk Monitoring and Reporting係獨立考點。風險評估唔係一次性活動——係持續循環,需要定期重新評估同向管理層彙報。
| Monitoring Mechanism | Description | Frequency |
|---|---|---|
| KRI Dashboard | Key Risk Indicators儀表板,追蹤風險預警指標(Leading Indicators) | 實時 / 每週 |
| Risk Register更新 | 定期更新風險清單:新增風險、刪除已緩解風險、調整風險評級 | 每季 / 重大事件後 |
| Control Effectiveness Testing | 驗證現有控制係咪仍然有效(環境改變可能令原有控制失效) | 每年 / 重大變更後 |
| Threat Intelligence Review | 定期審查外部威脅情報,評估新威脅對組織的相關性 | 每月 / 按需 |
| Compliance Monitoring | 持續監控合規狀態,確保符合GDPR/HIPAA/PCI DSS要求 | 持續 / 每季審計 |
| Reassessment Trigger | Example |
|---|---|
| 重大業務變化 | 新產品上線、企業合併、新市場進入、業務模式改變 |
| 重大技術變化 | 雲遷移、新系統部署、重要第三方更換 |
| 外部環境變化 | 新法規出台、重大行業事件、新型攻擊手法出現 |
| 安全事件發生 | 任何事件後均需重新評估相關風險(含PIR) |
向Management彙報風險的原則:
① 用業務語言——「此風險可能導致$X損失」而非「發現CVE-xxxx」
② 提供行動建議——唔係純粹列出問題,要有解決方案選項
③ 突出趨勢變化——風險升高或降低比絕對數字更重要
④ 對齊業務目標——說明風險對具體業務目標的影響
① 用業務語言——「此風險可能導致$X損失」而非「發現CVE-xxxx」
② 提供行動建議——唔係純粹列出問題,要有解決方案選項
③ 突出趨勢變化——風險升高或降低比絕對數字更重要
④ 對齊業務目標——說明風險對具體業務目標的影響
考試重點:「風險評估係持續循環,唔係一次性項目」——呢句係CISM最高頻考點之一。遇到「什麼時候應該重新評估風險?」→ 選重大業務或技術變化發生時。
Risk Owner vs Control Owner
風險擁有者 vs 控制擁有者
| Role | Who | Accountability | Key Responsibilities |
|---|---|---|---|
| Risk Owner | Senior executive / manager whose area is most affected by the risk | Accountable — cannot delegate | Decides risk response (mitigate/accept/transfer/avoid); allocates resources; accepts residual risk; monitors ongoing |
| Control Owner | Often same person as Risk Owner for critical controls; IT staff may implement | Responsible for control effectiveness | Ensures control is designed, documented, tested; monitors performance; takes corrective action when needed |
⚠ Exam Trap: Technical staff (e.g. network admin) may implement a control (custodian/steward role), but the Control Owner remains accountable for its effectiveness. Accountability ≠ implementation.
Key Principle: Responsibility can be delegated — Accountability cannot. The Risk Owner is accountable for the outcome even if the Control Owner is a different person. This is why ISACA recommends making them the same person for critical risks.
| Concept | Risk Owner | Control Owner |
|---|---|---|
| Primary focus | The risk and its business impact | The control and its effectiveness |
| Decision power | Choose risk response strategy | Design and operate the control |
| Reports to | Senior Management / Board | Risk Owner (or ISM) |
| Example | CFO owns financial data breach risk | IT Security Manager owns encryption control |
| RACI role | Accountable (A) | Responsible (R) |
D2 — 10 Must-Know Points
必背要點
- ALE = SLE × ARO;SLE = Asset Value × EF(必背公式)
- 接受 Residual Risk = Senior Management 正式批准並記錄
- 外判工作,唔外判責任(極高頻考點)
- Risk Appetite 由 Board 定義,Tolerance 係操作邊界
- 控制成本 < ALE 降低量(成本效益原則)
- 定量唔一定比定性好,視乎數據質量
- 風險評估係持續循環,唔係一次性項目
- Compensating Control = 主控制不可行時的替代措施
- Risk Register 係動態文件,需定期更新
- Transfer 風險(保險)只係轉移財務損失,唔消除風險本身
Domain 3 · Information Security Program ⭐ 最高比重
🛠 資訊安全計劃開發與管理
33% · 約50題 · 考點:安全計劃建立、資產分類、框架選擇、控制設計、培訓、供應商管理
Asset ClassificationISO 27001 / NIST CSFControl DesignSecurity MetricsVendor Management
33%
⚠ 重要!D3佔33%(約50題),係最高比重Domain!
官方ECO D3包含:安全計劃資源、資產識別與分類、框架選擇(ISO 27001/NIST CSF)、政策程序、安全Metrics、控制設計與選擇、控制測試、安全意識培訓、外部服務管理、計劃溝通彙報。
⚠ BCP/BIA/DRP/測試類型 → 係D4(Incident Management Readiness),唔係D3!
官方ECO D3包含:安全計劃資源、資產識別與分類、框架選擇(ISO 27001/NIST CSF)、政策程序、安全Metrics、控制設計與選擇、控制測試、安全意識培訓、外部服務管理、計劃溝通彙報。
⚠ BCP/BIA/DRP/測試類型 → 係D4(Incident Management Readiness),唔係D3!
A · 計劃架構與持續性
BCP vs DRP vs IRP — Must-Know Triangle
必考三角
| Plan | Focus | Trigger | Owner | Scope |
|---|---|---|---|---|
| BCP | 業務整體持續運作 | 重大中斷事件 | 業務主管 / BCM | 最廣:人員、流程、設施、IT |
| DRP | IT 系統和數據恢復 | 災難性 IT 故障 | IT 部門 / ISM | IT 系統(DRP ⊂ BCP) |
| IRP | 安全事故的技術響應 | 任何安全事件 | CSIRT / ISM | IT 安全事件(IRP ⊂ BCP) |
BIA → BCP → DRP(必須先做 BIA,才能制定 BCP 和 DRP!)
Memory Aid:BCP = 整個業務能否繼續?(最廣)DRP = IT 系統能否恢復?(BCP 的子集)IRP = 安全事故如何響應?
BIA — Business Impact Analysis
BCP 最重要的第一步
BIA 係 BCP 的靈魂。冇 BIA,你唔知道保護什麼、恢復什麼、按什麼優先次序恢復。
| Term | Full Name | Meaning | Determines |
|---|---|---|---|
| RTO | Recovery Time Objective | 系統必須恢復運作的目標時間(停機時間) | DR 站點類型(RTO越短→越需要Hot Site) |
| RPO | Recovery Point Objective | 可接受的最大數據損失時間點 | 備份頻率(RPO=1h → 每小時備份) |
| MTD | Maximum Tolerable Downtime | 業務可忍受的最長停機時間 (hard upper limit) | MTD ≥ RTO + WRT |
| WRT | Work Recovery Time | 恢復工作所需時間(驗證、測試、重啟) | 計算 RTO 上限 |
| AIW | Acceptable Interruption Window | Max tolerable business process downtime — similar to MTD but process-focused | AIW drives BCP priorities |
| SDO | Service Delivery Objective | Minimum service level acceptable during recovery (degraded mode) | Shorter RTO/RPO/AIW → more expensive site (Hot/Mirror/DRaaS) |
🧠 關鍵公式與記憶法
MTD ≥ RTO + WRT (hard upper limit)
例題:MTD = 24h,WRT = 4h → RTO ≤ 24 - 4 = 20小時
RTO:「我最多可以停機幾耐?」→ 越短 → 越需要 Hot Site
RPO:「我最多可以丟失幾多數據?」→ 決定備份頻率
RTO短+RPO短 = Hot Site + 實時備份(成本最高)
RTO:「我最多可以停機幾耐?」→ 越短 → 越需要 Hot Site
RPO:「我最多可以丟失幾多數據?」→ 決定備份頻率
RTO短+RPO短 = Hot Site + 實時備份(成本最高)
BCP/DR Test Types — High Frequency
測試類型
| Test Type | Method | Intrusiveness | Characteristics |
|---|---|---|---|
| Document Review | 審查計劃文件完整性 | 最低 | 零風險,快速,但不能驗證實際執行 |
| Tabletop Exercise | 關鍵人員討論情景,口頭演練 | 低 | 最常用;發現程序缺陷;不測試真實系統 |
| Walkthrough | 逐步審閱和演練 | 中低 | 比Tabletop更詳細;仍不涉及真實系統 |
| Simulation | 模擬真實場景,不切換系統 | 中 | 接近真實;不中斷業務 |
| Parallel Test ⭐ | Personnel relocated to alternate site; backup systems run simultaneously with production — both live at same time | Med-High | Most effective + Lowest business risk — validates DR capability without stopping primary operations. ISACA preferred answer for "best DR test" |
| Full Interruption | 完全切換至備用系統,停止主系統 | 最高 | 最全面最真實;但主業務中斷風險最高 |
⭐ Most Frequent Exam Q:「最有效且最低業務風險」= Parallel Test(唔係 Full Interruption)
「效果最全面」= Full Interruption(但風險最高)
「最常用、最實際」= Tabletop Exercise
「效果最全面」= Full Interruption(但風險最高)
「最常用、最實際」= Tabletop Exercise
Recovery Site Types
恢復站點
| Site Type | Readiness | RTO | Cost | Use Case |
|---|---|---|---|---|
| Hot Site | 完全鏡像,即時可用,數據實時同步 | 分鐘級 | 最高 | 關鍵任務系統,RTO < 4小時 |
| Warm Site | 基礎設施就緒,需要恢復數據 | 數小時至一天 | 中等 | 重要系統,RTO 4-24小時 |
| Cold Site | 空間和基礎電力,無設備 | 數天至數周 | 最低 | 非關鍵系統,RTO > 24小時 |
| Mobile Site | 可移動預配置設備車輛 | 數小時 | 中等 | 地理分散、靈活部署 |
| Cloud DR | 雲端備份恢復,彈性擴展 | 視乎配置 | 按使用付費 | 現代組織,降低資本支出 |
| Reciprocal Agreement ✗ | 與合作公司互換使用設施 | 不確定 | 最低但不可靠 | 最不可靠,不建議 |
| DRaaS | Disaster Recovery as a Service — cloud provider handles replication and recovery | Variable (config-dependent) | OpEx model; geographic diversity built-in; modern alternative to physical sites | |
| MAA ✗ | Mutual Assistance Agreement — cooperative agreement with another org | Unreliable | Avoid — both orgs may face same disaster; confidentiality risk; hard to enforce |
Reciprocal Agreement Trap:當你需要用對方時,對方可能正面對同一場災難;容量可能不足以支持兩家公司。「最不可靠的 DR 方案」= Reciprocal Agreement。
Backup Strategies
備份策略
| Backup Type | Backup Content | Storage Space | Backup Speed | Recovery Speed | Recovery Need |
|---|---|---|---|---|---|
| Full Backup | 所有數據完整備份 | 最大 | 最慢 | 最快 | 只需最新 Full |
| Differential | All changes since last Full backup | Medium (grows over time) | Medium | Medium | Latest Full + Latest Differential |
| Incremental | Changes since last backup of any type | Smallest | Fastest to run | Slowest — Full + ALL incrementals in sequence | Full + every Incremental since |
🧠 備份口訣
Full = Large/Slow/Fast · Diff = Med/Med/Med · Inc = Small/Fast/Slow
3-2-1 Rule (industry best practice):3份副本 + 2種不同媒介 + 1份離線異地儲存
Incremental恢復最慢:需要 Full + 全部 Incremental 一起拼圖
Incremental恢復最慢:需要 Full + 全部 Incremental 一起拼圖
B · 資產與框架
Asset Classification — 4 Levels
資產分類四級
| Level | Name | Description | Example |
|---|---|---|---|
| 🔴 | Restricted(限制) | 最高機密,洩露造成嚴重損害 | 國家機密、核心商業機密、密碼 |
| 🟠 | Confidential(機密) | 敏感業務資訊,僅限授權人員 | 財務數據、客戶個人資料、合約 |
| 🟡 | Internal(內部) | 一般內部資訊,不對外公開 | 內部政策、員工手冊 |
| 🟢 | Public(公開) | 可公開發布的資訊 | 公司網站、公開年報、行銷材料 |
注意:資產分類由資產擁有者(Asset/Data Owner)負責,而非 IT 部門或安全團隊。
C · 計劃管理與運作
Security Program — 5 Lifecycle Phases
計劃生命週期
1
Planning(規劃)
了解業務需求、定義範圍、獲取高層支持、資源規劃、BIA
2
Design(設計)
資產分類、控制選擇、政策制定、框架對齊、Threat Modeling
3
Implementation(實施)
部署技術控制、員工培訓、流程整合、供應商管理
4
Operation & Maintenance
日常監控、事件響應、合規審查、漏洞管理、Patch Management
5
Continuous Improvement
定期評估、更新政策、應對新威脅、成熟度提升
Security Awareness / Training / Education — 3 Levels
三層次
| Level | Audience | Goal / Objective | Format | Measurement |
|---|---|---|---|---|
| Awareness(意識) | 所有員工 | 知道安全的重要性 | 海報、提示郵件、視頻 | Phishing點擊率↓、事件報告↑ |
| Phishing Simulation: Most effective ongoing tool — employees who click are redirected immediately to a training module. Track click-rate as a KRI (leading indicator). Monthly simulation recommended. Decreasing click rate = proof of behaviour change — the metric ISACA expects, NOT completion rate. | ||||
| Training(培訓) | 特定崗位 | 掌握具體安全技能 | 課程、演練、工作坊 | 前後知識測試、行為改變 |
| Education(教育) | 安全專業人員 | 深入理解、職業發展 | 認證課程、學位 | 認證取得、能力評估 |
⚠ Exam Trap:培訓完成率 = 參與指標(KPI),唔係效果指標!效果指標 = Phishing點擊率下降、人為錯誤引起事件減少。
Security Program Maturity Model (CMMI)
成熟度模型
| Level | Name | Characteristic | Next Step |
|---|---|---|---|
| 1 | Initial(初始) | 臨時、混亂、無文件、英雄主義 | 文件化基本流程 |
| 2 | Repeatable(可重複) | 有基本流程但不一致,依賴個人記憶 | 標準化跨組織流程 |
| 3 | Defined(定義) | 標準化流程,全組織一致執行 | 量化管理指標 |
| 4 | Quantitative(量化) | 可量化管理,數據驅動決策 | 持續優化 |
| 5 | Optimizing(優化) | 持續改善,以創新應對新威脅 | 維持領先 |
Program Communications & Reporting
溝通與彙報
官方考綱明確列出此項。CISM 考試會測試你如何用正確語言向不同層級彙報安全狀態。
| Reports To | Language Style | Key Content | Common Tools |
|---|---|---|---|
| Board / 董事會 | 業務語言、財務影響 | 風險趨勢、ALE、重大威脅、合規狀態、ROI | Executive Dashboard、風險儀表板 |
| Senior Management | 風險 + 業務影響 | KGI達成、重大事件、預算使用、優先項目 | Monthly Security Report |
| IT / 技術團隊 | 技術細節 | 漏洞清單、KPI指標、修補進度、事件統計 | Security Metrics Report |
| 所有員工 | 簡單易懂 | 安全意識、政策更新、事件通報渠道 | Security Newsletter、培訓材料 |
📊 Effective Security Dashboard — Must-Have Elements:
① 風險趨勢(Risk Trend)— KRI 指標上升/下降
② 事件統計(Incident Metrics)— MTTD、MTTR、事件數量
③ 合規狀態(Compliance Posture)— 各法規符合率
④ 控制有效性(Control Effectiveness)— 控制測試結果
⑤ 項目進度(Program Progress)— 路線圖里程碑達成情況
① 風險趨勢(Risk Trend)— KRI 指標上升/下降
② 事件統計(Incident Metrics)— MTTD、MTTR、事件數量
③ 合規狀態(Compliance Posture)— 各法規符合率
④ 控制有效性(Control Effectiveness)— 控制測試結果
⑤ 項目進度(Program Progress)— 路線圖里程碑達成情況
🎯 Exam Key Point:向 Board 彙報時,永遠用財務語言和業務影響(如「此風險可能導致 $X 損失」),而非技術術語(「我們發現了 CVE-2024-xxxx 漏洞」)。Management 語言 = 風險 + 錢 + 業務影響。
Control Design & Selection
控制設計與選擇
| Control Selection Principle | Description | Exam Focus |
|---|---|---|
| 成本效益(Cost-Benefit) | 控制成本必須低於風險降低帶來的效益。Control Cost < ALE_before − ALE_after | 唔係越貴越好,要符合經濟效益 |
| 業務對齊(Business Alignment) | 控制唔能妨礙業務運作,要與業務流程整合 | 安全係業務推動者,唔係障礙 |
| 縱深防禦(Defence in Depth) | 多層控制組合,任一層失效不致全面崩潰 | Admin + Technical + Physical 三類結合 |
| 最小權限(Least Privilege) | 只給完成工作所需的最小權限 | 定期審查權限,避免權限積累 |
| 職責分離(Separation of Duties) | 敏感任務由多人配合完成,防止單人濫權 | 例:財務審批需要兩人 |
| Integration Points | Description |
|---|---|
| HR 整合 | 入職背景調查、離職帳戶即時停用、NDA 簽署、安全培訓要求 |
| 採購整合 | 新系統採購必須包含安全要求評估(Security by Design) |
| SDLC 整合 | Shift Left — 安全在需求階段就介入,越早越便宜 |
| 變更管理(Change Management) | 所有重大變更必須經過安全評估和審批,防止引入新風險 |
| Configuration Management | All system configs must be documented, version-controlled, and enforced via automated baselines (e.g. CIS Benchmarks). Configuration drift = security risk. Detect and auto-remediate deviations. |
| 供應商管理 | 採購合約必須包含安全條款、審計權、洩露通報義務 |
Network Continuity
網絡連續性
目標:防止網絡單點故障(Single Point of Failure)。網絡連續性是 BCP 的重要組成部分。
| Method | Description |
|---|---|
| Redundancy(冗餘) | 額外容量、備用組件、多條路徑。消除單點故障。 |
| Diverse Routing(多樣化路由) | 不受同一故障影響的替代物理/邏輯路由。不同物理路徑。 |
| Alternate Routing(替代路由) | 不同的網絡運營商/路由,通常具有自動切換功能 |
| Last-Mile Protection(最後一英里保護) | 保護進入設施的最終網絡連接(如雙入口點) |
High Availability (HA) & Fault Tolerance
高可用性
| Concept | Definition | Example |
|---|---|---|
| High Availability (HA) | 通過冗餘和故障切換,以最小停機時間持續運行關鍵系統 | 服務器集群、負載均衡 |
| Fault Tolerance(容錯) | 即使組件發生故障,系統仍能正常運行 | RAID(磁盤陣列)、雙電源 |
| System Resilience(系統韌性) | 在中斷期間和之後維持可接受性能的能力 | 自動故障轉移,業務不中斷 |
| SPOF(單點故障) | 其故障會導致整個系統停止的任何組件 | 必須識別並消除! |
Server Redundancy
集群(常用於數據庫)和負載均衡(常用於 Web 服務器)
Network Redundancy
替代路徑、多運營商接入點、冗餘設備
Power Redundancy
UPS(不間斷電源)、備用發電機,覆蓋設施和關鍵設備
Failure Management
監控、預測性維護、自動化恢復優於手動恢復
Insurance in BCP Context
保險在 BCP 的角色
| Insurance Type | BCP Note |
|---|---|
| Business Interruption(業務中斷保險) | 補償因災難導致的收入損失 |
| IT Equipment(IT 設備保險) | 覆蓋硬件損壞或損失 |
| Media Reconstruction(媒體重建) | 覆蓋重建被破壞數字媒體的成本 |
| Extra Expense(額外支出) | 覆蓋使用替代設施等額外恢復成本 |
| Cyber Insurance(網絡保險) | 轉移罕見高成本網絡事件;保險公司通常要求特定安全控制作為承保前提 |
IRP 應詳細說明保險覆蓋範圍。保險 = 風險轉移(不是消除)。必須了解排除項目和免賠額。保險是更廣泛風險管理策略的一個組成部分(迴避/減輕/接受/轉移)。
IS Program Charter
計劃憲章
Charter 是授予安全計劃權威並定義其各個方面的正式文件。
| Charter Contents | Description |
|---|---|
| Mission & Vision(使命與願景) | 安全計劃的目的和期望的未來狀態 |
| Roles & Responsibilities(角色與職責) | 誰負責什麼,清晰的問責線 |
| Scope(範圍) | 計劃適用的範圍、對象和程度 |
| Authority(授權) | 誰有權力行動,計劃的授權來源 |
| Funding(資金) | 預算授權和資源分配 |
| Processes(流程) | 計劃的主要流程和工作方式 |
Charter vs Policy:Charter = 描述安全計劃的使命、願景、角色、職責和流程的文件(計劃的「憲法」)。Policy = 描述安全要求的高層次聲明(「必須做什麼」)。
Asset Valuation — Criticality × Sensitivity
資產估值
| Dimension | Definition | Core Question |
|---|---|---|
| Criticality(關鍵性) | 資產對業務運營的重要程度 | 如果它不可用,會發生什麼?哪些業務功能會停止? |
| Sensitivity(敏感性) | 如果保密性或完整性受損,會造成多大損害 | 如果數據洩露、被盜或被篡改,後果有多嚴重? |
估值 = Criticality × Sensitivity
有形資產(硬件):替換成本容易計算
無形資產(品牌聲譽、客戶信任):難以量化但往往價值更高
⚠ 低估無形資產 → 風險評估有缺陷!
