CISM · Certified Information Security Manager · 終極備考 2026
終極 Study Notes
兩份 Notes 精華合併,無重複、全覆蓋四大 Domain。溫呢份就夠合格。
150考試題目
4h考試時間
450及格 /800
4Domains
30+練習題
21章節
📊 四大 Domain 比重與考點
| Domain | 名稱 | 比重 | 約題數 | 核心考點 |
|---|---|---|---|---|
| D1 | Information Security Governance | 17% | ~25題 | 治理框架、Governance vs Management、CISO匯報、Policy層級、KGI/KPI/KRI |
| D2 | Information Risk Management | 20% | ~30題 | ALE/SLE/ARO公式、4T策略、控制分類、第三方風險、Risk Appetite vs Tolerance |
| D3 | Security Program Development | 33% | ~50題 | BCP/DRP/BIA、RTO/RPO/MTD/WRT、測試類型、備份策略、SDLC、成熟度 |
| D4 | Incident Management | 30% | ~45題 | NIST六步驟、Containment優先、取證、通報時限(GDPR/HIPAA)、PIR |
時間分配建議: D3 > D4 > D2 > D1 · D3+D4合計63%超過一半!
💡 考場實戰技巧
| 技巧 | 說明 |
|---|---|
| 沒有扣分 | 所有題目必須作答,不確定也要選,不能空白 |
| 每題 1.6 分鐘 | 遇難題先標記跳過,完成後再回頭 |
| 先讀關鍵詞 | FIRST / BEST / PRIMARILY / EXCEPT / LEAST — 決定答案方向 |
| 腦部傾倒 | 進場後在白板寫下:ALE公式、NIST六步、MTD≥RTO+WRT |
| 信第一直覺 | 除非發現明顯誤讀,否則不要輕易改答案 |
| 兩相似選項 | 選更偏業務導向、管理層視角的那個 |
| 工作經驗 | 需5年IS工作經驗,其中3年在安全管理崗位,涵蓋至少3個Domain |
🧠 CISM 答題心法 — 十大必勝原則
- 管理者視角 — 永遠以資訊安全管理者(ISM)身份思考,而非技術人員。選偏管理、策略、業務的答案。
- Business Alignment 最高原則 — 安全的存在是為了支援業務,而非阻礙業務。所有決策都要考慮業務影響。