資產估值直接影響風險評估:Risk = Likelihood × Impact(影響 = 資產價值 × 損害程度)
有形資產(硬件):替換成本容易計算
無形資產(品牌聲譽、客戶信任):難以量化但往往價值更高
⚠ 低估無形資產 → 風險評估有缺陷!
資產估值直接影響風險評估:Risk = Likelihood × Impact(影響 = 資產價值 × 損害程度)
估值方法:定性(高/中/低)· 定量(ALE = SLE × ARO)· 混合(半定量)。精確數字難以獲得,重點是使用一致的可重複方法,合理化安全支出。
Control Technology Categories
控制技術分類
| Category | Description | Owner | Example |
|---|---|---|---|
| Native Controls(原生控制) | 系統內建功能,無需額外購買 | IT Operations(維持職責分離) | OS 權限、Web 服務器身份驗證設置 |
| Supplemental Controls(補充控制) | 附加安全技術,擴展原生能力 | Security Specialists(有時與 IT 協作) | 防火牆、IPS、SSO、MFA |
| Management Support Controls(管理支持控制) | 安全團隊日常運作的工具 | Security Organization | SIEM、漏洞掃描器、SOAR、GRC 工具 |
ISM Holistic View:需要將所有原生和補充控制整合成整體技術防禦結構。避免只關注單點解決方案。重點是底線目標、業務對齊、實際效能和成本效益。
Security Liaisons
安全聯絡員
安全聯絡員(Liaison)充當中央安全職能與其他部門之間的關鍵連接點,確保安全與業務目標對齊。
| Liaison | Responsibilities |
|---|---|
| IT Audit(IT 審計) | 協作合規檢查、控制有效性測試、緩解計劃 |
| Information Technology(IT) | 合作安全配置、補丁管理、系統部署 |
| Business Unit Managers(業務部門) | 使安全與業務目標對齊,了解運營需求,收集風險情報 |
| Human Resources(HR) | 協調背景調查、安全意識培訓、政策執行(如 AUP) |
| Legal(法律) | 就合規義務、責任風險、合同提供建議 |
| Procurement(採購) | 審查技術採購,確保符合安全標準和合規要求 |
| All Employees(所有員工) | 第一道防線;需持續培訓和明確的報告程序 |
| PMO(項目管理辦公室) | 確保安全需求和風險評估納入所有項目 |
Liaison Core Function:建立跨企業的持續工作關係。確保安全要求被理解並整合到業務流程中。收集反饋以保持安全與業務的持續對齊。
D · 框架選擇(官方ECO D3-A3)
Industry Standards & Frameworks for IS Program ECO D3-A3
框架選擇與應用
官方ECO D3-A3:CISM 考試會測試你識別和應用適當框架嚟支持安全計劃的能力,包括 ISO 27001、NIST CSF、COBIT 等。考點係點樣選擇框架,以及框架之間的關鍵分別。
| Framework | Focus | Mandatory? | Certification | CISM Exam Point |
|---|---|---|---|---|
| ISO/IEC 27001 | 建立、實施、維護和持續改善 ISMS;PDCA 循環;Annex A 93項控制 | 唔強制(除非合約要求) | ✅ 可認證 | ISMS 建立;Annex A 控制選擇;適合需要第三方認證的組織 |
| NIST CSF 2.0 | 六大功能:Govern–Identify–Protect–Detect–Respond–Recover;自願採用 | 美國聯邦機構須遵從;其他組織自願 | ❌ | 功能框架對齊 D4 Incident Management;靈活,適合任何行業 |
| COBIT 2019 | IT 治理與管理框架;40個管理目標;與業務目標對齊 | 唔強制 | ❌ | D1 Governance 對齊;ISM 向 Board 匯報框架 |
| CIS Controls v8 | 18個關鍵安全控制;優先次序:基本→基礎→組織 | 唔強制 | ❌ | 實用控制選擇指引;中小企業友好 |
ISO 27001 — 適合情況
- 需要第三方認證(客戶或合約要求)
- 需要全面 ISMS 文件體系
- 跨國組織,需國際認可標準
- 注重合規和審計需求
NIST CSF — 適合情況
- 需要靈活、可擴展的風險框架
- 美國政府機構或相關供應商
- 重點係改善網絡安全態勢
- 唔需要外部認證
⚠ Exam Trap:框架本身唔係目標,業務目標對齊先係目標。問「應選擇哪個框架」→ 答案取決於業務需求、行業、合規要求,唔係一刀切。框架係工具,唔係規則。
🎯 考試記憶:ISO 27001 = 有認證、有審計、有 PDCA;NIST CSF = 靈活、六功能、美國政府常用;COBIT = 治理對齊、業務目標、IT 管理;框架係互補,組織可同時採用多個框架。
E · 控制測試與效能量度(官方ECO D3-B3)
Security Control Testing & Evaluation — Program Level ECO D3-B3
安全控制測試與評估(計劃層面,唔係技術層面)
重要區分:D3-B3係「計劃層面的控制測試管理」,唔係D2的技術性漏洞掃描或滲透測試。ISM的角色係規劃、委託、解讀結果和跟進行動,而非親自執行測試。
| Test Type | Purpose | ISM Role | Output |
|---|---|---|---|
| Control Self-Assessment (CSA) | 業務部門自評其控制有效性 | 設計評估框架;審閱結果;跟進缺口 | CSA報告;控制缺口清單 |
| Internal Audit | 獨立評估控制設計和運作有效性 | 配合審計員;提供文件;響應審計發現 | 審計報告;管理層響應 |
| Third-Party Assessment | 外部獨立評估(SOC 2、ISO 27001審計) | 管理評估流程;確保認證維持 | 認證報告;改善建議 |
| Penetration Testing | 模擬攻擊測試技術控制有效性 | 委託外部公司執行;審閱報告;優先排序修復 | 滲透測試報告;修復路線圖 |
| Vulnerability Assessment | 系統性識別技術漏洞 | 確保定期執行;跟進修補進度 | 漏洞清單;Patch狀態報告 |
| Compliance Assessment | 驗證符合法規要求(GDPR/PCI DSS等) | 監控合規狀態;解決差距 | 合規報告;差距分析 |
| Control Testing Key Element | Description |
|---|---|
| 測試範圍(Scope) | 基於風險評估決定優先測試哪些控制——高風險控制需要更頻繁測試 |
| 測試頻率(Frequency) | 關鍵控制:每年至少一次;高風險系統:更頻繁;重大變更後:即時重測 |
| 獨立性(Independence) | 控制設計者唔應同時測試自己設計的控制(Segregation of Duties原則) |
| 結果追蹤(Remediation Tracking) | 所有測試發現必須有跟進計劃;定期向管理層彙報修復狀態 |
ISM的測試管理職責:
① 建立年度控制測試計劃,按風險排優先次序
② 確保測試獨立性——唔讓控制設計者自評
③ 審閱測試結果,決定修復優先次序
④ 向Board/Management彙報控制有效性狀態
⑤ 跟進修復行動,確保缺口按時修復
① 建立年度控制測試計劃,按風險排優先次序
② 確保測試獨立性——唔讓控制設計者自評
③ 審閱測試結果,決定修復優先次序
④ 向Board/Management彙報控制有效性狀態
⑤ 跟進修復行動,確保缺口按時修復
Exam Trap:「ISM應親自執行滲透測試」→ 錯!ISM係委託和管理測試,解讀結果,跟進修復。技術執行係IT Security Team或外部公司的責任。管理層角色 ≠ 技術執行角色。
DevSecOps & Shift-Left Security
安全左移 — SDLC 整合
| Concept | Description | Exam Focus |
|---|---|---|
| DevOps | Culture merging Development + Operations for speed via CI/CD (Continuous Integration / Continuous Deployment) | Foundation; security must integrate here |
| DevSecOps | Integrates security practices into the DevOps pipeline — security is automated, not bolted on after release | CISM perspective: security enables the business, not a blocker |
| Shift Left | Move security to the earliest phases of SDLC (requirements/design), rather than testing at end | Cheaper to fix early; ISACA strongly favours this approach |
| Security in CI/CD | Automate SAST (static analysis), DAST (dynamic analysis), dependency scanning in build pipeline | Keeps pace with rapid release cycles |
Why Shift Left? Fixing a vulnerability costs ×10–100 more after deployment than at design stage. ISACA expects ISMs to embed security into SDLC from day one — not review finished products.
⚠ Exam Point: CISM questions may ask the BEST approach to secure a new application. Answer = integrate security from requirements/design phase, not after development. "Bolting on" security is always the wrong answer.
| SDLC Phase | Security Activity | Who |
|---|---|---|
| Planning / Requirements | Security requirements; threat modelling; BIA | ISM + Business |
| Design | Security architecture review; risk assessment | ISM + Architect |
| Development | Secure coding standards; SAST; peer code review | Dev + Security |
| Testing / QA | DAST; penetration testing; UAT security checks | Security team |
| Deployment | Change management approval; configuration baseline | Change board + ISM |
| Operations | Continuous monitoring; patch management; vulnerability scanning | IT Ops + Security |
| Disposal | Secure data destruction (Clear / Purge / Destroy) | IT + ISM |
D3 — 14 Must-Know Points
必背要點
- D3 核心 = 建立和管理安全計劃(資源、資產分類、框架、政策、Metrics、控制、培訓、供應商、彙報)
- 資產分類由 Asset/Data Owner 決定,唔係 IT;四級:Restricted > Confidential > Internal > Public
- 框架選擇取決於業務需求:ISO 27001 = 需認證;NIST CSF = 靈活;COBIT = 治理對齊
- 控制選擇必須符合成本效益原則:Control Cost < ALE_before − ALE_after
- 注意:BIA/BCP/DRP/測試類型係 D4 範疇(Incident Management Readiness),唔係 D3!
- 培訓效果量度 = 行為改變(Phishing點擊率↓),唔係完成率
- 向 Board 彙報必須用財務語言和業務影響,唔係技術術語
- 合規 ≠ 安全,合規係最低標準;GDPR/HIPAA 係強制合規,唔能以成本理由迴避
- 安全計劃必須align 業務策略,安全係業務推動者,唔係障礙
- 外判工作,唔外判責任:供應商合約必須包含安全要求、審計權、通報義務
- KGI = 目標達成;KPI = 執行效能(Lagging);KRI = 風險預警(Leading)
- Guideline = 建議性(非強制);Standard = 強制性;Policy = 最高層次原則
- Senior Management Support 係安全計劃成功的最關鍵因素
- Metrics 的目的係量度計劃效能、支持決策、向管理層溝通安全狀態
Domain 4 · Incident Management
🚨 事故管理
30% · 約45題 · 考點:NIST六步驟、BIA/BCP/DRP、Containment優先、取證、GDPR/HIPAA通報、PIR
BIA / BCP / DRPNIST 6 StepsContainment FirstGDPR / HIPAAPIR Task 37
30%
A · 事故響應流程(Readiness + Operations)
Incident Management Training, Testing & Evaluation ECO D4-A6
事故管理培訓、測試與評估(官方ECO D4-A6)
官方ECO D4-A6明確列出Incident Management Training, Testing and Evaluation係獨立考點,與D3的BCP測試類型有分別:
D3 BCP Test Types → 測試業務持續計劃嘅恢復能力
D4-A6 → 測試事故響應團隊嘅響應能力同程序有效性
D3 BCP Test Types → 測試業務持續計劃嘅恢復能力
D4-A6 → 測試事故響應團隊嘅響應能力同程序有效性
| Training / Test Type | Purpose | Participants | Recommended Frequency |
|---|---|---|---|
| Security Awareness Training | 確保所有員工識別和報告安全事件;釣魚模擬測試 | 全體員工 | 每年至少一次;釣魚測試每季 |
| IR Team Training | 確保CSIRT成員熟悉IRP程序、工具和角色 | CSIRT成員 | 每年;新成員入職時 |
| Tabletop Exercise(桌面演練) | 討論式情景演練,測試決策和溝通流程;唔涉及真實系統 | IR Team + Management + Legal | 每年至少一次;最常用 |
| Functional Exercise(功能演練) | 實際啟動IR程序的部分功能,測試工具和通訊渠道 | IR Team | 每年 |
| Full-Scale Exercise(全面演練) | 模擬真實事件的完整響應,包括所有利益相關者 | 全組織 | 每1-2年;資源密集 |
| Simulation Testing | 在隔離環境模擬攻擊場景,測試技術控制和響應流程 | IR Team + IT | 每年 |
| IR Plan Effectiveness Metric | Description | Goal / Objective |
|---|---|---|
| MTTD(Mean Time to Detect) | 從事件發生到偵測的平均時間 | 越短越好;縮短 = 偵測能力提升 |
| MTTR(Mean Time to Respond) | 從偵測到完成初步響應(遏制)的平均時間 | 越短越好;縮短 = 響應能力提升 |
| MTTC(Mean Time to Contain) | 從偵測到成功遏制的平均時間 | 越短越好 |
| Escalation Accuracy | 事件正確升級到適當層級的比率 | 越高越好;減少誤報升級 |
| IRP Compliance Rate | 響應行動符合IRP程序的比率 | 越高越好;識別程序缺口 |
🧠 D4-A6 考試要點
培訓 → 測試 → 評估 → 改善 → 循環
最常用測試:Tabletop Exercise(桌面演練)— 低成本、低風險、高參與度
IR計劃測試唔係為咗找人問責,而係識別程序缺口同改善機會
MTTD + MTTR係量度IR計劃有效性最重要的兩個指標
問「如何評估IR培訓效果?」→ 衡量演練後MTTD/MTTR改善,或Tabletop後識別的缺口數量
IR計劃測試唔係為咗找人問責,而係識別程序缺口同改善機會
MTTD + MTTR係量度IR計劃有效性最重要的兩個指標
問「如何評估IR培訓效果?」→ 衡量演練後MTTD/MTTR改善,或Tabletop後識別的缺口數量
IRP定期維護要求(官方ECO Task 36):
① 至少每年一次全面審查IRP
② 重大組織/技術變更後即時更新
③ 每次演練或真實事件後更新
④ 確保聯絡人資訊、系統清單、程序保持最新
① 至少每年一次全面審查IRP
② 重大組織/技術變更後即時更新
③ 每次演練或真實事件後更新
④ 確保聯絡人資訊、系統清單、程序保持最新
D3 vs D4 測試類型區分:
D3 BCP/DR測試(Tabletop/Parallel/Full Interruption)→ 測試IT系統恢復能力
D4-A6 IR測試(Tabletop Exercise/Functional/Full-Scale)→ 測試事故響應程序和團隊能力
兩者都可以用Tabletop,但目的和評估重點唔同
D3 BCP/DR測試(Tabletop/Parallel/Full Interruption)→ 測試IT系統恢復能力
D4-A6 IR測試(Tabletop Exercise/Functional/Full-Scale)→ 測試事故響應程序和團隊能力
兩者都可以用Tabletop,但目的和評估重點唔同
IR 6 Steps — NIST SP 800-61
必記順序
1
Preparation(準備)
建立 IRP、訓練 CSIRT、準備工具、制定通訊計劃、定期演練。準備越充分,響應越有效。
2
Detection & Analysis(偵測分析)
警報分類、確定範圍、評估嚴重性、確認是否為真實事故。Triage 優先排序。
3
Containment(遏制)— ⚠ 第一優先!
Short-Term Containment:即時隔離受影響系統,阻止蔓延。先收集揮發性證據(記憶體)再隔離!
長期圍堵:業務可繼續運作的持久措施。
4
Eradication(根除)
消除威脅根源(惡意軟件、後門)、修補漏洞、強化控制。根除完成後才能恢復!
5
Recovery(恢復)
恢復系統至正常運作。從乾淨備份恢復。持續監控確認威脅完全移除。漸進式恢復。
6
Lessons Learned(汲取教訓)
事件後 24-48 小時內進行 PIR。分析根本原因。改善 IRP 和政策。Blameless 文化,唔係問責!
🧠 NIST 順序口訣
Prepare → Detect → Contain → Eradicate → Recover → Review
準備 → 偵測 → 圍堵 → 根除 → 恢復 → 檢討
準備 → 偵測 → 圍堵 → 根除 → 恢復 → 檢討
核心原則:圍堵永遠先於根除,根除永遠先於恢復。唔可以跳步驟(除非 Management 知情批准)。
Notification Deadlines — Must Memorise
通報時限
| Regulation / Situation | Notify | Deadline | Trigger |
|---|---|---|---|
| GDPR | 監管機構(DPA) | 72小時 | 個人數據洩露 |
| HIPAA | Affected individuals 500+ breach: also notify HHS simultaneously | 60 days | PHI breach — notify affected individuals within 60 days; if 500+ persons, also notify HHS (Dept of Health & Human Services) at same time |
| 法律部門 | 內部法律顧問 | 盡早 | 有任何法律責任可能性 |
| CSIRT | 內部響應團隊 | 即時 | 發現事件後立即 |
| Senior Management | C-Suite | 依嚴重性,重大事件即時 | 業務影響重大事件 |
| 媒體 / 公眾 | 公關 | 謹慎,通常最後 | 需公開披露時 |
Must Know: GDPR = 72 hrs; HIPAA = 60 days。兩者常在考試中混淆!
Digital Forensics
數字取證
| Principle | Description |
|---|---|
| Chain of Custody(證據保管鏈) | 記錄誰收集什麼、何時、如何。確保證據在法律程序中可被採納。鏈斷裂 = 證據可能在法庭被推翻 |
| 揮發性優先 | Collect in order of volatility (most volatile first): CPU cache / RAM → Network state → Running processes → Temp files → Disk storage Powering off destroys RAM — always collect memory before isolating the system |
| 唔修改原始證據 | 使用 Write Blocker 複製,只在副本上工作。Hash驗證完整性(MD5/SHA-256) |
⚠ 關機 = 永久失去記憶體數據!必須先收集揮發性證據,才能關機或隔離系統。
Common Attack Types & Response
攻擊類型
| Attack Type | Characteristic | Response Focus |
|---|---|---|
| APT | 長期潛伏(月/年)、針對特定目標、高度複雜 | 深度取證,找出所有後門;謹慎 Containment |
| Ransomware | 加密數據勒索,快速蔓延 | 即時隔離;從備份恢復;不建議付贖金 |
| Phishing / Spear Phishing | 社交工程;Spear = 針對特定人員 | 即時更改憑據;調查蔓延範圍;培訓 |
| Insider Threat | 內部人員(惡意或疏忽) | 審計日誌;Least Privilege;HR 介入 |
| DDoS | 大量請求癱瘓服務 | 流量清洗;切換 IP;聯絡 ISP;CDN |
| Supply Chain Attack | 通過供應商或軟件更新滲透 | 供應商風險評估;軟件完整性驗證 |
| Zero-Day | 未知漏洞,暫無補丁 | Compensating Controls;加強監控;虛擬修補 |
Incident Definitions & Levels
事件定義
| Term | Definition | Example | Response Needed? |
|---|---|---|---|
| Event(事件) | 任何可觀察的系統狀態,中性 | 用戶登錄成功、防火牆攔截請求 | 不一定 |
| Alert(警報) | 需要關注的事件,可能是誤報 | IDS 觸發警報 | 需要調查 |
| Incident(事故) | 違反安全政策或威脅 CIA | 惡意軟件感染、未授權訪問 | 必須響應 |
| Breach(違規) | 已確認的未授權數據訪問或洩露 | 客戶個人數據被盜 | 響應 + 通報義務 |
Incident Management Tools & Techniques
工具與技術
| Tool / Technique | Full Name | Function | Exam Focus |
|---|---|---|---|
| SIEM | Security Information & Event Management | 集中收集、關聯分析、儲存安全日誌;實時偵測異常;產生警報 | 偵測(Detection)的核心工具;提供集中可見性 |
| SOAR | Security Orchestration, Automation & Response | 自動化響應工作流程;整合多個安全工具;縮短 MTTR | 自動化響應;比 SIEM 更進一步(可行動) |
| IDS / IPS | Intrusion Detection / Prevention System | IDS = 偵測入侵並告警;IPS = 偵測並主動阻止 | IDS 係被動偵測;IPS 係主動防護 |
| EDR | Endpoint Detection & Response | 端點威脅偵測、調查和響應;記錄端點行為 | 端點層面的偵測和響應工具 |
| Forensic Tools | 數字取證工具 | 證據收集(Write Blocker)、記憶體轉儲、日誌分析、時間線重建 | Chain of Custody;只在副本上分析;Hash驗證 |
| Threat Intelligence | 威脅情報 | 提供外部威脅資訊(IOC、TTPs);幫助識別和預防攻擊 | 主動防禦;IoC = Indicator of Compromise |
| Vulnerability Scanner | 漏洞掃描工具 | 識別系統漏洞;定期掃描;優先排序修補 | 識別(Identify)階段工具;唔係實時監控 |
| Ticketing System | 事件追蹤系統 | 記錄和追蹤事件響應進度;確保問責;提供審計線索 | 確保所有行動有記錄;支持 Chain of Custody |
SIEM — 偵測為主
- 收集和關聯日誌
- 產生告警
- 人工分析和響應
- 提供可見性(Visibility)
- 適合:偵測和調查
SOAR — 響應為主
- 自動化響應 Playbook
- 整合多個安全工具
- 減少人工介入
- 縮短 MTTR
- 適合:高效響應和自動化
Memory Point:SIEM = 看(偵測告警);SOAR = 做(自動響應)。問「哪個工具最能提升響應效率/縮短MTTR」→ 選 SOAR。問「哪個工具提供集中安全可見性」→ 選 SIEM。
B · 分類與工具
Incident Classification & Categorization
分類與嚴重性
| Severity Level | Characteristic | Response Speed | Escalation Level |
|---|---|---|---|
| Critical(P1) | 業務完全停止、大量數據洩露、關鍵系統被入侵 | 立即(<15分鐘) | CSIRT + C-Suite + 法律 + Board |
| High(P2) | 主要業務功能受損、敏感數據可能洩露 | 1小時內 | CSIRT + Senior Management |
| Medium(P3) | 部分系統受影響、業務輕微影響 | 4小時內 | CSIRT + IT Manager |
| Low(P4) | 輕微異常、無明顯業務影響 | 24小時內 | IT 團隊 |
Incident Classification Basis:
① CIA 影響:機密性/完整性/可用性受損程度
② 業務影響:哪些業務功能受影響、財務損失
③ 數據敏感性:涉及 PII、PHI、財務數據?
④ 蔓延潛力:事件是否可能擴大?
⑤ 法律義務:是否觸發 GDPR/HIPAA 通報要求?
① CIA 影響:機密性/完整性/可用性受損程度
② 業務影響:哪些業務功能受影響、財務損失
③ 數據敏感性:涉及 PII、PHI、財務數據?
④ 蔓延潛力:事件是否可能擴大?
⑤ 法律義務:是否觸發 GDPR/HIPAA 通報要求?
C · 遏制與恢復
Validate the Incident FIRST
事件驗證優先
⭐ High-Freq Exam Q:「SOC 分析師報告可能的系統洩露,事件響應經理應 FIRST 做什麼?」
→ 答案:A. Validate the incident(驗證事件)
→ 答案:A. Validate the incident(驗證事件)
| Step | Description |
|---|---|
| 1. Validate(驗證) | 首先確認這是否真實事件。進行初步分類(Triage),判斷警報是否為真實事故還是誤報(False Positive) |
| 2. 驗證後才行動 | 確認為真實事件後,才進行:運行漏洞掃描、禁用用戶帳戶、調查系統日誌、通知相關人員 |
❌ 未驗證就行動(錯誤)
- 運行端口掃描(可能干擾取證)
- 立即禁用用戶 ID(可能影響業務)
- 立即通知高層(可能引起不必要恐慌)
✅ 先驗證再行動(正確)
- 確認事件是否真實
- 評估初步影響和範圍
- 確認後才進入正式響應流程
Common Containment Activities
常見遏制步驟
遏制(Containment)是限制或減少安全事件影響的即時行動。以下是常見的遏制步驟:
- 通知持份者並適當升級 — 通知 CSIRT、Management、Legal(按嚴重性)
- 捕獲揮發性記憶體數據 — 在關機或斷開連接前必須先做!
- 進行全企業密碼重置 — 防止攻擊者利用已知憑據持續訪問
- 更新防火牆規則 — 阻止惡意 IP/域名
- 更新 IDS 簽名 — 添加新的入侵指標(IoC)
- 收集並分析日誌 — 確定事件範圍
- 創建受影響系統的取證映像 — 保護證據完整性
- 逆向分析惡意軟件 — 了解其功能和目的
- 隔離受影響系統 — 從網絡斷開,防止蔓延
⚠ 遏制決策需要高層管理批准!重點是平衡:立即阻止損害 vs 攻擊者反應風險(隔離可能警告攻擊者清除痕跡)。在行動前必須獲得 Senior Management 連同 Legal 和 ISM 的輸入。
IR Communication Plan
通訊計劃
溝通讓持份者在有效響應和業務連續性方面保持知情。不同受眾需要不同的信息和方法。
| Comm. Element | Description |
|---|---|
| WHO(誰) | 內部(IR團隊/管理層/法律/HR)和外部(客戶/監管機構/媒體/合作夥伴) |
| WHAT(什麼) | 每個受眾需要的詳細程度不同(技術細節 vs 業務影響) |
| HOW(如何) | 語音、SMS、電子郵件、安全聊天、Web 儀表板、帶外渠道 |
| WHEN(何時) | 更新頻率(實時 vs 每小時 vs 每日) |
| Audience | Comm. Focus |
|---|---|
| 響應團隊(IR/DR) | 安全的實時協調渠道 |
| Management(管理層) | 定期狀態更新、影響摘要 |
| 全體員工 | 一般意識(如計劃測試),最小化混亂 |
| 客戶/公眾 | 受控的主動更新(服務影響/恢復),謹慎處理 |
| 監管機構 | 法律要求的正式通知(GDPR 72h / HIPAA 60d) |
⚠ Key Principle:
① 建立清晰、授權的渠道 — 避免混亂和錯誤信息
② 指定單一信息源(Single Source of Truth) — 防止猜測和衝突信息
③ 使用帶外渠道 — 如標準渠道(如電子郵件)可能被入侵
④ 測試通訊計劃 — 在演習中使用模板和預批准聯絡人
① 建立清晰、授權的渠道 — 避免混亂和錯誤信息
② 指定單一信息源(Single Source of Truth) — 防止猜測和衝突信息
③ 使用帶外渠道 — 如標準渠道(如電子郵件)可能被入侵
④ 測試通訊計劃 — 在演習中使用模板和預批准聯絡人
NIDS / HIDS → SIEM Data Flow
數據流
NIDS — Network IDS(網絡入侵偵測)
- 監控網絡流量,偵測惡意活動
- 部署在網絡層面(如防火牆後)
- 可見整個網段的流量
- 數據通常發送到 SIEM 進行集中分析
HIDS — Host IDS(主機入侵偵測)
- 監控單個主機/端點的活動
- 部署在每個需要保護的系統上
- 監控文件更改、日誌、系統調用
- 數據同樣發送到 SIEM 進行集中關聯
NIDS + HIDS 數據 → SIEM(集中收集、標準化、關聯分析、告警)
IDS vs IPS:IDS = 偵測並告警(被動);IPS = 偵測並主動阻止(主動)。SIEM 整合兩者數據提供全面可見性。
Do NOT Rush Recovery
恢復勿急進
⚠ High-Freq Exam Point:「返回業務正常運作」前必須修復根本原因!不修復根本原因 = 邀請重複事件。
| Risk | Description |
|---|---|
| Hidden Backdoors(隱藏後門) | 攻擊者可能在系統中植入多個後門,匆忙恢復可能錯過 |
| Rootkits(根工具包) | 深層惡意軟件可能在系統重啟後仍然存在 |
| Persistent Access | 若未完全根除,攻擊者仍可維持對系統的訪問 |
✓
正確恢復順序
根除(完全移除惡意物)→ 修補漏洞 → 驗證安全基線(確認補丁、配置、控制正確)→ 密集監控(監視 IoC 返回跡象)→ 主動威脅獵捕 → 受控、分階段恢復上線
Root Cause Analysis (RCA) is Critical:找出所有攻擊向量和痕跡(徹底根除)+ 避免重建帶有漏洞的系統(安全恢復)。RCA 前不得急於「業務恢復正常」。
Threat Hunting
威脅獵捕
威脅獵捕是一種主動(Proactive)安全措施,主動搜索環境中可能已潛伏的未知威脅,而非等待告警觸發。
| Item | Description |
|---|---|
| 性質 | 主動式(Proactive),不依賴自動化告警 |
| 目的 | 發現已繞過現有控制(如 SIEM/EDR)的隱藏威脅,特別是 APT |
| 工具 | SIEM 日誌查詢、EDR/XDR 行為分析、威脅情報(IoC/TTP) |
| 觸發 | 定期執行(計劃性)或由威脅情報觸發(事件驅動) |
| 輸出 | 發現未知威脅、改善偵測規則、更新 IoC 數據庫 |
Exam Memory Aid:「哪個活動幫助組織主動識別和調查潛在威脅和漏洞?」→ Threat Hunting(威脅獵捕)
Threat Hunting ≠ Incident Response(被動);Threat Hunting = 主動搜尋,在事件發生前找到威脅。
Threat Hunting ≠ Incident Response(被動);Threat Hunting = 主動搜尋,在事件發生前找到威脅。
D · 事後檢視(官方ECO Task 37)
Post-Incident Review (PIR) ECO Task 37
事後檢視
⭐ 官方ECO Task 37(直接引用):「Conduct post-incident reviews to facilitate continuous improvement, including root-cause analysis, lessons learned, corrective actions and reassessment of risk.」
PIR 的首要目的 = 改善事件處理流程(Improve the incident handling process)
唔係問責、唔係懲罰、唔係計算損失、唔係確認合規——係持續改善(Continuous Improvement)
唔係問責、唔係懲罰、唔係計算損失、唔係確認合規——係持續改善(Continuous Improvement)
| PIR Official Elements | Description | Exam Focus |
|---|---|---|
| Root-Cause Analysis(根本原因分析) | 找出事件發生的最根本原因,而非表面症狀。例:唔係「密碼被盜」,而係「缺乏 MFA 政策」 | RCA 係 PIR 的核心活動之一;目的係防止重複發生 |
| Lessons Learned(汲取教訓) | 識別哪些地方做得好、哪些地方需要改善。通常在事件後 24-72 小時內進行,記憶還新鮮 | PIR 應係 Blameless(不問責)文化;聚焦改善,唔係追責 |
| Corrective Actions(糾正行動) | 根據 RCA 和 Lessons Learned,制定具體改善行動。包括政策更新、控制加強、培訓改善、流程修訂 | 糾正行動需要指定負責人和時間表,確保落實 |
| Reassessment of Risk(風險重新評估) | 事件後重新評估相關風險,更新 Risk Register。事件 = 風險物化,需要更新風險評估 | 更新後的風險評估可能改變 Risk Appetite 決策 |
1
收集數據
整理事件時間線、所有響應行動記錄、通訊記錄、系統日誌
2
Root-Cause Analysis
用 5-Whys 或 Fishbone 方法找出根本原因,而非停在表面症狀
3
Lessons Learned 會議
召集相關人員(Blameless):什麼做得好?什麼可以改善?什麼係缺口?
4
Corrective Actions 計劃
每個改善項目:負責人 + 完成期限 + 優先級。更新 IRP、政策、控制
5
Risk Reassessment
更新 Risk Register;向 Management 彙報風險狀態變化;調整安全投資優先次序
❌ 常見PIR錯誤
- 以問責和懲罰為目的
- 等太久才進行(記憶模糊)
- 只識別問題,不跟進糾正行動
- 唔更新 IRP 和 Risk Register
- 唔包括所有相關人員(IT、業務、法律)
✅ PIR 最佳實踐
- 事件後 24-72 小時內進行
- Blameless 文化,鼓勵坦誠分享
- 每個 Action Item 有負責人 + 期限
- 結果用於更新 IRP、政策、培訓
- 向 Management 正式匯報 PIR 結果
🎯 高頻考題類型:
「PIR 的主要目的係?」→ 改善事件處理流程(Improve incident handling process)
「PIR 應包括哪四個要素?」→ RCA + Lessons Learned + Corrective Actions + Risk Reassessment(官方ECO Task 37)
「PIR 唔係用來?」→ 問責個別人員、計算保險賠償、確認合規狀態
「PIR 的主要目的係?」→ 改善事件處理流程(Improve incident handling process)
「PIR 應包括哪四個要素?」→ RCA + Lessons Learned + Corrective Actions + Risk Reassessment(官方ECO Task 37)
「PIR 唔係用來?」→ 問責個別人員、計算保險賠償、確認合規狀態
D4 — 12 Must-Know Points
必背要點
- 事件響應第一步 = Containment(遏制),唔係根除、唔係恢復
- 遏制前先收集揮發性證據(記憶體),關機 = 永久失去
- NIST: No Skipping Steps:遏制 → 根除 → 恢復
- Chain of Custody = 確保證據在法律程序中可用
- GDPR = 72小時通報監管機構(個人數據洩露)
- HIPAA = 60天通報受影響個人
- 法律部門要盡早介入,有法律責任可能性就立即通知
- PIR 目的 = 改善事件處理流程;四要素:RCA + Lessons Learned + Corrective Actions + Risk Reassessment(官方ECO Task 37)
- 不建議付 Ransomware 贖金(唔保證恢復,鼓勵更多攻擊)
- CISO 溝通風險,Management 做最終決定
- SIEM = 偵測告警(看);SOAR = 自動響應(做);縮短 MTTR 選 SOAR
- 事件分類依據:CIA 影響 + 業務影響 + 數據敏感性 + 法律義務
Easily Confused Concepts — Full Comparison
易混概念
| Concept A | Concept B | Key Difference |
|---|---|---|
| Risk Appetite | Risk Tolerance | Appetite = 管理層願意接受的風險水平(主動策略決策);Tolerance = 可接受偏差範圍(操作邊界) |
| Threat(威脅) | Vulnerability(漏洞) | Threat = 潛在危害的來源(黑客、自然災害);Vulnerability = 系統的弱點(未修補漏洞) |
| Governance(治理) | Management(管理) | Governance = 方向/政策(WHAT/WHY);Management = 執行/監控(HOW/WHEN) |
| Accountability | Responsibility | Accountability = 最終問責(不可委託);Responsibility = 執行責任(可委託) |
| BCP | DRP | BCP = 業務整體持續運作(人員、流程、設施);DRP = IT 系統恢復(DRP ⊂ BCP) |
| IRP | BCP | IRP = 安全事故的技術響應(IRP ⊂ BCP);BCP = 重大中斷時的業務持續 |
| Inherent Risk | Residual Risk | Inherent = 控制前的原始風險;Residual = 控制後的剩餘風險(需SM正式接受) |
| KGI | KPI | KGI = 目標達成度(有沒達到目標);KPI = 執行效能(做得多好) |
| KPI | KRI | KPI = 量度現有執行效能(回顧性 Lagging);KRI = 預測未來潛在風險(前瞻 Leading) |
| RTO | RPO | RTO = 系統必須恢復運作的時間目標;RPO = 可接受的數據損失時間點(決定備份頻率) |
| MTD | RTO | MTD = 最長可容忍停機時間(硬性上限);RTO = 恢復目標(MTD ≥ RTO + WRT) |
| Policy | Standard | Policy = 高層次原則性要求(WHAT,強制);Standard = 具體量化規格(HOW MUCH,強制) |
| Standard | Guideline | Standard = 強制性具體要求;Guideline = 建議性最佳實踐(非強制!) |
| Data Owner | Data Custodian | Owner = 資產分類和保護決策(業務部門);Custodian = 技術性保管和實施(IT 部門) |
| Hot Site | Cold Site | Hot = 即時可用,成本最高;Cold = 需全面安裝,成本最低;Warm = 介乎兩者 |
| Full Backup | Incremental Backup | Full = 全部數據,恢復最快,空間最大;Incremental = 只備份變更,備份最快但恢復最慢 |
| Mitigate(減輕) | Avoid(迴避) | Mitigate = 降低風險但繼續活動;Avoid = 停止高風險活動 |
| Transfer(轉移) | Accept(接受) | Transfer = 轉移給第三方(保險/外包),責任仍在;Accept = 接受風險,不採取行動 |
| Parallel Test | Full Interruption | Parallel = 最有效+最低風險(主業務不停);Full Interruption = 最全面但主業務中斷 |
| Quantitative | Qualitative | Quantitative = 數字計算(ALE),需大量數據;Qualitative = 主觀評分(高/中/低),快速靈活 |
| CISO 匯報 CEO | CISO 匯報 CIO | 匯報 CEO = 正確,保持獨立性;匯報 CIO = 錯誤,安全需求被 IT 運營壓制 |
18 Common Exam Traps
常見陷阱清單
| # | Trap | Common Misconception | Correct Understanding |
|---|---|---|---|
| 01 | CISO 最終負責 | 「CISO 係安全負責人,所以最終負責」 | 最終問責永遠係 Senior Management,CISO 係顧問和執行 |
| 02 | 第一步就實施技術控制 | 「有問題馬上安裝防火牆」 | 第一步永遠係評估(BIA、Risk Assessment、Gap Analysis) |
| 03 | 事件響應先根除 | 「先消滅病毒,再隔離系統」 | Containment(遏制)永遠係第一步,先止血再根除 |
| 04 | 外判 = 外判責任 | 「供應商出事,係佢哋的責任」 | 外判工作,唔外判責任,法律責任仍在你的組織 |
| 05 | 合規 = 安全 | 「通過 PCI DSS 審計就安全了」 | 合規係最低標準,唔係安全目標 |
| 06 | Full Interruption 最佳 | 「Full Interruption 最徹底,所以最好」 | 「最有效 + 最低業務風險」= Parallel Test |
| 07 | Reciprocal Agreement 省錢好 | 「互換協議成本最低,係好選擇」 | Reciprocal Agreement 係最不可靠的 DR 方案 |
| 08 | Incremental 備份恢復快 | 「Incremental 省空間,所以好用」 | Incremental 恢復最慢(需要 Full + 所有 Incremental) |
| 09 | 定量分析一定更好 | 「有數字就更準確,所以定量更好」 | 數據不足時定性更合適,視乎情況 |
| 10 | PIR 係問責機制 | 「PIR 要找出誰出錯,誰負責」 | PIR 目的係改善,唔係問責。Blameless 文化 |
| 11 | RTO = RPO | 「RTO 同 RPO 都係恢復時間」 | RTO = 停機時間;RPO = 數據損失(完全唔同!) |
| 12 | KPI 用來預警風險 | 「KPI 可以預警風險上升」 | KRI 係預警(Leading);KPI 係成效(Lagging) |
| 13 | BCP = DRP | 「BCP 同 DRP 係同一件事」 | BCP ⊃ DRP,BCP 更廣(業務);DRP 係 IT 系統 |
| 14 | 關機前唔需要取證 | 「快點關機隔離,安全第一」 | 關機前必須先收集揮發性證據(記憶體) |
| 15 | 培訓完成率 = 培訓效果 | 「100% 員工完成培訓,效果很好」 | 完成率係參與指標,唔係效果指標 |
| 16 | Data Owner = IT 人員 | 「Data Owner 係 DBA 或 IT Manager」 | Data Owner = 業務部門;Data Custodian = IT |
| 17 | Guideline 係強制的 | 「Guideline 要強制遵守」 | Guideline 係建議性,Standard 才係強制 |
| 18 | Accountability 可委託 | 「可以把問責責任委託給 CISO」 | Accountability 不可委託!只有 Responsibility 可委託 |
Core Security Frameworks Overview
框架全覽
| Framework / Standard | Source | Core Content | CISM Relevance | Certifiable? |
|---|---|---|---|---|
| ISO/IEC 27001 | ISO | ISMS 建立標準,PDCA 循環,Annex A 93項控制 | D1, D3 | ✅ |
| ISO/IEC 27002 | ISO | 安全控制實施指南(27001 的實施指引) | D3 | ❌ |
| NIST CSF 2.0 | NIST(美國) | Govern-Identify-Protect-Detect-Respond-Recover | D1, D2, D4 | ❌ |
| NIST SP 800-53 | NIST(美國) | 聯邦政府資訊系統安全控制目錄(1000+控制) | D3 | ❌ |
| COBIT 2019 | ISACA | IT 治理和管理框架,40個管理目標,5大原則 | D1 | ❌ |
| CIS Controls v8 | CIS | 18個關鍵安全控制,優先次序清晰,中小企業友好 | D3 | ❌ |
| PCI DSS v4.0 | PCI SSC | 12項要求,支付卡數據保護 | D2, D3 | ✅ QSA |
| SOC 2 | AICPA | Trust Services Criteria:Security、Availability等5項 | D2, D3 | Type I/II |
NIST CSF 2.0 — 6 Functions
六大功能
| Function | Purpose | Main Activity |
|---|---|---|
| Govern(治理) | 建立網絡安全治理(CSF 2.0 新增) | 政策、角色、監督、風險管理策略 |
| Identify(識別) | 了解組織環境和風險 | 資產管理、業務環境、風險評估 |
| Protect(保護) | 實施保護措施 | 訪問控制、培訓、數據安全、技術保護 |
| Detect(偵測) | 識別安全事件 | 異常檢測、持續監控 |
| Respond(響應) | 採取行動應對事件 | 響應計劃、溝通、分析、緩解 |
| Recover(恢復) | 恢復受影響服務 | 恢復計劃、改善、溝通 |
Key Regulatory Requirements
法規要點
| Regulation | Key Takeaway | Notification Deadline | Penalty |
|---|---|---|---|
| GDPR | EU 個人數據保護;DPO 要求;數據主體權利(訪問、刪除、可攜帶) | 72小時(向監管機構) | 最高 €2000萬 或全球營業額 4% |
| HIPAA | 美國醫療數據保護;PHI 保護;BAA 要求 | 60天(向受影響個人) | 視嚴重性而定 |
| PCI DSS v4.0 | 12項要求;持卡人數據保護;QSA 年度審計 | N/A(合規持續性) | 罰款+撤銷信用卡處理資格 |
| SOC 2 Type II | 一段時期(6-12個月)的運作有效性;比 Type I 更有價值 | N/A | N/A |
ISO 27001 PDCA:Plan(建立ISMS)→ Do(實施控制)→ Check(監控審查)→ Act(持續改進)
CISM Complete Glossary
完整術語庫
ALE
Annual Loss Expectancy:年度預期損失 = SLE × ARO。控制投資上限。
APT
Advanced Persistent Threat:長期潛伏、針對特定目標的複雜攻擊。
ARO
Annual Rate of Occurrence:年度事件發生率(0.5 = 每兩年一次)。
BCP
Business Continuity Plan:業務整體持續運作計劃(包含 DRP 和 IRP)。
BIA
Business Impact Analysis:業務影響分析。BCP/DRP 的第一步。識別 RTO/RPO/MTD。
CASB
Cloud Access Security Broker:監控和控制雲端服務使用的安全工具。
Chain of Custody
證據保管鏈:確保數字證據在法律程序中可被採納的完整記錄。
CISO
Chief Information Security Officer:顧問和執行角色,應向 CEO/COO/Board 匯報,而非 CIO。
CMM
Capability Maturity Model:能力成熟度模型(Level 1-5)。
COBIT
Control Objectives for IT:ISACA 的 IT 治理和管理框架,5大原則,40個管理目標。
Cold Site
冷站點:僅有空間和基礎設施,無設備。RTO 最長,成本最低。
Compensating Control
補償控制:主控制無法實施時的替代措施。
CSIRT
Computer Security Incident Response Team:跨部門事件響應團隊。
Data Custodian
數據保管人:IT 部門,負責技術保護實施。執行角色,非決策者。
Data Owner
數據所有者:業務部門,負責數據分類和保護需求決策。
DPO
Data Protection Officer:GDPR 要求某些組織任命的獨立數據保護官。
DRP
Disaster Recovery Plan:IT 系統災難恢復計劃,係 BCP 的子集。
EF
Exposure Factor(0-100%):威脅對資產造成損害的百分比。用於計算 SLE。
GDPR
General Data Protection Regulation:EU 數據保護法規。個人數據洩露後 72小時通報監管機構。
Hot Site
熱站點:完全鏡像,即時可用,數據實時同步。RTO 最短,成本最高。
Inherent Risk
固有風險:未實施任何控制時的原始風險水平。Inherent > Residual。
IRP
Incident Response Plan:安全事件響應計劃,係 BCP 的子集。
KGI
Key Goal Indicator:量度目標達成度的回顧性指標(例:年度安全目標完成率)。
KPI
Key Performance Indicator:量度現有執行效能的回顧性(Lagging)指標。
KRI
Key Risk Indicator:提供風險上升早期預警的前瞻性(Leading)指標。
Least Privilege
最小權限:只給完成工作所需的最小訪問權限。
MTBF
Mean Time Between Failures:平均故障間隔時間,越長越好。
MTD
Maximum Tolerable Downtime:最大可容忍停機時間 (hard upper limit)。MTD ≥ RTO + WRT。
MTTD
Mean Time to Detect:平均偵測時間,越短越好。
MTTR
Mean Time to Repair:平均修復時間,越短越好。
Parallel Test
並行測試:同時運行主系統和備用系統。最有效+最低業務風險的 DR 測試。
PIR
Post-Incident Review:事後審查。Blameless 文化,目的是改善,唔係問責。
RACI
Responsible, Accountable, Consulted, Informed:責任分配矩陣。
Reciprocal Agreement
互惠協議:與另一組織互換使用 DR 設施。最不可靠的 DR 方案,不建議。
Residual Risk
殘餘風險:實施控制後的剩餘風險。必須由 Senior Management 正式接受並記錄。
Risk Appetite
風險胃口:管理層願意為業務目標承受的風險量。由 Board 定義,主動決策。
Risk Register
風險登記冊:記錄風險、評估結果、應對策略的動態文件,需定期更新。
Risk Tolerance
風險容忍度:Risk Appetite 的操作邊界(可接受的偏差範圍)。
RPO
Recovery Point Objective:最大可接受數據損失(決定備份頻率)。
RTO
Recovery Time Objective:系統必須恢復運作的時間目標(決定 DR 站點類型)。
SIEM
Security Information & Event Management:集中收集和關聯分析安全日誌,實時偵測異常並產生告警。提供集中可見性(Visibility)。
SOAR
Security Orchestration, Automation & Response:自動化響應工作流程,整合多個安全工具,縮短 MTTR。比 SIEM 更進一步(可自動行動)。
EDR
Endpoint Detection & Response:端點威脅偵測、調查和響應工具,記錄端點行為。
IoC
Indicator of Compromise:入侵指標,如惡意 IP、哈希值、域名等,用於威脅情報和入侵偵測。
Separation of Duties
職責分離:敏感任務需要多人配合,防止單人濫用權力。
SLE
Single Loss Expectancy:單次損失預期 = Asset Value × EF。
SOC 2 Type II
服務組織控制報告:評估一段時期(6-12個月)的安全控制運作有效性。比 Type I 更有價值。
Tabletop Exercise
桌面演練:最常用的 BCP 測試,低侵入性,口頭演練情景。
Warm Site
溫站點:基礎設施就緒但需數據恢復。介乎 Hot 和 Cold 之間。
WRT
Work Recovery Time:恢復工作所需時間(驗證、測試)。MTD ≥ RTO + WRT。
Zero Trust
零信任:「Never Trust, Always Verify」,不因網絡位置隱性信任任何請求。
12-Week Study Schedule
備考時間表
| Week | Focus | Daily Goal | Completion Criteria |
|---|---|---|---|
| 第 1-2 週 | 考試結構、官方考綱、四大 Domain 概覽、心態建立 | 1-2 小時 | 能說出四大 Domain 名稱、比重和核心考點 |
| 第 3-4 週 | 深入 D1(Governance vs Management、CISO匯報、Policy層級、KGI/KPI/KRI) | 1.5-2 小時 | 能解釋 Governance vs Management 區別,Accountability vs Responsibility |
| 第 5-6 週 | 深入 D2(風險公式、四種處理選項、控制類型、第三方風險) | 1.5-2 小時 | 能計算 ALE,解釋四種風險處理,Risk Appetite vs Tolerance |
| 第 7-8 週 | 深入 D3(BCP/DRP/BIA、RTO/RPO/MTD/WRT、測試類型、備份策略、成熟度) | 2 小時 | 能計算 RTO 上限(MTD-WRT),區分六種測試類型 |
| 第 9-10 週 | 深入 D4(NIST六步驟、取證、通報時限、PIR、攻擊類型) | 2 小時 | 能背出 NIST 六步驟順序,GDPR=72h vs HIPAA=60d |
| 第 11 週 | 大量練習題,分析錯題,針對弱項強化 | 30-50 題 | 練習題正確率達 75% 以上 |
| 第 12 週 | 模擬全真考試、複習陷阱清單、術語總複習 | 1 次模擬考 | 模擬考分數達 450 以上(56%) |
Study Checklist — 20 Milestones
打卡清單
- 閱讀官方 CISM Exam Content Outline(免費下載自 ISACA 網站)
- D1:Governance vs Management 和 Accountability vs Responsibility 理解
- D1:政策層級(Policy → Standard → Procedure → Guideline)熟記
- D1:CISO 匯報結構(應向 CEO/COO/Board,而非 CIO)和 KGI/KPI/KRI 理解
- D2:風險公式(ALE / SLE / ARO / EF / ROI)記熟,能計算
- D2:四種風險處理選項(Mitigate/Transfer/Accept/Avoid)理解,Transfer≠消除責任
- D2:控制功能類型(Preventive/Detective/Corrective/Deterrent/Compensating/Recovery)熟記
- D2:Risk Appetite vs Risk Tolerance,Inherent Risk vs Residual Risk 清楚
- D3:BCP/DRP/IRP 的區別和關係(BCP ⊃ DRP ⊃ IRP),BIA 是第一步
- D3:RTO/RPO/MTD/WRT 的含義和公式(MTD ≥ RTO + WRT),能計算 RTO 上限
- D3:六種 DR 測試方法(Tabletop 至 Full Interruption),Parallel Test = 最有效+最低風險
- D3:備份策略(Full/Differential/Incremental),口訣:Full=大慢快,Inc=小快慢
- D4:事故響應六步驟(Preparation至Lessons Learned),圍堵(Containment)永遠第一
- D4:揮發性證據收集順序,關機前必須先收集記憶體
- D4:GDPR=72小時 vs HIPAA=60天,通報時限必背
- 易混淆概念:Governance/Management、Accountability/Responsibility、BCP/DRP/IRP
- 陷阱清單:18個常見錯誤,每個都過一遍
- 關鍵詞答題技巧:BEST/FIRST/EXCEPT/LEAST/PRIMARILY 的答題方向
- 完成所有練習題,正確率達 75% 以上
- 完成一次模擬考試,分數達 450/800 以上
⚖ ISACA 職業道德 & AUP & 成熟度模型
ISACA Code of Professional Ethics — 7 Items
七大職業道德準則
CISM 持有人必須遵守以下準則。考試可能以情景題形式測試。
1
支持標準與合規
支持實施並鼓勵遵守適當的標準和程序(Support the implementation of, and encourage compliance with, appropriate standards)
2
盡職盡責
以應有的勤勉和專業護理履行職責,符合職業標準(Perform duties with due diligence and professional care)
3
誠信服務持份者
以合法、誠實的方式服務持份者利益,維持高標準品德(Serve stakeholders in a lawful and honest manner)
4
保密資訊
維護在履行職責過程中獲得的資訊的私隱和保密性。除非法律要求另有規定(Maintain privacy and confidentiality — unless law requires otherwise)
5
維持能力
在各自領域維持能力,只承接能夠勝任的工作(Maintain competency; only undertake activities they can complete competently)
6
披露重大事實
告知相關方工作結果,披露所知的所有重大事實(Inform appropriate parties of results; reveal all significant known facts)
7
支持安全教育
支持持份者的專業教育,提升其對安全治理和管理的理解(Support professional education of stakeholders)
⚠ Exam Focus:準則第4條說「保密資訊」,但有例外——「除非法律要求你另行披露」。若法律要求通報,必須遵從法律。
Acceptable Use Policy (AUP)
可接受使用政策
| Item | Content |
|---|---|
| 定義 | 正式文件,說明所有與組織資訊系統和數據互動的人員的允許活動和禁止行為 |
| 適用範圍 | 任何使用或處理組織資訊資產的人員(員工、承包商、第三方) |
| 覆蓋範疇 | 訪問控制、數據分類處理、事件報告、披露限制、移動設備使用 |
| 關鍵元素 | 允許和禁止的活動、違規後果、角色與職責、溝通與意識 |
| 接受方式 | 接收者通常需要簽署確認同意(Recipients typically sign to acknowledge agreement) |
AUP vs Policy:AUP 是 Policy 的具體實例,針對「如何使用系統」的規定。AUP 失效最常見原因 = 員工不知道其存在,或管理層不執行。
CMMI — Capability Maturity Model Integration
成熟度模型 Level 1-5
重要:CMMI 原由 Carnegie Mellon 大學 SEI 開發,現由 ISACA 維護!考試可能考此知識點。
| Level | Name | Characteristic | Typical Issue |
|---|---|---|---|
| 1 | Initial(初始) | 臨時應急、混亂、無文件化、依賴英雄主義個人 | 「我們沒有標準流程,全靠小明」 |
| 2 | Repeatable(可重複) | 有基本流程但不一致,依賴個人記憶,各部門自行其是 | 「A 部門有做,B 部門唔做」 |
| 3 | Defined(定義) | 標準化流程,全組織文件化並一致執行 | 「有政策,全員遵守」 |
| 4 | Managed/Quantitative(量化) | 可量化管理,用數據驅動決策,有 KPI 追蹤 | 「我們的 MTTR 平均 2.3 小時」 |
| 5 | Optimizing(優化) | 持續改善,創新應對新威脅,以數據推動優化 | 「我們每季檢討並改進流程」 |
⚠ Level 5 不一定是目標!達到並維持 Level 5 成本極高。成熟度目標應由業務需求和風險胃口決定,不是越高越好。不同控制和流程可以有不同的目標成熟度級別。
🧠 記憶口訣
初 → 重 → 定 → 量 → 優
考試問「如何從 Level 2 升至 Level 3?」→ 標準化和文件化流程,確保全組織一致執行(Defined)
考試問「Level 4 的特徵?」→ 有量化指標、KPI 追蹤、數據驅動(Managed)
考試問「Level 4 的特徵?」→ 有量化指標、KPI 追蹤、數據驅動(Managed)
Balanced Scorecard
平衡計分卡 — 4 Perspectives
平衡計分卡是戰略規劃和管理工具,用於對齊組織策略和衡量績效。它從四個維度溝通優先事項並監測進度。
| Dimension | Core Question | Security Metric Example |
|---|---|---|
| 財務 Financial | 股東如何看我們? | 安全事故造成的財務損失、安全投資回報率(ROI) |
| 客戶 Customer | 客戶如何看我們? | 客戶滿意度、SLA 達成率、數據洩露次數 |
| 業務流程 Internal Process | 我們必須在哪方面出色? | 漏洞修補時間、事件響應時間(MTTR) |
| 學習與成長 Learning & Growth | 如何持續學習和創造價值? | 培訓完成率、技能認證數量、安全意識提升 |
Exam Memory Aid:Balanced Scorecard = 「車的儀表板」,不同儀表(指標)一起告訴你車(組織)運行得多好。問「哪個工具提供跨多個維度的績效全景視圖」→ Balanced Scorecard。
Centralized vs Decentralized Security
集中式 vs 分散式
| Characteristics | Centralized | Decentralized |
|---|---|---|
| 一致性 | ✅ 更高,標準統一 | ❌ 較低,各部門不同 |
| 本地適應性 | ❌ 較低 | ✅ 更高,可配合當地法規 |
| 資源效率 | ✅ 更高(規模經濟) | ❌ 較低(重複投入) |
| 對本地問題響應 | ❌ 較慢 | ✅ 較快 |
| 服務質量 | ✅ 一致 | ❌ 各單位不一 |
| 適用情況 | 小組織或單一管轄區 | 跨國企業,多法規環境 |
Regardless of model, all security programs must:與業務目標對齊 · 獲得高層管理支持 · 包含監控和報告 · 提供安全意識培訓
🏢 BMIS / COBIT / ERM 框架詳解
BMIS — Business Model for Information Security
ISACA 開發
BMIS 是一個整體框架,從業務角度處理安全問題,而非單純技術視角。
4 Core Elements
核心元素
| Element | Description | Exam Focus |
|---|---|---|
| Org Design & Strategy 組織設計與策略 | 定義業務目標、使命,以及資源和角色如何互動。必須適應內外部因素 | 安全策略必須從這裡出發 |
| People(人) | 策略的人員元素:HR/安全問題、角色、職責。必須考慮行為、偏見和培訓 | 人是最大弱點和最大資產 |
| Process(流程) | 完成工作的正式/非正式機制,包括風險和合規流程。必須與業務需求對齊 | 流程必須文件化並持續改善 |
| Technology(技術) | 增強流程的工具、基礎設施和應用。不斷變化,引入自身風險和文化接受問題 | 技術本身也有風險 |
6 Dynamic Interconnections
四元素之間的張力
| # | Interconnection | Description |
|---|---|---|
| 1 | Governance(治理) | 戰略領導,定義邊界,監控績效,確保合規,適應變化 |
| 2 | Culture(文化) | 影響資訊使用和管理的共同態度、信念、行為 |
| 3 | Enabling & Support(賦能與支持) | 通過用戶友好的安全措施、政策和程序將技術連接到流程 |
| 4 | Emergence(湧現) | 不可預測的變化或新發展(反饋循環、流程改進、意外威脅) |
| 5 | Human Factors(人為因素) | 人與技術的相互作用;包括培訓、文化差異和代際視角 |
| 6 | Architecture(架構) | 正式封裝人員、流程、政策和技術如何融合。實現縱深防禦 |
BMIS Exam Points:兩個 ISACA 自家框架 = COBIT(IT 治理)和 BMIS(業務模型)。BMIS 強調安全是業務問題,不只是技術問題。
COBIT — 6 Principles
六大原則
COBIT 2019 包含六個核心原則,描述治理系統的要求:
- Provide Stakeholder Value(提供持份者價值) — 使安全和 IT 與持份者需求對齊
- Holistic Approach(整體方法) — 將流程、結構和資訊視為整合系統
- Dynamic Governance System(動態治理系統) — 適應技術、威脅和業務的變化
- Governance Distinct From Management(治理與管理分離) — 戰略監督與日常運營分開
- Tailored to Enterprise Needs(按企業需求定制) — 根據組織規模、文化和風險胃口定制
- End-to-End Governance System(端對端治理) — 覆蓋整個企業,而非僅 IT 職能
COBIT Framework Features:將安全置於更廣泛的 IT 治理和管理框架中;關注資源和風險管理;自願採用(非強制)。
Enterprise Risk Management (ERM) Frameworks
企業風險管理框架
| Framework | Source | Key Feature |
|---|---|---|
| COSO ERM | COSO | 定義風險管理組件和原則;提倡「共同風險語言」(統一術語和概念) |
| ISO 31000:2018 | ISO | 概述風險管理的原則、框架和流程;幫助識別機會和威脅 |
| BS 31100 | 英國標準 | 提供與 ISO 31000 對齊的實務流程:識別、評估、響應、報告、審查 |
| NIST RMF | NIST(美國) | 系統性地將安全整合到 SDLC 每個階段;對美國聯邦機構強制 |
SWOT Analysis in Security Strategy
SWOT 應用
S — Strengths(優勢)
- 組織或安全計劃的內部優勢
- 例:強大的安全文化、技術人才、充足預算
- 目的:識別可利用的競爭優勢
W — Weaknesses(劣勢)
- 造成劣勢或控制缺口的內部弱點
- 例:老舊系統、缺乏培訓、人手不足
- 目的:識別需要改善的領域
O — Opportunities(機會)
- 可利用來改善安全態勢的外部因素
- 例:新技術、監管變化、業務擴張
- 目的:識別可推進安全的外部條件
T — Threats(威脅)
- 可能損害組織或安全工作的外部因素
- 例:新型攻擊、競爭對手、監管處罰
- 目的:識別需要防範的外部風險
SWOT Exam Application:用於確保安全與業務目標對齊;指導控制投資決策;SWOT 是現況評估(Current State Assessment)的工具之一。
EISA — Enterprise Information Security Architecture
企業資訊安全架構
EISA 是整體企業架構中的安全藍圖,將安全需求、解決方案和流程與業務策略和 IT 基礎設施對齊。
| Item | Description |
|---|---|
| 核心目的 | 提供結構、一致性和路線圖,使安全支持業務目標同時管理風險(CIA) |
| SABSA 框架 | 業務驅動、分層架構方法,從業務需求出發定義安全要求 |
| TOGAF 框架 | 更廣泛的企業架構框架,含安全考量 |
| 缺少 EISA 的後果 | 碎片化、被動的安全工作,通常更昂貴且效果更差 |
| 考試重點 | EISA 的目的比特定框架細節更重要:系統地將業務驅動因素連接到安全實施 |
架構框架類型:COBIT(IT治理)· TOGAF(企業架構)· SABSA(安全架構)· Zachman(企業架構)· E2AF(擴展企業架構)
框架提供積木,確保它們協同工作以實現共同目標。
框架提供積木,確保它們協同工作以實現共同目標。
Assurance Provisions
治理監督機制
組織的資訊安全策略必須包含監督方法。保證條款確保安全計劃得到有效實施和維護。
| Type | Description | Characteristics |
|---|---|---|
| Internal Audits(內部審計) | 較大組織通常設有向董事會或高層管理匯報的專職審計部門;較小組織可能由安全官員擔任或外包 | 持續性,了解內部情況 |
| External Audits(外部審計) | 由獨立第三方進行,可能涵蓋 IT 和整體安全實踐;在受監管行業可能是強制性的 | 客觀獨立,可信度高 |
| Compliance Enforcement(合規執行) | 必須有高層管理支持;優先根據風險和影響確定合規;對高風險領域有執法機制 | 「若員工知道領導者不承諾,他們可能不會遵守」 |
⚠ Exam Point:領導層對合規的承諾往往為整個組織定下基調。保證條款 = 確認策略計劃有效性並讓領導層保持知情的體現。
🎯 威脅行為者、威脅向量與威脅情報
Threat Actors — Classification
威脅行為者
| Type | Description | Motivation | Skill | Funding |
|---|---|---|---|---|
| Script Kiddies | 使用現成工具的低技能攻擊者 | 炫耀技能 | 低,依賴現成工具 | 最少 |
| Hacktivists 駭客行動主義者 | 以黑客手段推動社會或政治目的的個人或組織 | 信仰驅動,服務「更大目的」 | 中等 | 眾籌或自費 |
| Criminal Syndicates 犯罪集團 | 以網絡犯罪牟利的有組織犯罪集團 | 財務利益 | 高度複雜、協調 | 充足,自給自足 |
| APT 高級持續性威脅 | 國家支持的組織,長期、針對性攻擊 | 政治或經濟目的 | 極高,專業化 | 國家支持,資金充足 |
| Insiders 內部威脅 | 濫用訪問權限傷害組織的授權用戶 | 行動主義、財務利益、怨恨 | 不定,利用內部訪問 | 通常自費 |
| Competitors 競爭對手 | 進行企業間諜活動竊取敏感資訊的組織 | 業務優勢 | 中等至高 | 企業支持,資源充足 |
⚠ APT Key Characteristics:長期潛伏(月/年)· 針對特定目標 · 高度複雜 · 國家支持 · 難以偵測。響應 APT 時:深度取證,找出所有後門;謹慎 Containment(避免打草驚蛇)。
Threat Vector vs Attack Surface
威脅向量 vs 攻擊面
Threat Vector(威脅向量)
- 攻擊者用來獲得未授權訪問的方法或途徑
- 把它想成:攻擊者走的路徑
- 例子:釣魚郵件、惡意附件、未修補漏洞、社交工程
- 類比:攻城的特定方法(例:爬弱牆)
Attack Surface(攻擊面)
- 攻擊者可利用的所有潛在入口點的總和
- 把它想成:組織呈現的所有弱點的全景
- 例子:未保護設備、弱密碼、開放端口、過時軟件
- 類比:整個城堡本身(包括所有牆、門、弱點)
關係:防禦越強,攻擊面越小。攻擊面越小,有效的威脅向量就越少。
策略目標:縮小攻擊面 → 減少可利用的威脅向量。
策略目標:縮小攻擊面 → 減少可利用的威脅向量。
| Common Threat Vector | Description |
|---|---|
| Email / 社交媒體 | 釣魚攻擊、垃圾郵件、社交工程的常見入口 |
| Direct Access(直接訪問) | 對設施或系統的物理訪問,通過未授權進入實現 |
| Wireless Networks(無線網絡) | 可從附近遠程訪問,無需物理進入 |
| Removable Media(可移動媒體) | USB 驅動器等可傳播惡意軟件或洩露數據 |
| Cloud(雲端) | 配置錯誤的訪問控制或安全漏洞 |
| Third-Party(第三方) | 通過供應鏈、供應商或業務伙伴引入的漏洞 |
Threat Intelligence
威脅情報
| Type | Description | Example |
|---|---|---|
| OSINT 開源情報 | 來自政府機構、安全博客、社區論壇的公開威脅資訊 | CISA、社區論壇 |
| Proprietary Intelligence 專有情報 | 商業或私人威脅資訊服務,提供獨家或付費訪問 | Mandiant、CrowdStrike、IBM |
| Vulnerability Databases 漏洞資料庫 | 已知安全漏洞的集中存儲庫 | NVD、CVE、MITRE ATT&CK |
| IoC 入侵指標 | 表明可能發生安全事件的取證數據 | 文件哈希、惡意 IP、域名 |
| ISAC 信息共享和分析中心 | 在特定行業內促進威脅信息共享的有組織社區 | FS-ISAC(金融)、H-ISAC(醫療) |
STIX / TAXII / AIS — Threat Intel Standards
威脅情報標準
| Standard | Full Name | Function | Analogy |
|---|---|---|---|
| STIX | Structured Threat Information eXpression | 定義表達網絡威脅資訊的通用語言(WHAT) | 定義「說什麼」 |
| TAXII | Trusted Automated eXchange of Intelligence Information | 定義傳輸STIX 信息的方式(HOW) | 定義「怎麼說」 |
| AIS | Automated Indicator Sharing(CISA) | CISA 提供的免費機器可讀網絡威脅指標實時交換能力 | 公共威脅情報廣播 |
Memory Aid:STIX 定義「說什麼」;TAXII 定義「怎麼傳」。STIX 信息透過 TAXII 安全傳輸。
4 Criteria for Evaluating Threat Intel (ISACA):
①Timeliness(時效性) — 資訊是否足夠及時?
②Accuracy(準確性) — 基於驗證來源的可靠性
③Relevance(相關性) — 對你的組織有多適用?
④Confidence Scoring(置信度評分) — 評估威脅情報可信度的標準化評分
①Timeliness(時效性) — 資訊是否足夠及時?
②Accuracy(準確性) — 基於驗證來源的可靠性
③Relevance(相關性) — 對你的組織有多適用?
④Confidence Scoring(置信度評分) — 評估威脅情報可信度的標準化評分
Risk Identification Techniques
風險識別技術
| Technique | Description | Use Case |
|---|---|---|
| Workshops(工作坊) | 跨職能小組確定所有可能的威脅(技術、物理、操作),共同識別漏洞 | 初步風險識別,獲取多方視角 |
| Structured Techniques(結構化技術) | 如數據流程圖,識別系統、流程和人員中的弱點 | 系統性分析特定流程 |
| What-If / Scenario Analysis(情景分析) | 審查不太確定或新興情況(戰略風險或技術變化),預測潛在結果和影響 | 新興威脅和未知風險 |
| Threat Mapping(威脅映射) | 將內外部威脅與已知或疑似漏洞關聯,確定組織最脆弱的領域 | 優先排序和集中防禦資源 |
重要:所有這些都應被視為定期重複的活動,而非一次性工作。風險識別是持續循環的過程。
Consequences of Non-Compliance
非合規後果
| Consequence Type | Description |
|---|---|
| Reputational Damage(聲譽損害) | 客戶信任喪失和收入損失,影響可能持續多年 |
| Sanctions(制裁) | 可能比罰款更嚴重的法律後果,包括對運營的限制甚至刑事指控 |
| Contractual Impacts(合同影響) | 不合規可能導致合同違約,導致罰款或合作關係終止 |
| Fines(罰款) | 未報告洩露可能導致高達數百萬的罰款,並可能引發訴訟 |
| Loss of License(執照吊銷) | 在某些情況下,不合規可能導致業務執照或運營許可被撤銷 |
⚠ 合規 vs 接受風險:ISACA 將評估非合規後果描述為業務決策。但若人類安全或用戶隱私面臨風險,職業道德和業務聲譽保護優先於成本考慮。
🔬 漏洞管理 & 滲透測試 & CVE/CVSS
| System | Full Name | Function | Maintained By |
|---|---|---|---|
| CVE | Common Vulnerabilities and Exposures | 公開已知安全漏洞的字典,含 CVE ID、描述、日期。不含 CVSS 分數 | MITRE |
| CVSS | Common Vulnerability Scoring System | 漏洞的嚴重性評分(0-10),用於漏洞掃描工具的優先排序 | FIRST |
| NVD | National Vulnerability Database | 同步自 MITRE CVE 列表,包含 CVSS 分數;需要 CVSS 分數到 NVD 查 | NIST |
| CWE | Common Weakness Enumeration | 軟件和硬件弱點類型的分類列表(比 CVE 更高層次) | MITRE |
Mnemonic:CVE = 具體漏洞列表(無分數)→ 查分數去 NVD → CVSS 是分數系統 → CWE 是弱點類型。
「CVE 列表供給 NVD」——NVD 是 CVE 的超集,加了 CVSS 分數。
「CVE 列表供給 NVD」——NVD 是 CVE 的超集,加了 CVSS 分數。
Vulnerability Scan vs Penetration Test
漏洞掃描 vs 滲透測試
Vulnerability Scan(漏洞掃描)
- 自動化工具掃描已知漏洞
- 報告弱點及嚴重性(CVE)
- 通常非侵入性
- 幾乎任何人都能操作
- 類比:火警偵測器(告知有火,但不說在哪、多嚴重)
- 頻率:定期(月度)
Penetration Test(滲透測試)
- 模擬真實攻擊,人工+自動化結合
- 嘗試利用漏洞並評估潛在影響
- 侵入性,可能造成中斷
- 需要專業技能和資格
- 類比:消防員測試火警系統和灑水系統
- 頻率:定期,通常年度
| Pentest Knowledge Type | Description | Also Known As |
|---|---|---|
| White Box(白盒) | 測試者獲得完整系統信息和網絡地圖,已知環境 | Known Environment |
| Black Box(黑盒) | 測試者對目標系統一無所知,完全盲測 | Unknown Environment |
| Grey Box(灰盒) | 提供有限信息(如登錄憑據),模擬長期訪問的黑客 | Partially Known Environment |
| Exercise Type | Role | Responsibility |
|---|---|---|
| Red Team(紅隊) | 進攻方 | 模擬真實攻擊者,測試安全計劃有效性 |
| Blue Team(藍隊) | 防禦方 | 內部安全團隊,防禦紅隊和真實攻擊者 |
| Purple Team(紫隊) | 流程改善 | 確保並最大化紅隊和藍隊的有效性 |
| White Team(白隊) | 裁判/監督 | 監督紅藍隊演習,充當裁判角色 |
Pentest Key Concepts:
Lateral Movement(橫向移動)= 在進入初始系統後,移動到網絡內部的其他設備
Privilege Escalation(權限提升)= 以比運行用戶更高的權限執行代碼
Persistence(持久性)= 在被攻破的系統上保持長期存在的能力
Rules of Engagement(交戰規則)= 定義測試目的、範圍、時間和限制
Lateral Movement(橫向移動)= 在進入初始系統後,移動到網絡內部的其他設備
Privilege Escalation(權限提升)= 以比運行用戶更高的權限執行代碼
Persistence(持久性)= 在被攻破的系統上保持長期存在的能力
Rules of Engagement(交戰規則)= 定義測試目的、範圍、時間和限制
Vulnerability Scan Types
掃描類型
| Scan Type | Description | Pros / Cons |
|---|---|---|
| Credentialed(憑據掃描) | 擁有更高權限的掃描,可發現需要特權才能看到的漏洞 | 更全面,能發現非到期密碼等 |
| Non-Credentialed(無憑據掃描) | 較低權限,識別攻擊者容易發現的漏洞 | 更接近真實攻擊者視角 |
| Non-Intrusive(非侵入式) | 被動掃描,僅報告漏洞,不嘗試利用 | 安全,可在生產環境使用 |
| Intrusive(侵入式) | 嘗試利用漏洞,可能造成系統損害 | 僅在沙盒環境使用,不在生產系統 |
7 Risk Likelihood Factors
風險可能性因素
| Factor | Description | Impact Direction |
|---|---|---|
| Volatility(波動性) | 情況的穩定性——不穩定時,特定風險的可能性更高 | 波動↑ → 風險可能性↑ |
| Velocity(速度) | 風險事件發生及其影響被感受到的速度 | 速度↑ → 預警時間↓ → 危害↑ |
| Proximity(接近性) | 事件發生到其影響之間的時間間隔 | 時間越短 → 負面後果可能性↑ |
| Interdependency(相互依賴) | 風險不孤立存在,一個風險的實現可被其他風險影響 | 依賴越多 → 連鎖效應風險↑ |
| Motivation(動機) | 潛在攻擊者的動機影響攻擊可能性 | 動機越強 → 攻擊者越執著 → 成功率↑ |
| Skill(技能) | 潛在攻擊者的技能水平影響成功攻擊的可能性 | 技能越高 → 複雜攻擊可能性↑ |
| Visibility(可見性) | 高能見度目標更容易吸引攻擊 | 目標越知名 → 攻擊者注意力↑ |
考試應用:這七個因素需要綜合考慮,結合其他風險評估信息,對各種風險的可能性進行更全面的理解,從而更好地優先排序。
🔐 密碼學 & PKI & 數字證書
4 Goals of Cryptography
密碼學四大目標
1. Confidentiality(機密性)
確保資訊對未授權方保持秘密。對靜態和傳輸中的數據加密。
2. Integrity(完整性)
保證資訊在傳輸或存儲過程中未被篡改。通過哈希驗證。
3. Authentication(身份驗證)
驗證通訊或訪問資源的實體身份。通過數字證書和簽名實現。
4. Non-repudiation(不可否認性)
防止實體否認其參與交易或通訊。數字簽名提供不可否認性。
Symmetric vs Asymmetric Encryption
對稱 vs 非對稱
Symmetric(對稱)加密
- 使用共享密鑰加密和解密
- 速度快,適合大量數據加密
- 缺點:缺乏可擴展性、密鑰分發困難、無不可否認性
- 例子:AES-256(最常用)
- 用途:批量加密、靜態數據加密
Asymmetric(非對稱)加密
- 使用公私鑰對加密和解密
- 速度慢,適合密鑰分發和身份驗證
- 優點:可擴展、支持不可否認性
- 例子:RSA、DH、ECC
- 用途:分發對稱密鑰、數字簽名、身份驗證
實際應用組合:非對稱加密用於安全地交換對稱密鑰,然後用對稱密鑰進行快速的批量數據加密。這是 TLS/HTTPS 的工作原理。
Hash Functions
哈希函數
哈希是一種將任意長度輸入轉換為固定長度輸出的單向函數。
| Hash vs Encryption | Hash | Encryption |
|---|---|---|
| 方向 | 單向(不可逆) | 雙向(可用密鑰解密) |
| 目的 | 驗證完整性 | 確保機密性 |
| 輸出 | 固定長度摘要 | 可變長度密文 |
5 Requirements of a Good Hash Function:
① 可接受任意長度輸入
② 提供固定長度輸出
③ 計算相對容易(對任意輸入)
④ 單向功能(不可逆)
⑤ 無碰撞(Collision Free)
① 可接受任意長度輸入
② 提供固定長度輸出
③ 計算相對容易(對任意輸入)
④ 單向功能(不可逆)
⑤ 無碰撞(Collision Free)
| Common Use | Description |
|---|---|
| 驗證數字簽名 | 確認簽名未被篡改 |
| 文件完整性監控 | 偵測未授權更改 |
| 數據傳輸驗證 | 確認傳輸數據未損壞 |
| Chain of Custody | MD5/SHA-256 哈希驗證取證副本完整性 |
Digital Signatures
數字簽名
數字簽名是一個用發送者私鑰加密的哈希值,提供三個關鍵效益:
Authentication(身份驗證)
正面識別發件人。私鑰的所有權與特定用戶綁定。
Non-repudiation(不可否認)
發件人之後無法否認曾發送消息。在線交易中有時是必需的。
Integrity(完整性)
提供消息未被修改或損壞的保證。接收者知道消息在傳輸中未被更改。
1
創建數字簽名
發送者對消息進行哈希,然後用發送者的私鑰加密哈希值,形成數字簽名
2
驗證數字簽名
接收者用發送者的公鑰解密簽名,得到哈希值;然後對收到的消息重新哈希,比較兩個哈希值
3
驗證結果
哈希值匹配 = 消息完整且來自該發送者;哈希值不匹配 = 消息被篡改或發送者身份有問題
PKI — Public Key Infrastructure
公鑰基礎設施
1
Root CA(根 CA)
信任根(Root of Trust)。為下級 CA 簽發證書。Best Practice: Keep Root CA Offline,僅在特定操作時上線,防止被攻破。
2
Subordinate / Policy CA(從屬/政策 CA)
也稱為中間 CA。向簽發 CA 簽發證書。Root CA 和 Issuing CA 之間的中間層。
3
Issuing CA(簽發 CA)
向客戶端、服務器、設備、網站等最終實體簽發數字證書。
Trust Flows Down:根 CA 的可信度傳遞給從屬 CA,再傳遞給簽發 CA,最後傳遞給由簽發 CA 簽發的終端證書。
| PKI Concept | Description |
|---|---|
| RA(Registration Authority) | 負責驗證證書申請者身份,並將請求轉發給 CA |
| CRL(Certificate Revocation List) | 已撤銷證書的列表。CA 必須發布 CRL。客戶端下載文件進行檢查,可能很大且過時。 |
| OCSP(Online Certificate Status Protocol) | 比下載 CRL 更快地檢查單個證書狀態的方法 |
| CSR(Certificate Signing Request) | 發送給 CA 以創建數字證書的消息,包含申請者信息和對應公鑰 |
| Stapling(裝訂) | OCSP 的一種方法,網絡服務器預先下載 OCSP 響應並提供給瀏覽器 |
| Pinning(固定) | 緩解欺詐性證書使用的方法;一旦看到特定主機的公鑰,就將其固定到該主機 |
補充 · 加密算法對比(高頻考點)
Common Encryption Algorithms
常見加密算法速查
| Algorithm | Type | Key Size | CISM Exam Note |
|---|---|---|---|
| AES | Symmetric | 128/192/256 bit | 現今最常用對稱加密;AES-256 係黃金標準;速度快,適合大量數據 |
| RSA | Asymmetric | 2048/4096 bit | 最常用非對稱加密;用於密鑰交換和數字簽名;速度慢 |
| ECC | Asymmetric | 256 bit ≈ RSA 3072 | 比 RSA 更小密鑰達同等安全;適合移動設備和 IoT |
| DH / DHE | Key Exchange | — | Diffie-Hellman:安全地在不安全通道交換密鑰;唔用於加密數據本身 |
| 3DES | Symmetric(舊) | 168 bit | DES 的改良版,現已過時;不建議新系統使用 |
| SHA-256/SHA-3 | Hash(唔係加密) | 256/384/512 bit | 哈希函數,唔係加密!用於完整性驗證;MD5/SHA-1 已被破解 |
⚠ 常見混淆:SHA 係哈希(Hash),唔係加密!哈希係單向不可逆;加密係雙向可解密。考試問「確保完整性」→ Hash;「確保機密性」→ 加密。
TLS Handshake — How HTTPS Works
TLS 握手流程
1
Client Hello
客戶端發送支持的加密套件清單和隨機數
2
Server Hello + Certificate
服務器選擇加密套件,發送數字證書(含服務器公鑰)
3
Certificate Verification
客戶端驗證證書,確認服務器身份(信任鏈)
4
Session Key Exchange
用服務器公鑰(非對稱)安全交換會話密鑰(對稱)
5
Encrypted Communication
後續通訊全部使用對稱會話密鑰加密(速度快)
核心原理:非對稱加密(RSA/ECC)解決密鑰分發問題;對稱加密(AES)解決速度問題。TLS 結合兩者優點。
Crypto/PKI — 8 Must-Know Points
密碼學必背要點
- 加密 ≠ 哈希:加密雙向可逆(保密性);哈希單向不可逆(完整性)
- 數字簽名 = 私鑰加密哈希:提供 Authentication + Non-repudiation + Integrity
- 非對稱規則:加密用接收方公鑰;解密用接收方私鑰。簽名用發送方私鑰;驗證用發送方公鑰
- Root CA 必須 Offline:防止被攻破;信任鏈:Root CA → Sub CA → Issuing CA
- CRL vs OCSP:CRL = 下載整份撤銷清單(慢);OCSP = 即時查詢單張(快)
- TLS = 非對稱 + 對稱組合:非對稱交換密鑰;對稱(AES)加密數據
- MD5 / SHA-1 已被破解,現代系統應使用 SHA-256 或以上
- Non-repudiation 只有數字簽名能提供,純加密唔提供不可否認性
💾 數據保護技術 & DRM/DLP/CASB & 數據混淆
Data Lifecycle
數據生命週期
1
Create(創建)
數據誕生。可由用戶創建(用戶創建文件)或系統創建(系統記錄訪問日誌)。
2
Classify(分類)⭐
盡早分類!只有知道數據的敏感性,才能正確保護它。分類決定後續所有保護措施。
3
Store(存儲)
靜態數據(Data at Rest)保護:根據分類進行加密(理想情況下使用對稱加密如 AES),實施訪問控制。
4
Use(使用)
使用中數據保護:訪問控制、DLP 監控。傳輸中數據(Data in Transit):TLS 加密。
5
Archive(歸檔)
有時需要歸檔以遵守法規或業務原因。保留期限由法規、風險管理和待決訴訟決定。
6
Destroy(銷毀)⭐
不再需要的數據必須安全銷毀,確保無法讀取或恢復。保留超過必要時間的數據會增加風險!
⚠ Exam Focus:數據分類應在創建後盡快進行,因為只有知道數據的敏感性,才能充分保護它。數據保留越長 = 風險越高。
DRM / DLP / CASB — Comparison
數據保護工具比較
| Tool | Full Name | Focus | Scope | Primary Users |
|---|---|---|---|---|
| DRM | Digital Rights Management | 內容保護和訪問控制 | 主要是數字內容和軟件 | 內容創作者、出版商 |
| DLP | Data Loss Prevention | 防止數據洩露和敏感信息保護 | 組織內所有敏感數據 | 處理敏感數據的組織(金融、醫療) |
| CASB | Cloud Access Security Broker | 雲端服務安全和可見性 | 雲端服務和應用 | 大量使用雲端服務的組織 |
DRM — 數字版權管理
- 允許內容所有者對他人使用其內容實施限制
- 常見於保護娛樂內容(音樂、電影、電子書)
- 偶爾用於企業保護存儲在文件中的敏感信息
- 保護隨文件一起移動,防止本地覆蓋 DRM 保護
DLP — 數據損失防護
- 識別、監控並自動保護敏感信息
- 監控並告警潛在違規和過度共享
- 策略可應用於:郵件、SharePoint、雲存儲、移動設備、數據庫
- 涵蓋偵測(Detective)、預防(Preventive)、糾正(Corrective)控制
CASB(雲訪問安全代理):
可以安裝在本地或雲端的安全策略執行解決方案。主要作用:控制 Shadow IT(未授權雲服務使用)、提供雲端訪問可見性和安全控制。
可以安裝在本地或雲端的安全策略執行解決方案。主要作用:控制 Shadow IT(未授權雲服務使用)、提供雲端訪問可見性和安全控制。
Data Obfuscation Techniques
數據混淆
| Technique | Definition | Reversible? | Example |
|---|---|---|---|
| Data Minimization | Collect only the minimum data required to fulfil the stated purpose. Manage retention to meet regulations — don't keep data longer than needed. | N/A | Need age group? Collect bracket, not exact DOB. GDPR principle: reduces breach impact. |
| Purpose Limitation | Use collected data only for the specific purpose disclosed at collection — cannot repurpose without fresh consent | N/A | Data collected for account notifications ≠ can use for marketing campaigns |
| Data Masking 數據遮蔽 | 只保留數據字段中的部分數據 | 否(顯示層) | 信用卡顯示為 **** **** **** 1234 |
| Anonymization 匿名化 | 刪除所有相關數據,使原始主體不可識別 | 否(永久) | 統計數據中移除所有個人標識符 |
| Tokenization 令牌化 | 用隨機生成的令牌替換有意義的數據,原始數據保存在保險庫中 | 是(需訪問保險庫) | 支付處理:信用卡號替換為令牌 |
| Pseudonymization 假名化 | 用人工標識符或假名替換個人可識別信息(PII)字段 | 是(需訪問另一數據源) | GDPR 推薦的去識別化程序 |
Key Distinction:
匿名化= 永久無法逆轉,真正的去識別化
假名化= 可逆,通過另一數據源可重新識別(GDPR 仍視為個人數據!)
令牌化= 無狀態,比加密更強,密鑰不在本地
匿名化= 永久無法逆轉,真正的去識別化
假名化= 可逆,通過另一數據源可重新識別(GDPR 仍視為個人數據!)
令牌化= 無狀態,比加密更強,密鑰不在本地
Backup: Electronic Vaulting / Remote Journaling / Remote Mirroring
備份策略補充
| Strategy | Description | Recovery Speed | Data Loss (RPO) |
|---|---|---|---|
| Electronic Vaulting 電子保管 | 批量/批次將備份數據傳輸到異地存儲(通常定期) | 較慢 | 自上次備份以來的數據 |
| Remote Journaling 遠程日誌 | 持續傳輸交易日誌/數據更改到異地,用於時間點恢復 | 較快 | 最少(近實時) |
| Remote Mirroring 遠程鏡像 | 在遠程站點維護精確的數據副本(同步或異步) | 最快 | 幾乎零(同步) |
Mnemonic (Recovery Speed): Vaulting(慢) < Remote Journaling(中) < Remote Mirroring(快)
對應 DR 站點:Cold → Warm → Hot
對應 DR 站點:Cold → Warm → Hot
補充 · 數據三態與保護方法
Three States of Data
數據三態(高頻考點)
| State | Definition | Protection Method | Example |
|---|---|---|---|
| Data at Rest | 存儲在磁盤、數據庫、備份媒體上未被使用的數據 | 加密(AES-256)+ 訪問控制 + 物理安全 | 數據庫、硬盤、USB、備份磁帶 |
| Data in Transit | 通過網絡或系統間移動的數據 | TLS/HTTPS、VPN、IPSec | 電子郵件、API 調用、文件傳輸 |
| Data in Use | 正在被處理或讀取的數據(RAM 中) | 訪問控制、記憶體加密、DLP 監控 | 瀏覽器開啟的文件、RAM 中的數據 |
⚠ 考試陷阱:Data in Use 係最難保護的狀態。「哪個狀態最脆弱」→ Data in Use。「靜態數據最佳保護」→ Encryption at Rest。
DLP Deployment Modes
DLP 部署模式
| DLP Mode | Coverage | Monitors | Exam Focus |
|---|---|---|---|
| Network DLP | Data in Transit | 電郵、Web、FTP 傳輸 | 防止數據通過網絡外洩;部署在閘道/代理 |
| Endpoint DLP | Data in Use / at Rest | USB 拷貝、打印、截圖、上傳 | 防止本地洩露;覆蓋員工工作站 |
| Storage DLP | Data at Rest | 掃描存儲系統識別敏感數據 | 找出錯誤存放的敏感數據 |
| Cloud DLP / CASB | Cloud Data | M365、Google Drive、Box 數據流動 | 控制 Shadow IT;雲端數據可見性 |
考試記憶:「防止 USB 複製機密文件」→ Endpoint DLP;「控制雲端 SaaS 可見性」→ CASB
Data Classification — 4 Levels
數據分類四級
| Level | Sensitivity | Example | Handling |
|---|---|---|---|
| Restricted / Top Secret | 最高 | 國家機密、CEO 薪酬、M&A 計劃 | 最嚴格控制、強加密、Need-to-Know |
| Confidential / Secret | 高 | 財務數據、客戶 PII、HR 記錄 | 加密、訪問日誌、NDA |
| Internal Use Only | 一般 | 內部政策、員工手冊 | 僅限員工,不對外公開 |
| Public | 無限制 | 市場資料、官網內容 | 可公開分享 |
⚠ 關鍵:分類由 Data Owner(業務部門)決定,唔係 IT!IT(Data Custodian)只按分類實施技術保護。
DataTech/DLP — 6 Must-Know Points
數據技術必背要點
- 數據三態:at Rest(磁盤加密)/ in Transit(TLS)/ in Use(訪問控制)— 各有不同保護方法
- Data in Use 最難保護,係三態中最脆弱的
- 匿名化(Anonymization)= 永久不可逆;假名化(Pseudonymization)= 可逆,GDPR 仍視為個人數據
- 令牌化(Tokenization)比加密更強,原始數據存在保險庫,本地只有 Token
- Data Owner 決定分類,唔係 IT;IT 係 Data Custodian(執行保護)
- DLP 三功能:Discover / Monitor / Protect;CASB = 雲端 DLP
🚨 IR 進階 — IM vs IR、取證、媒體清理、XDR/MDR
Incident Management vs Incident Response
重要區別
Incident Management(IM)— 事件管理
- 戰略計劃和整體框架
- 包括:規劃、政策、資源分配、治理、恢復、持續改善
- 確保準備就緒並與業務目標對齊
- 在事件發生前就存在
- 類比:大局觀治理
Incident Response(IR)— 事件響應
- 事件被宣布後觸發
- 關注即時行動:識別、遏制、根除、恢復
- 目標:最小化即時影響,快速恢復運營
- 事件發生後執行
- 類比:實地行動
關係:IR 執行整體 IM 策略的部分內容。IM 和 IR 一起構建服務運營的韌性。Senior Management 支持對兩者都至關重要。
Investigation Types
調查類型
| Type | Focus | Led By | Standard |
|---|---|---|---|
| Administrative(行政) | 政策違規、員工行為 | 內部 HR/管理層 | 組織政策 |
| Criminal(刑事) | 刑事指控,法庭呈堂 | 執法機構 | 嚴格的法律程序和證據標準 |
| Civil(民事) | 訴訟相關,損害/責任賠償 | 當事方律師 | 民事訴訟程序 |
| Regulatory(監管) | 確保符合法律/法規(HIPAA/GDPR) | 監管機構 | 具體法規要求 |
| Industry Standards(行業標準) | 最佳實踐或行業規範的遵守情況 | 行業機構/審計師 | PCI DSS 等行業標準 |
eDiscovery vs Digital Forensics
詳細區別
eDiscovery(電子取證/電子發現)
- 識別、保存、收集、審查和製作電子存儲信息(ESI)用於訴訟
- 重點:收集潛在相關數據
- 通常不涉及深度技術分析
- 可由受過培訓的 IT 員工或法律支持執行
- 類比:收集和整理文件
Digital Forensics(數字取證)
- 科學方法收集、保存、分析和呈現數字證據
- 重點:恢復數據(含已刪除)、分析系統痕跡、確定事件如何發生
- 需要專業訓練、工具和專業知識
- 需維護數字取證的嚴格程序和完整性
- 類比:分析和解釋文件
關係:取證通常通過以可驗證方式提取數據來支持 eDiscovery。eDiscovery 公司通常不分析他們收集的數據;取證調查人員有專業培訓來分析數據、保護數據完整性並恢復丟失或刪除的數據。
Types of Evidence
證據類型
| Type | Description | Example |
|---|---|---|
| Real(實物) | 物理/有形物品 | 計算機、USB 驅動器、打印文件 |
| Testimonial(證詞) | 目擊者陳述 | 員工關於所看所見的陳述 |
| Documentary(文件) | 書面記錄 | 電子郵件、日誌文件、合同 |
| Demonstrative(示範) | 視覺輔助工具 | 圖表、地圖、模型 |
| Best Evidence(最佳) | 原始文件優先於副本 | 原始合同比複印件更好 |
| Hearsay(傳聞) | 非基於第一手知識,通常不可採納 | 「我聽說...」(有例外) |
| Conclusive(決定性) | 無可爭辯,凌駕所有其他類型 | DNA 證據(在某些情況下) |
⚠ Evidence Admissibility:證據必須符合三個條件才可在法庭採納:①與案件相關 ②與案件有實質關聯 ③依法收集(Competent/Legally Collected)
Chain of Custody 斷裂 = 證據被推翻!
Chain of Custody 斷裂 = 證據被推翻!
Media Sanitization — NIST SP 800-88
媒體清理
| Method | Description | Security Level | Use Case |
|---|---|---|---|
| Clear(清除) | 邏輯覆寫(基本數據移除),使用正常讀取工具無法恢復 | 最低 | 低風險數據,重新使用設備 |
| Purge(淨化) | 高級邏輯/物理方法,使實驗室恢復不可行(例:加密擦除 Crypto-shredding) | 中高 | 敏感數據,設備退役 |
| Destroy(銷毀) | 物理損毀介質,使設備完全無法使用 | 最高 | 最高機密數據,確保無法恢復 |
🧠 記憶口訣
Clear → Purge → Destroy覆寫 → 磁消/加密 → 物理銷毀
安全程度從低到高。考試問「最安全的媒體清理方法」→ Destroy
加密擦除(Crypto-shredding)= 屬於 Purge 類別,加密數據後丟棄密鑰
加密擦除(Crypto-shredding)= 屬於 Purge 類別,加密數據後丟棄密鑰
XDR / MDR — Complete Tool Matrix
工具矩陣
| Tool | Full Name | Scope | Key Feature | Exam Focus |
|---|---|---|---|---|
| SIEM | Security Information & Event Management | 日誌集中 | 集中收集和關聯日誌,實時告警,提供可見性 | 偵測告警(看) |
| SOAR | Security Orchestration, Automation & Response | 自動響應 | 自動化 Playbook,整合工具,縮短 MTTR | 自動響應(做) |
| EDR | Endpoint Detection & Response | 端點 | 偵測和響應端點威脅,記錄端點行為 | 端點層面工具 |
| XDR | Extended Detection and Response | 多層整合 | 比 EDR 範圍更廣,整合端點、網絡、雲端、郵件數據,統一威脅視圖,自動化 | EDR 的延伸,跨層整合 |
| MDR | Managed Detection and Response | 外包服務 | 第三方提供 24/7 監控、威脅獵捕和響應專業知識;包含人員和流程 | 外包安全運營,含人員 |
EDR vs XDR
- EDR:專注個別端點(筆記本、服務器、手機)
- XDR:更廣泛範圍,整合多個層次
- XDR = EDR + 網絡 + 雲端 + 郵件 + 更多
- XDR 使用自動化和機器學習進行高級偵測
MDR — 外包安全運營
- 第三方服務,包含人員 + 流程 + 技術
- 提供 24/7 監控、威脅獵捕和響應
- ⚠ 外包安全,責任仍在組織
- 合同必須明確定義 SLA、合規職責、數據所有權
Exam Memory Aid:問「哪個工具提供集中安全可見性」→ SIEM;問「縮短 MTTR,自動響應」→ SOAR;問「端點威脅偵測」→ EDR;問「跨多個安全層整合偵測」→ XDR;問「24/7 外包安全運營」→ MDR。
NIST vs SANS vs CMU SEI — IR Framework Comparison
框架對比
| Framework | Step / Phase | Characteristics |
|---|---|---|
| NIST SP 800-61 | 準備→偵測分析→遏制根除恢復→事後活動(4大階段) | 最常在 CISM 考試引用。詳細指導各階段活動。 |
| SANS | 準備→識別→遏制→根除→恢復→汲取教訓(6步) | 明確的 6 步順序,特別強調各步驟的獨立性 |
| CMU SEI | 準備→保護→偵測→分類→響應(5步) | 卡內基梅隆大學軟件工程研究所框架 |
考試重點:ISACA 考試最常引用 NIST。但更重要的是理解所有框架的共同元素:準備→偵測→遏制→根除→恢復→改進。順序不可跳步(除非管理層批准)。
Triage / Mitigation / Remediation — Definitions
術語區別
| Term | Definition | When It Occurs |
|---|---|---|
| Triage(分類/優先排序) | 初步評估和優先排序:對傳入事件進行分類,確定哪些是真正的事件,按嚴重性排序 | 偵測分析階段(早期) |
| Containment(遏制) | 限制事件的範圍和規模,防止進一步蔓延;保護現有系統 | 第三階段(優先) |
| Mitigation(緩解) | 降低嚴重性/開始修復行動;與遏制重疊,開始實際修復 | 遏制期間和後期 |
| Eradication(根除) | 刪除事件痕跡(惡意軟件、後門) | 遏制之後 |
| Remediation(補救) | 修復根本原因(例:打補丁修復被利用的漏洞) | 根除之後/與根除並行 |
| Recovery(恢復) | 將系統恢復到安全的正常運作 | 根除和補救之後 |
⚠ Note:Eradication(根除)= 刪除惡意物;Remediation(補救)= 修復漏洞。兩者通常並行,但補救根本原因是防止事件再發的關鍵。不修復根本原因 = 邀請重複事件。
Telecom Continuity
通訊連續性
IRP 必須詳細說明組織如何在事件期間維持或恢復電信網絡。
| Considerations | Description |
|---|---|
| 覆蓋範圍 | 語音、WAN、LAN、第三方網絡全部納入計劃 |
| 漏洞識別 | 中心局問題、電纜切斷、軟件錯誤、安全漏洞 |
| 備份方案 | 不要只依賴運營商;考慮替代方案(衛星、無線) |
| 電源 | 確保 UPS 覆蓋電信設備 |
| 帶外通訊(Out-of-Band) | 如果標準渠道(如電子郵件)可能受損,使用安全的帶外通訊渠道 |
Incident Management vs Risk Management
Risk Management(風險管理)
- 關注預防
- 識別、評估和緩解潛在風險
- 在事件發生之前工作
- 目標:降低風險發生的可能性和影響
Incident Management(事件管理)
- 關注有效響應
- 遏制損害,恢復正常運營
- 在風險物化為事件後工作
- 目標:最小化業務影響,防止升級
關係:物化的風險 = 事件(Materialized Risk = Incident)。IM 建立協調響應計劃,遏制損害,防止事件演變為災難。IR 能力強化整體風險態勢。
D3 · ECO D3-A2
🔑 Identity & Access Management (IAM)
身份與訪問管理 — 高頻考點,每次考試 2-3 題
D3 33%MUST KNOW
A · 核心概念
IAM Core Principles
IAM 四大原則
Identification(識別)
聲稱身份:提供用戶名、員工 ID。唔係驗證,只係聲明「我係誰」
Authentication(驗證)
證明身份:密碼、MFA、生物特徵。驗證聲稱是否屬實
Authorization(授權)
批准訪問:Role、Permission、ACL。確定已驗證用戶能做什麼
Accountability(問責)
追蹤行動:審計日誌、活動記錄。確保所有行動可被追溯
🧠 記憶口訣
I Am Authorized Accountably(我被授權地問責)
Authentication Factors — 3 Types + MFA
三類驗證因素
| Factor Type | Description | Example | Weakness |
|---|---|---|---|
| Type 1 — Something You Know | 知識因素 | 密碼、PIN、安全問題 | 可被猜測、釣魚、洩露 |
| Type 2 — Something You Have | 持有因素 | OTP Token、智能卡、手機 Authenticator | 可被盜竊或遺失 |
| Type 3 — Something You Are | 生物特徵 | 指紋、虹膜、臉部識別 | 無法更改;FRR/FAR 問題 |
MFA(多因素驗證)= 至少兩種不同類型因素。密碼 + PIN = 同一 Type 1,唔算 MFA!密碼 + OTP = Type 1 + Type 2 = ✅ MFA
⚠ 生物特徵關鍵術語:
FAR(False Acceptance Rate)= 錯誤接受率,唔應該進入的人進入了 → 安全風險
FRR(False Rejection Rate)= 錯誤拒絕率,合法用戶被拒絕 → 可用性問題
CER(Crossover Error Rate)= FAR = FRR 的交叉點,越低越好
FAR(False Acceptance Rate)= 錯誤接受率,唔應該進入的人進入了 → 安全風險
FRR(False Rejection Rate)= 錯誤拒絕率,合法用戶被拒絕 → 可用性問題
CER(Crossover Error Rate)= FAR = FRR 的交叉點,越低越好
B · 訪問控制模型
Access Control Models — Comparison
訪問控制模型對比(高頻)
| Model | Full Name | How it Works | Who Controls | CISM Exam Point |
|---|---|---|---|---|
| DAC | Discretionary Access Control | 資源擁有者自行決定誰能訪問;ACL(訪問控制清單) | 資源擁有者 | 最靈活但最不安全;Insider Threat 風險高 |
| MAC | Mandatory Access Control | 系統強制執行標籤(Top Secret/Secret/Confidential);用戶無法更改 | 系統/管理員 | 最嚴格;政府/軍事環境;Bell-LaPadula 模型 |
| RBAC | Role-Based Access Control | 按角色分配權限;用戶繼承角色的權限 | 管理員(按職位) | 企業最常用;Least Privilege 最容易實施 |
| ABAC | Attribute-Based Access Control | 按屬性(用戶/資源/環境)動態決定訪問 | 策略引擎 | 最靈活;雲端/零信任環境;比 RBAC 更細緻 |
考試記憶:問「企業最常用」→ RBAC;問「最嚴格/政府」→ MAC;問「最靈活但最危險」→ DAC;問「零信任/雲端細粒度控制」→ ABAC
C · IAM 關鍵概念
Key IAM Concepts
必背 IAM 概念
| Concept | Definition | Exam Focus |
|---|---|---|
| Least Privilege(最小權限) | 用戶只獲得完成工作所需的最低權限 | CISM 最核心原則之一;減少內部威脅風險 |
| Separation of Duties(職責分離) | 高風險任務需要多人完成,防止單人舞弊 | 財務審批、IT 變更、Root CA 操作 |
| Need-to-Know | 即使有訪問權限,也只在有業務需要時才訪問 | MAC 環境常見;補充 Least Privilege |
| Privileged Access Management (PAM) | 管理和監控特權帳戶(Admin、Root);Just-in-Time 訪問 | 特權帳戶係最高風險;應有額外監控 |
| Single Sign-On (SSO) | 一次登入訪問多個系統;用 SAML/OAuth/OIDC 實現 | 方便用戶但 SSO 帳戶係單點故障;需要強 MFA |
| Federated Identity | 跨組織信任身份;用戶用自己組織的帳戶訪問合作夥伴系統 | 雲端和 B2B 場景;SAML 係主要協議 |
| Identity Lifecycle | Provisioning(創建)→ Review(審查)→ Deprovisioning(撤銷) | 離職員工帳戶必須即時撤銷! |
| Access Review / Recertification | 定期審查用戶訪問權限是否仍然合適 | 減少 Privilege Creep(權限膨脹) |
⚠ Privilege Creep(權限膨脹):用戶隨時間積累過多權限(換崗、升職但舊權限未撤銷)→ 解決方法:定期 Access Review + Recertification
IAM — 8 Must-Know Points
IAM 必背要點
- Identification ≠ Authentication:聲稱身份 vs 證明身份,係兩個步驟
- MFA 需要不同 Type 因素:密碼 + PIN = 同 Type 1,唔係 MFA
- RBAC 企業最常用;MAC 最嚴格(政府);ABAC 最靈活(雲端)
- Least Privilege = 最小權限;Separation of Duties = 職責分離,兩者互補
- 離職員工帳戶必須即時撤銷(Deprovisioning),係高頻考點
- Privilege Creep(權限膨脹)= 定期 Access Review 解決
- PAM(特權訪問管理)= 對 Admin/Root 帳戶的額外控制,Just-in-Time 訪問
- SSO 係單點故障,必須配合強 MFA;Federated Identity 用 SAML 跨組織信任
D3 · 近年出題增加
☁️ 雲端安全
Cloud Security — Shared Responsibility Model & Key Concepts
D3 33%
A · 服務模型與責任劃分
Shared Responsibility Model — IaaS / PaaS / SaaS
共同責任模型(最高頻雲端考點)
| 責任範疇 | IaaS Infrastructure as a Service | PaaS Platform as a Service | SaaS Software as a Service |
|---|---|---|---|
| 物理基礎設施 | 雲端提供商 | 雲端提供商 | 雲端提供商 |
| 網絡 / 虛擬化 | 雲端提供商 | 雲端提供商 | 雲端提供商 |
| OS / Runtime | 客戶 | 雲端提供商 | 雲端提供商 |
| 應用程式 | 客戶 | 客戶 | 雲端提供商 |
| 數據 / 訪問控制 | 客戶 | 客戶 | 客戶 |
| 身份管理 (IAM) | 客戶 | 客戶 | 客戶 |
⚠ 關鍵原則:無論使用哪種雲端模型,數據保護責任永遠係客戶的!雲端提供商管理底層基礎設施,但你的數據、你的用戶訪問、你的合規要求 = 你負責。
IaaS 例子
- AWS EC2, Azure VM, GCP Compute
- 客戶管理 OS 以上全部
- 最大靈活性,最多責任
PaaS 例子
- AWS RDS, Azure App Service, Heroku
- 客戶只管應用和數據
- 開發者友好
SaaS 例子
- Microsoft 365, Salesforce, Google Workspace
- 客戶只管數據和用戶
- 最少控制,最少責任
B · 部署模型與安全概念
Cloud Deployment Models
雲端部署模型
| Model | Description | Security Trade-off | CISM Exam Point |
|---|---|---|---|
| Public Cloud | 共享基礎設施;多租戶環境 | 成本低但控制少;多租戶隔離風險 | 數據主權問題;適合非敏感工作負載 |
| Private Cloud | 專屬基礎設施;單一組織 | 最高控制和安全;成本最高 | 適合高度敏感數據;監管合規要求 |
| Hybrid Cloud | Public + Private 組合 | 靈活但複雜;需要統一安全策略 | 最常見企業模式;敏感數據留 Private |
| Community Cloud | 同行業組織共享(如醫療機構) | 行業合規共識;共享成本 | HIPAA 合規醫療場景常用 |
Key Cloud Security Concepts
雲端安全關鍵概念
| Concept | Description | Exam Focus |
|---|---|---|
| Shadow IT | 員工未經 IT 批准使用的雲端服務(如個人 Dropbox 存公司數據) | CASB 係主要控制工具;ISM 需建立政策 |
| Data Sovereignty(數據主權) | 數據受存儲地點的法律管轄;跨境數據傳輸受 GDPR 等法規約束 | 選擇雲端供應商時必須考慮數據駐留地 |
| Cloud Access Security Broker (CASB) | 位於用戶和雲端服務之間的安全執行點;提供可見性、合規、數據安全 | 控制 Shadow IT 最有效工具 |
| Zero Trust Architecture | 「永不信任,永遠驗證」;無論在內網還是外網都需驗證;Micro-segmentation | 現代安全架構趨勢;CISM 近年常考 |
| Cloud Security Posture Management (CSPM) | 持續監控雲端配置,識別錯誤配置風險 | 雲端最大風險 = 錯誤配置(Misconfiguration) |
| Serverless / FaaS 安全 | Function as a Service;責任邊界更靠近應用層 | 傳統網絡控制失效;重點係代碼安全和 IAM |
⚠ 雲端最大風險:唔係供應商被攻擊,係客戶自己的錯誤配置(Misconfiguration)!如 S3 Bucket 公開、開放的安全組規則。CSPM 工具用於持續偵測配置問題。
Cloud Security — 6 Must-Know Points
雲端安全必背要點
- 數據責任永遠係客戶的,無論 IaaS/PaaS/SaaS,數據和 IAM 你負責
- SaaS 客戶責任最少(數據 + 用戶);IaaS 客戶責任最多(OS 以上全部)
- Shadow IT 最大風險 = 數據在未受控的雲端服務 → CASB 係解決方案
- 雲端最大風險 = 錯誤配置,唔係供應商被黑;CSPM 用於持續監控
- Zero Trust = 永不信任,永遠驗證;適合混合雲和遠程辦公環境
- 數據主權:選雲端供應商前必須確認數據存儲地點,符合當地法規
D3 · ECO D3-B2
🎓 安全意識與培訓計劃
Security Awareness Program Design & Measurement
D3 33%
A · 培訓計劃設計
Awareness vs Training vs Education
三個層次的分別
| Level | Target | Goal | Example | Frequency |
|---|---|---|---|---|
| Awareness(意識) | 所有員工 | 讓員工知道安全風險存在,改變態度 | 釣魚郵件提示、海報、Newsletter | 持續、定期 |
| Training(培訓) | 特定崗位員工 | 傳授具體技能,改變行為 | 安全操作培訓、Phishing 測試、角色扮演 | 每年一次或按需 |
| Education(教育) | 安全專業人員 | 深度理解,培養安全思維 | CISM 認證、大學課程、深度研究 | 持續學習 |
CISM 考點:Awareness = 改變態度;Training = 改變行為;Education = 深度理解。三者相輔相成,唔能互相取代。
Program Design — Key Elements
培訓計劃設計要素
| Element | Description | CISM Exam Point |
|---|---|---|
| Risk-Based Targeting | 基於風險確定培訓優先對象:高風險角色(Finance、HR、IT Admin)先接受針對性培訓 | 培訓資源有限時,先針對高風險人員 |
| Role-Based Content | 不同崗位有不同威脅,培訓內容應有針對性:Finance = BEC 詐騙;IT = 系統安全 | 唔係所有員工需要同樣培訓 |
| Phishing Simulation | 模擬釣魚攻擊測試員工實際反應;點擊率下降 = 培訓有效 | 最有效的行為改變量度方法 |
| Management Sponsorship | 高層管理支持係培訓成功關鍵:若員工見到領導不重視,自己也不會重視 | Senior Management 支持係所有安全計劃成功的基礎 |
| Metrics & Feedback | 追蹤培訓效果;收集員工反饋;持續改善計劃 | Metrics = 行為指標,唔係完成率 |
B · 效果量度(高頻考點)
Measuring Training Effectiveness
培訓效果量度 — 行為改變才係真正效果
❌ 錯誤指標(唔能反映效果)
- 培訓完成率(100% 完成 ≠ 有學到)
- 培訓滿意度評分(喜歡 ≠ 行為改變)
- 培訓時數(時間長 ≠ 有效果)
- 測試通過率(考試通過 ≠ 實際會避免風險)
✅ 正確指標(行為改變)
- Phishing 點擊率下降(最直接的行為指標)
- 安全事件數量減少(成效最終體現)
- 及時舉報可疑郵件比率上升
- 密碼重用率下降(行為改變)
⚠ 超高頻考點:「哪個指標最能衡量安全意識培訓的有效性?」→ 永遠選行為改變指標(Phishing 點擊率、安全事件數)而非完成率或滿意度。
Social Engineering Awareness — Key Attack Types
社交工程意識培訓重點
| Attack Type | Description | Training Focus |
|---|---|---|
| Phishing | 大規模虛假郵件誘騙憑證或惡意連結 | 識別可疑郵件特徵;懸停查看連結 |
| Spear Phishing | 針對特定個人的精準釣魚;使用個人化資訊 | 高管和財務人員重點培訓 |
| Vishing | 電話語音釣魚;冒充 IT 支援或銀行 | 從不通過電話提供密碼 |
| Smishing | SMS 短信釣魚;虛假銀行或快遞通知 | 不點擊不明短信連結 |
| Pretexting | 偽造場景騙取資訊;冒充調查員、記者 | 驗證對方身份再提供資訊 |
| Baiting | 使用誘餌(USB 隨身碟)誘騙受害者 | 唔插入來源不明的 USB 設備 |
D3 · ECO D3-B1
🔄 變更管理
Change Management — 安全計劃中的變更控制
D3 33%
Change Management Process
變更管理流程
1
Change Request(變更申請)
提出變更需求,說明變更原因、範圍、預期影響
2
Risk Assessment(風險評估)
評估變更帶來的安全風險;識別潛在影響;安全評估係必要步驟
3
Change Advisory Board (CAB) 審批
由 CAB 審查和批准重大變更;緊急變更有 Emergency CAB
4
Implementation(實施)
按批准計劃實施變更;記錄所有步驟;準備 Rollback 計劃
5
Post-Implementation Review
驗證變更成功;確認無負面安全影響;更新文件
⚠ 考試重點:未經授權的變更係安全事件的主要原因之一!所有變更必須經過正式審批流程,包括緊急補丁,只是流程可以加速。
Change Types & Security Implications
變更類型與安全影響
| Change Type | Description | Security Consideration |
|---|---|---|
| Standard Change | 預先批准的低風險常規變更 | 仍需記錄;有既定流程 |
| Normal Change | 需要完整 CAB 審批的變更 | 安全評估必須納入審批流程 |
| Emergency Change | 緊急安全補丁或故障修復 | 可以繞過正常審批但必須事後補做文件和審查 |
| Configuration Change | 系統配置更改(防火牆規則、訪問控制) | 配置管理數據庫(CMDB)必須同步更新 |
ISM 在變更管理中的角色:
① 確保所有重大變更包含安全風險評估
② 參與 CAB 審批流程代表安全視角
③ 監控緊急變更確保事後補做文件
④ 確保變更後進行安全測試驗證
① 確保所有重大變更包含安全風險評估
② 參與 CAB 審批流程代表安全視角
③ 監控緊急變更確保事後補做文件
④ 確保變更後進行安全測試驗證
Configuration Management & Baselines
配置管理與基準
| Concept | Description | CISM Relevance |
|---|---|---|
| Security Baseline | 系統最低安全配置標準;所有新系統必須符合 | Hardening 的基礎;防止配置漂移 |
| Configuration Drift | 系統配置隨時間偏離基準;可能引入漏洞 | 持續監控和定期審查防止漂移 |
| CMDB(Configuration Management Database) | 記錄所有 IT 資產及其配置關係 | 變更影響分析的基礎;支持事件響應 |
| Patch Management | 系統化識別、測試、部署安全補丁 | 高危漏洞補丁應優先修復;緊急補丁有特殊流程 |
D2 · 近年出題大增
🔗 第三方 & 供應鏈風險管理
Third-Party Risk Management (TPRM) & Supply Chain Security
D2 20%高頻考點
A · 核心原則
The Golden Rule: You Cannot Outsource Accountability
黃金原則:外判工作,唔外判責任
❌ 常見誤解
- 「供應商簽了合約,安全係佢哋的責任」
- 「供應商有 ISO 27001,我哋唔需要再審查」
- 「用咗大公司供應商,風險自然低」
✅ 正確理解
- 法律和監管責任永遠在你的組織
- 認證唔代表冇風險,需要持續監控
- 供應商規模 ≠ 安全水平
⚠ 超高頻考點:GDPR 數據外判給供應商,供應商洩露數據 → 你的組織需要向監管機構負責,72小時通報義務在你,唔係供應商。
Third-Party Risk Management Lifecycle
TPRM 生命週期
1
Vendor Identification & Classification
識別所有供應商;按風險分類(Critical / High / Medium / Low);考慮數據訪問程度和業務依賴
2
Due Diligence(盡職調查)
評估供應商安全能力:安全問卷、認證審查(SOC 2、ISO 27001)、財務穩定性、過往事件記錄
3
Contractual Requirements(合約要求)
合約必須包含:安全要求、審計權、事件通報義務(72小時)、數據處理條款、退出條款
4
Ongoing Monitoring(持續監控)
定期重新評估;監控供應商安全新聞;持續評估合規狀態
5
Termination & Offboarding
合約終止時:確保數據安全刪除或歸還;撤銷所有訪問權限;文件化終止流程
Key Contract Elements & Agreement Types
合約要素與協議類型
| Agreement Type | Purpose | CISM Exam Point |
|---|---|---|
| SLA(Service Level Agreement) | 定義服務水平:可用性、響應時間、性能指標 | 必須包含安全事件通報時限 |
| NDA(Non-Disclosure Agreement) | 保護機密信息不被洩露 | 供應商接觸敏感數據前必須簽署 |
| DPA(Data Processing Agreement) | GDPR 要求的數據處理合約;定義數據處理範圍和責任 | 處理歐盟公民數據的供應商必須簽署 |
| Right to Audit Clause(審計權條款) | 允許組織審計供應商的安全控制 | 唔能審計的供應商 = 高風險;考試最愛考 |
| Exit / Termination Clause | 定義合約終止時的數據處理和移交要求 | 防止供應商鎖定(Vendor Lock-in)和數據殘留 |
考試最愛場景:「供應商拒絕在合約中加入審計權條款,應該怎麼辦?」→ 重新評估風險;考慮替代供應商;若必須使用,需要 Senior Management 正式接受風險。
Supply Chain Attack & nth-Party Risk
供應鏈攻擊與多層供應商風險
| Concept | Description | Example |
|---|---|---|
| Supply Chain Attack | 通過攻擊供應商或軟件更新機制滲透目標組織 | SolarWinds 攻擊:惡意更新推送給 18,000+ 客戶 |
| nth-Party Risk | 你的供應商的供應商(第三、四方)帶來的風險 | 你的雲端供應商使用的數據中心出問題 |
| Software Bill of Materials (SBOM) | 軟件組件清單;識別第三方庫和依賴 | 識別含有漏洞的開源組件(如 Log4j) |
| Vendor Concentration Risk | 過度依賴單一供應商帶來的業務中斷風險 | 關鍵業務只有一個雲端供應商 |
⚠ 考試陷阱:「供應商有 SOC 2 Type II 報告,安全評估可以跳過嗎?」→ 不可以!認證只係快照,唔代表現時無風險,仍需要持續監控和定期重新評估。
Third-Party Risk — 7 Must-Know Points
供應鏈風險必背要點
- 外判工作,唔外判責任:法律和監管責任永遠在你的組織
- 合約必須包含:安全要求 + 審計權 + 事件通報義務 + 退出條款
- 拒絕審計權 = 高風險信號,需要重新評估或 Senior Management 接受風險
- 供應商有認證 ≠ 唔需要評估:認證係快照,需要持續監控
- GDPR:即使外判數據處理,72小時通報義務仍在你
- 合約終止時:確保數據安全刪除、撤銷所有訪問
- nth-Party Risk:你的供應商的供應商同樣帶來風險
參考 · 法規對比
🔏 私隱法規全面對比
GDPR / HIPAA / PCI DSS / CCPA — 考試必背細節
D2 D3 D4
Privacy Regulations — Side-by-Side Comparison
四大法規對比速查
| 項目 | GDPR | HIPAA | PCI DSS | CCPA |
|---|---|---|---|---|
| 全名 | General Data Protection Regulation | Health Insurance Portability & Accountability Act | Payment Card Industry Data Security Standard | California Consumer Privacy Act |
| 地區 | 歐盟(適用全球處理EU公民數據的組織) | 美國(醫療行業) | 全球(處理信用卡數據) | 加州(適用大型企業) |
| 保護對象 | EU 公民個人數據(PII) | 個人健康資訊(PHI) | 持卡人數據(CHD) | 加州居民個人資訊 |
| 通報時限 | 72小時(通報 DPA) | 60天(通報個人和 HHS) 大型事件另加 60 天通報媒體 | 無強制時限但必須立即通知收單銀行 | 無強制通報時限 |
| 強制性 | ✅ 強制 | ✅ 強制(醫療業) | ✅ 強制(接受信用卡) | ✅ 強制(符合條件企業) |
| 最高罰款 | €2000萬 或 全球營業額 4%(取高者) | 最高 $190萬/年/類別 | 每月 $5,000–$100,000 | 最高 $7,500/故意違規 |
| 關鍵原則 | 數據最小化、目的限制、存儲限制、Data Subject Rights | PHI 最低必要、訪問控制、審計追蹤 | 12項要求:加密、訪問控制、定期測試 | 知情權、刪除權、選擇退出銷售 |
GDPR — Key Details for CISM Exam
GDPR 考試重點細節
| GDPR Concept | Definition | Exam Point |
|---|---|---|
| Data Controller | 決定個人數據處理目的和方式的實體 | 對 GDPR 合規負最終責任 |
| Data Processor | 代表 Data Controller 處理數據的第三方 | 需要簽署 DPA;Controller 仍負最終責任 |
| DPO(Data Protection Officer) | GDPR 要求某些組織設立的數據保護官 | 大規模處理敏感數據的組織必須設立 |
| Data Subject Rights | 訪問權、更正權、刪除權(被遺忘權)、可攜性權 | 組織必須在規定時限內響應請求 |
| Privacy by Design | 在系統設計階段就納入隱私保護 | 類似 Shift-Left Security;設計時考慮隱私 |
| Legitimate Basis | 處理個人數據必須有合法依據:同意/合約/法律義務/公共任務/正當利益 | 唔能無故處理個人數據 |
Privacy Regulations — 6 Must-Know Facts
私隱法規必背要點
- GDPR = 72小時通報監管機構(DPA);HIPAA = 60天通報個人 — 唔好搞混!
- GDPR 適用全球:只要處理 EU 公民數據,無論組織在哪裡都適用
- Data Controller 負最終責任,即使外判給 Data Processor
- PCI DSS = 接受信用卡就適用,不只是銀行;共 12 項要求
- Privacy by Design = 設計時納入隱私,唔係事後補救
- 合規係最低標準,唔係安全目標;同時可以合規但不安全
D2 · 風險量化補充
💰 網絡風險量化 & 保險
Cyber Risk Quantification / Insurance / Transfer Strategy
D2 20%
A · 風險量化方法
Quantitative vs Qualitative Risk Analysis — Deep Dive
定量 vs 定性分析深入對比
| 維度 | Quantitative(定量) | Qualitative(定性) |
|---|---|---|
| 輸出 | 具體數字(ALE = $150,000/年) | 相對評級(高/中/低) |
| 優點 | 客觀;支持成本效益分析;向管理層溝通更直接 | 快速;無需大量數據;靈活;適合新興威脅 |
| 缺點 | 需要大量準確歷史數據;耗時;數據不足時結果不可靠 | 主觀;難以比較;唔能計算控制 ROI |
| 適用場景 | 有充足歷史數據;需要向 Board 用財務語言匯報 | 初步評估;數據不足;新型威脅評估 |
| CISM 考試 | 計算 ALE 選控制;ROI 分析 | 風險矩陣(5×5 Heat Map) |
考試陷阱:「定量分析一定比定性更好」→ 錯!數據不足時定性更合適。選擇分析方法取決於可用數據和分析目的。
Risk Formulas — Complete Reference
風險公式完整參考
SLE(Single Loss Expectancy)= Asset Value × EF(Exposure Factor)
ALE(Annualized Loss Expectancy)= SLE × ARO(Annualized Rate of Occurrence)
Control Value = ALE_before − ALE_after − Cost of Control
Risk = Threat × Vulnerability × Impact
| Term | Definition | Example |
|---|---|---|
| Asset Value | 資產的貨幣價值 | 伺服器價值 $100,000 |
| EF(Exposure Factor) | 事件發生時損失的百分比(0-100%) | 火災可能摧毀 60% → EF = 0.6 |
| SLE | 單次損失期望值 | $100,000 × 0.6 = $60,000 |
| ARO | 每年預期發生次數 | 火災預期每5年一次 → ARO = 0.2 |
| ALE | 年度損失期望值 | $60,000 × 0.2 = $12,000/年 |
| Control Value | 控制措施的淨效益 | ALE前$12K − ALE後$2K − 控制成本$3K = $7K 淨效益 |
控制選擇原則:Control Cost < ALE_before − ALE_after → 值得實施
若 Control Cost > 節省的 ALE → 唔值得(從成本效益角度)
若 Control Cost > 節省的 ALE → 唔值得(從成本效益角度)
B · 網絡保險
Cyber Insurance — Key Concepts
網絡保險關鍵概念
| 概念 | 說明 | CISM 考試重點 |
|---|---|---|
| Risk Transfer(風險轉移) | 保險係風險轉移策略,將財務損失轉移給保險公司 | 轉移財務損失,唔轉移法律責任! |
| First-Party Coverage | 覆蓋組織自身損失:業務中斷、數據恢復、勒索軟件支付、公關費用 | 直接業務損失覆蓋 |
| Third-Party Coverage | 覆蓋因你的數據洩露影響第三方的索賠:法律費用、監管罰款、客戶賠償 | 客戶告你時用到 |
| Underwriting Requirements | 保險公司要求的安全控制:MFA、備份、IR 計劃、員工培訓 | 保險倒逼安全改善;唔達標 → 保費更高或拒保 |
| Policy Exclusions | 保險不覆蓋的情況:戰爭/國家攻擊(Nation-State)、已知未修補漏洞、員工故意行為 | APT/Nation-State 攻擊通常係排除條款! |
⚠ 考試重點:
1. 保險轉移財務損失,唔轉移法律責任(GDPR 罰款你仍要負責)
2. 支付勒索軟件贖金唔建議,部分保險唔覆蓋;且付款後唔保證恢復數據
3. Nation-State 攻擊通常屬「戰爭行為」,係保險排除條款
1. 保險轉移財務損失,唔轉移法律責任(GDPR 罰款你仍要負責)
2. 支付勒索軟件贖金唔建議,部分保險唔覆蓋;且付款後唔保證恢復數據
3. Nation-State 攻擊通常屬「戰爭行為」,係保險排除條款
Cyber Risk — 6 Must-Know Points
網絡風險量化必背要點
- ALE = SLE × ARO;SLE = Asset Value × EF — 公式必須記熟能計算
- Control Cost < ALE_before − ALE_after → 控制措施值得實施
- 定性 vs 定量:數據不足選定性;需要財務溝通選定量;唔係定量一定更好
- 保險 = 風險轉移,轉移財務損失,唔轉移法律責任
- Nation-State 攻擊通常係保險排除條款(戰爭行為)
- 唔建議支付勒索贖金:助長犯罪、唔保證恢復、部分保險唔覆蓋
D1 · ECO D1-A3
🤝 IS Steering Committee
信息安全指導委員會 — 組成、職責、ISM 角色
D1 17%
Steering Committee Structure組成與職責
| 成員 | 代表 | 職責 |
|---|---|---|
| Executive Sponsor | CEO / COO / CFO | 提供最高層授權和資源支持;確保安全與業務目標對齊 |
| CISO / ISM | 信息安全部門 | 提供安全專業意見;匯報計劃進度和風險狀況 |
| Business Unit Heads | 各業務部門主管 | 代表業務需求;確保安全措施唔影響業務運作 |
| IT Director / CIO | IT 部門 | 提供技術實施能力;協調 IT 資源 |
| Legal / Compliance | 法律合規部門 | 確保合規要求納入安全計劃 |
| Risk Management | 企業風險部門 | 整合信息安全風險與企業整體風險框架 |
CISM 考試重點:Steering Committee 係 Governance 結構的核心。ISM 向 Steering Committee 匯報,Steering Committee 再向 Board 匯報。ISM 係顧問和執行者,唔係最終決策者。
Key Responsibilities主要職責
Strategic Direction
制定 IS 策略方向,確保與業務目標一致
Resource Allocation
批准安全預算和資源分配;優先排序安全投資
Risk Oversight
審查重大風險;批准風險接受或轉移決策
Policy Approval
批准重要安全政策;確保政策符合業務和合規需求
Performance Review
定期審查安全計劃表現;評估 KPI/KRI 達成情況
Incident Escalation
重大事件的決策機構;批准重大事故響應資源
RACI Matrix — IS Governance RolesRACI 矩陣 — IS 治理角色
| 活動 | Board | Steering Cmte | CISO/ISM | IT | Business |
|---|---|---|---|---|---|
| 制定 IS 策略 | A | A/R | R | C | C |
| 批准安全政策 | A | R | R | I | I |
| 執行風險評估 | I | I | A/R | R | C |
| 實施安全控制 | I | I | A | R | I |
| 數據分類 | I | I | C | I | A/R |
RACI 記憶:R=Responsible(做)/ A=Accountable(負責,唯一)/ C=Consulted(諮詢)/ I=Informed(知會)
每個活動只能有一個 A(問責人);可以有多個 R、C、I
每個活動只能有一個 A(問責人);可以有多個 R、C、I
D1 · ECO D1-B2
📊 Board Reporting & Executive Dashboard
向董事會匯報安全狀況 — 指標、格式、溝通策略
D1 17%
What Board Needs to KnowBoard 關心的三件事
❌ Board 唔想聽
- 技術細節(CVE、漏洞代碼)
- IT 術語(SIEM 告警數量)
- 工具和技術的名稱
- 操作層面的細節
✅ Board 想知道
- 業務風險:安全風險對業務的影響
- 財務影響:潛在損失和控制成本
- 合規狀態:是否符合法規要求
- 計劃進度:安全計劃是否達標
⚠ 考試核心:ISM 向 Board 匯報時必須使用業務語言和財務語言,唔係技術語言。「我哋修補了 150 個 CVE」→ 無意義。「我哋將數據洩露風險降低了 40%,預計節省 $2M 潛在損失」→ 有效溝通。
Executive Security Dashboard — Key MetricsExecutive Dashboard 關鍵指標
| 指標類別 | 具體指標 | 為何重要 |
|---|---|---|
| 風險狀況 | 當前風險評級、重大開放風險數量、風險趨勢(升/降) | 讓 Board 了解整體風險暴露 |
| 合規狀態 | 合規達成率、未解決審計發現、監管要求狀態 | 避免監管處罰和聲譽損失 |
| 事故表現 | 重大事故數量、平均響應時間(MTTR)、業務影響 | 量化安全運營效能 |
| 安全計劃進度 | 安全倡議完成率、預算使用率、里程碑達成 | 確保資源有效使用 |
| 第三方風險 | 高風險供應商數量、未完成評估數量 | 管理供應鏈暴露 |
Balanced Scorecard for IS信息安全平衡計分卡
| 視角 | IS 應用 | 示例指標 |
|---|---|---|
| 財務視角 | 安全投資回報;成本控制 | 安全事故財務損失、控制成本效益 |
| 客戶視角 | 數據保護;客戶信任 | 客戶數據洩露次數、合規認證狀態 |
| 內部流程視角 | 安全流程效能 | 漏洞修補時間、事故響應時間 |
| 學習成長視角 | 安全文化;人員能力 | 培訓完成率、安全意識測試得分 |
考試記憶:Balanced Scorecard 係平衡「財務」和「非財務」指標的框架,適用於向 Board 展示安全計劃的多維價值。
D1 · D3 · Policy Management
⚠️ Security Exception Process
安全例外流程 — 當業務需求與安全政策衝突時
D1 17%
Exception Process Flow例外申請流程
1
Exception Request(申請)
業務部門提交例外申請:說明業務理由、偏離的政策條款、持續時間
2
Risk Assessment(風險評估)
ISM/安全團隊評估允許例外的風險:影響、可能性、是否有替代控制措施
3
Compensating Controls(補償控制)
要求申請者實施替代控制措施,降低例外帶來的風險
4
Approval(審批)
根據風險級別決定審批層級:低風險 → ISM;高風險 → Steering Committee / Senior Management
5
Time-Limited & Review(限期審查)
例外必須有到期日;定期審查是否仍然需要;到期自動失效
⚠ 考試核心原則:
① 例外唔代表政策失效;政策仍然有效
② 例外必須正式記錄和審批,口頭允許不算
③ 例外必須有到期日,唔能永久
④ 風險最終由業務部門 Data Owner 承擔,唔係 ISM
⑤ ISM 係顧問:評估風險和建議,唔係批准業務決策
① 例外唔代表政策失效;政策仍然有效
② 例外必須正式記錄和審批,口頭允許不算
③ 例外必須有到期日,唔能永久
④ 風險最終由業務部門 Data Owner 承擔,唔係 ISM
⑤ ISM 係顧問:評估風險和建議,唔係批准業務決策
Compensating Controls補償控制措施
定義:當無法直接遵守安全標準時,用替代措施達到同等安全效果。
例子:舊系統無法加密(政策要求加密)→ 補償控制:網絡隔離 + 額外監控 + 訪問限制
PCI DSS 明確承認補償控制:若商戶無法滿足某項要求,可提交補償控制方案替代
例子:舊系統無法加密(政策要求加密)→ 補償控制:網絡隔離 + 額外監控 + 訪問限制
PCI DSS 明確承認補償控制:若商戶無法滿足某項要求,可提交補償控制方案替代
D2 · 漏洞管理
🔢 CVSS Score 解讀
Common Vulnerability Scoring System — 漏洞優先排序工具
D2 20%
CVSS v3.1 Score RangesCVSS 評分範圍
| 評分範圍 | 嚴重級別 | 建議響應時間 | 示例 |
|---|---|---|---|
| 0.0 | None(無) | 無需行動 | 理論漏洞,無實際影響 |
| 0.1 – 3.9 | Low(低) | 定期更新週期 | 本地訪問才能利用的漏洞 |
| 4.0 – 6.9 | Medium(中) | 30天內修補 | 需要用戶互動的遠程漏洞 |
| 7.0 – 8.9 | High(高) | 7天內修補 | 無需認證的遠程代碼執行 |
| 9.0 – 10.0 | Critical(嚴重) | 24–48小時內修補 | 已有公開利用代碼的 RCE |
CVSS Metric GroupsCVSS 三大指標組
| 指標組 | 包含 | CISM 重要性 |
|---|---|---|
| Base Score(基礎分) | 攻擊向量、攻擊複雜度、所需權限、用戶互動、影響範圍(CIA) | 最重要;反映漏洞固有嚴重性;唔會變 |
| Temporal Score(時間分) | 利用代碼成熟度、修復程度、報告可信度 | 隨時間變化;有 PoC 代碼時分數上升 |
| Environmental Score(環境分) | 組織特定因素:資產重要性、現有控制措施 | 最能反映你的組織的實際風險;CISM 最愛考 |
CISM 考試重點:漏洞優先排序唔能只看 CVSS Base Score!要考慮 Environmental Score(業務影響)和資產重要性。一個 CVSS 9.0 的漏洞如果在隔離系統上,優先度可能低於 CVSS 7.0 的面向互聯網關鍵系統漏洞。
⚠ 考試陷阱:「CVSS 最高的漏洞應該最先修補?」→ 唔一定!要考慮業務影響、可利用性、現有補償控制。業務影響 + CVSS 分數組合才係最佳優先排序方法。
D2 · D3 · 安全外判
🏢 安全外判 & MSSP
Managed Security Service Provider — 外判安全服務考量
D2 20%D3 33%
In-house vs MSSP — Decision Factors自建 vs 外判的考量因素
✅ 考慮外判 MSSP 的情況
- 內部缺乏特定安全技能(如 SOC 運營)
- 24/7 監控成本太高
- 需要快速擴展安全能力
- 非核心業務的安全功能
⚠️ 謹慎外判的情況
- 涉及高度敏感數據(核心業務數據)
- 監管要求數據駐留在內部
- 需要緊密整合業務流程
- 外判會失去關鍵安全知識
⚠ 黃金原則:外判工作,唔外判責任。無論外判哪個安全功能,組織對安全和合規的最終責任仍然存在。
MSSP Services & Key ConsiderationsMSSP 服務類型與關鍵考量
| 服務類型 | 說明 | 關鍵考量 |
|---|---|---|
| SOC as a Service | 24/7 安全監控和事件響應 | SLA 響應時間;數據主權;整合能力 |
| Managed SIEM | SIEM 平台管理和告警分析 | 日誌數據會否外傳;調整規則能力 |
| Vulnerability Management | 定期掃描和修補管理 | 掃描範圍;報告質量;修補責任 |
| Penetration Testing | 定期滲透測試 | 範圍定義;保密協議;報告所有權 |
| Cloud Security Monitoring | 雲端環境監控(CSPM/CWPP) | 訪問權限控制;數據共享範圍 |
SLA 必須包含的安全要素:
① 事件通報時限(如發現安全事件後 4 小時內通知)
② 響應時間保證(Critical 事件 1 小時響應)
③ 數據處理和保密要求
④ 審計權和合規報告要求
⑤ 服務中斷的賠償條款
① 事件通報時限(如發現安全事件後 4 小時內通知)
② 響應時間保證(Critical 事件 1 小時響應)
③ 數據處理和保密要求
④ 審計權和合規報告要求
⑤ 服務中斷的賠償條款
D3 · 安全架構
🧅 Defense in Depth
縱深防禦 — 多層安全架構設計
D3 33%MUST KNOW
Defense in Depth — 7 Layers縱深防禦七層架構
| 層次(由外到內) | 控制措施 | 目的 |
|---|---|---|
| 1. Physical(物理層) | 門禁、CCTV、保安、生物識別 | 防止未授權物理進入 |
| 2. Perimeter(邊界層) | 防火牆、IPS、WAF、DMZ | 過濾進出流量;隔離外部威脅 |
| 3. Network(網絡層) | 網絡分段、VLAN、Zero Trust、VPN | 限制橫向移動;隔離關鍵系統 |
| 4. Host(主機層) | OS Hardening、Patch Management、EDR、HIPS | 保護個別系統不被入侵 |
| 5. Application(應用層) | SDLC 安全、WAF、輸入驗證、安全編碼 | 防止應用層漏洞被利用 |
| 6. Data(數據層) | 加密、DLP、數據分類、備份 | 最終保護:即使其他層失效也保護數據 |
| 7. User(用戶層) | 意識培訓、MFA、Phishing 測試、Least Privilege | 人係最弱的一環,也是最重要的防線 |
核心原理:沒有單一控制能提供完整保護。多層控制確保若一層失效,其他層仍能提供保護。攻擊者必須突破所有層次才能達到目標。
🧠 記憶口訣
People Protect Networks Hosts Applications Data Users(由外到內:Physical → Perimeter → Network → Host → App → Data → User)
Control Categories × Control Types控制類別 × 控制類型 — 完整矩陣
| Preventive 預防性 | Detective 偵測性 | Corrective 糾正性 | Deterrent 威懾性 | |
|---|---|---|---|---|
| Administrative 管理性 | 安全政策、職責分離 | 審計、風險評估 | 紀律處分、IR 計劃 | 法律警告、背景調查 |
| Technical 技術性 | 防火牆、加密、MFA | IDS、SIEM、日誌 | 備份恢復、補丁 | 登錄警告橫幅 |
| Physical 物理性 | 門鎖、生物識別 | CCTV、警報 | 滅火器、UPS | 警示牌、保安 |
⚠ 考試陷阱:IDS = Detective(偵測);IPS = Preventive(預防)。SIEM = Detective;防火牆 = Preventive。加密 = Preventive(防止洩露)。備份 = Corrective(恢復能力)。
D3 · ECO D3-A3
💻 SDLC 安全開發生命週期
Secure SDLC — 在每個開發階段嵌入安全
D3 33%
Security Activities by SDLC Phase各開發階段的安全活動
| SDLC 階段 | 安全活動 | 輸出物 |
|---|---|---|
| Requirements(需求) | 安全需求分析、合規要求識別、數據分類、隱私影響評估(PIA) | 安全需求規格書 |
| Design(設計) | 威脅建模(STRIDE)、架構安全審查、安全控制設計、Privacy by Design | 安全架構文件、威脅模型 |
| Implementation(實施) | 安全編碼標準、代碼審查(SAST)、第三方庫掃描(SCA) | 安全代碼、SAST 報告 |
| Testing(測試) | 滲透測試、DAST、用戶接受測試(安全場景)、漏洞評估 | 滲透測試報告、修補記錄 |
| Deployment(部署) | 配置基準、部署清單、訪問控制配置、變更管理 | 安全配置文件 |
| Maintenance(維護) | 漏洞管理、補丁管理、安全監控、定期安全評估 | 補丁記錄、安全審計報告 |
Shift-Left Security:越早發現安全問題,修復成本越低。需求階段發現問題的修復成本 = 設計 ×6 = 測試 ×15 = 生產 ×100。
STRIDE Threat ModelSTRIDE 威脅建模
| 字母 | 威脅類型 | 違反的安全屬性 | 例子 |
|---|---|---|---|
| S | Spoofing(身份欺騙) | Authentication | 偽造用戶身份 |
| T | Tampering(竄改) | Integrity | 修改數據或代碼 |
| R | Repudiation(否認) | Non-repudiation | 否認曾執行操作 |
| I | Information Disclosure(信息洩露) | Confidentiality | 未授權訪問數據 |
| D | Denial of Service(拒絕服務) | Availability | 系統無法使用 |
| E | Elevation of Privilege(提權) | Authorization | 獲取更高權限 |
DevSecOps:將安全整合進 CI/CD 流水線,自動化 SAST、SCA、Container 掃描,係現代 Secure SDLC 的最佳實踐。
D3 · 合同安全
📋 SLA 與合同安全要求
Security in Contracts — SLA、OLA、UC 層次與安全條款
D3 33%
Agreement Hierarchy合約層次結構
| 合約類型 | 全名 | 雙方 | CISM 考點 |
|---|---|---|---|
| SLA | Service Level Agreement | 服務提供商 ↔ 客戶(外部) | 對外承諾;法律約束力;違反有賠償 |
| OLA | Operational Level Agreement | IT 部門 ↔ 業務部門(內部) | 內部服務協議;支持 SLA 達成 |
| UC | Underpinning Contract | IT 部門 ↔ 第三方供應商 | 外部供應商合約;支持 OLA 和 SLA |
層次關係:SLA(客戶期望)必須由 OLA(內部能力)支撐,OLA 必須由 UC(供應商承諾)支撐。若 UC 失敗 → OLA 失敗 → SLA 失敗。
Security Requirements in SLASLA 必須包含的安全條款
Availability(可用性)
系統正常運行時間:如 99.9% SLA = 每年最多 8.7 小時宕機
Security Incident Notification
安全事件通報時限:如 4 小時內通知;定義事件嚴重級別
Data Protection
數據加密要求、數據駐留地、數據刪除程序
Right to Audit
組織有權審計供應商安全控制;頻率和範圍
Compliance Requirements
要求供應商符合相關法規(GDPR、PCI DSS 等)
Business Continuity
供應商的 BCP/DRP 要求;RTO/RPO 承諾
Personnel Security
供應商員工背景調查要求;訪問權限管理
Termination Clause
合約終止時數據歸還/刪除;過渡期支持
⚠ 考試重點:「供應商說佢哋的系統有 SLA,所以我哋唔需要 BCP?」→ 錯!供應商 SLA 係外部承諾,唔能替代你自己的 BCP。你仍需要為供應商失敗制定應急計劃。
D3 · 數據管理
🗄️ 數據保留政策
Data Retention Policy — 保留多久、如何銷毀、法規要求
D3 33%
Data Retention Key Principles數據保留核心原則
Legal Minimum Retention
法規要求最短保留期:如 HIPAA = 6年、PCI DSS = 1年、財務記錄通常 7年
Data Minimization(GDPR)
唔需要的數據應盡快刪除;唔能「以防萬一」無限期保存個人數據
Legal Hold(訴訟保全)
訴訟或調查期間,相關數據必須暫停正常刪除程序,直至法律程序結束
Secure Disposal
到期數據必須安全銷毀:電子數據 → Secure Wipe/Degaussing;實體 → 碎紙機/焚燒
| 數據類型 | 常見保留要求 | 法規依據 |
|---|---|---|
| 財務記錄 | 7年 | 稅務法規、SOX |
| 醫療記錄(PHI) | 6年(HIPAA),各州不同 | HIPAA |
| 支付卡數據(CHD) | 最多1年 | PCI DSS |
| 員工記錄 | 離職後3-7年 | 勞工法規 |
| 安全日誌 | 最少1年,建議3年 | PCI DSS、合規要求 |
| 一般個人數據(GDPR) | 達到收集目的後刪除 | GDPR 數據最小化原則 |
⚠ 考試重點:
① 保留太長 = 違反 GDPR 數據最小化原則,法律風險
② 保留太短 = 可能違反法規最低保留要求,審計問題
③ Legal Hold 優先於保留政策:訴訟中不能按時刪除相關數據
④ 刪除必須安全銷毀:簡單 Delete 唔算!
① 保留太長 = 違反 GDPR 數據最小化原則,法律風險
② 保留太短 = 可能違反法規最低保留要求,審計問題
③ Legal Hold 優先於保留政策:訴訟中不能按時刪除相關數據
④ 刪除必須安全銷毀:簡單 Delete 唔算!
Secure Data Disposal Methods安全數據銷毀方法
| 方法 | 適用 | 安全級別 | CISM 考點 |
|---|---|---|---|
| Overwriting / Secure Wipe | 硬盤、SSD(部分) | 中 | 多次覆寫;DoD 5220.22-M 標準 |
| Degaussing(消磁) | 磁帶、機械硬盤 | 高 | 破壞磁性;SSD 無效 |
| Physical Destruction(物理銷毀) | 所有媒體 | 最高 | 碎紙機、熔化;最終方法 |
| Cryptographic Erasure | 加密存儲、雲端 | 高 | 銷毀加密密鑰 = 數據永久不可讀 |
D4 · ECO D4-B1
📖 Runbook & Playbook
事故響應程序文件 — 確保一致、快速、可重複的響應
D4 30%MUST KNOW
Runbook vs Playbook — Key DifferenceRunbook vs Playbook 分別
📖 Runbook(運行手冊)
- 詳細的逐步操作指南
- 針對特定技術任務(如重啟服務器、隔離系統)
- 技術人員使用
- 類似 SOP(標準操作程序)
- 例子:「如何隔離受感染的 Windows 系統」步驟1、2、3...
🎯 Playbook(劇本)
- 特定事故類型的響應策略
- 針對特定攻擊場景(如勒索軟件、數據洩露)
- IR 團隊和管理層使用
- 包含決策流程和升級路徑
- 例子:「勒索軟件事件 Playbook」包含評估、隔離、通報、恢復步驟
關係:Playbook 係高層策略,Runbook 係具體執行。Playbook 說「隔離受感染系統」,Runbook 說「點樣隔離」。
Incident Playbook — Key Components事故 Playbook 關鍵組成
| 組成部分 | 內容 | 重要性 |
|---|---|---|
| Scope & Trigger | 定義何時啟動 Playbook;觸發條件(如 SIEM 告警、用戶舉報) | 確保一致的啟動標準 |
| Roles & Responsibilities | IR 團隊成員職責;上報路徑;外部聯繫人(律師、公關、監管機構) | 事故中無需爭論誰負責 |
| Containment Steps | 具體隔離步驟;保留證據指引;避免破壞調查 | 防止蔓延;保全證據 |
| Communication Plan | 內部通報流程;客戶通知模板;媒體聲明指引;監管通報要求 | 確保合規通報;管理聲譽風險 |
| Decision Tree | 關鍵決策點的判斷標準(如何時支付贖金、何時報警) | 壓力下快速做出正確決策 |
| Recovery Criteria | 定義恢復完成的標準;重新上線前的安全驗證步驟 | 確保完全清除威脅再恢復 |
| Lessons Learned | 事後更新 Playbook;改善響應流程 | 持續改善 |
⚠ 考試重點:
① Playbook 必須定期測試(Tabletop Exercise);未測試的 Playbook = 無效
② 事故中唔係時間去寫 Playbook;必須事前準備
③ Communication Plan 係 Playbook 最被忽視但最重要的部分
④ SOAR 平台可以自動執行 Playbook 中的部分步驟
① Playbook 必須定期測試(Tabletop Exercise);未測試的 Playbook = 無效
② 事故中唔係時間去寫 Playbook;必須事前準備
③ Communication Plan 係 Playbook 最被忽視但最重要的部分
④ SOAR 平台可以自動執行 Playbook 中的部分步驟
Common Playbook Types常見 Playbook 類型
| Playbook 類型 | 觸發場景 | 關鍵特殊步驟 |
|---|---|---|
| Ransomware Playbook | 加密軟件感染;勒索通知 | 唔建議支付贖金;離線備份恢復;FBI/警方通報 |
| Data Breach Playbook | 數據洩露確認或疑似洩露 | 72小時 GDPR 通報;法律意見;客戶通知 |
| Phishing Playbook | 釣魚郵件舉報或點擊確認 | 隔離帳戶;重置憑證;調查電郵傳播範圍 |
| Insider Threat Playbook | 可疑內部人員活動 | HR 和 Legal 必須同步介入;謹慎保留證據 |
| DDoS Playbook | 服務不可用;流量異常 | 啟動 DDoS 防護;ISP 協調;Failover |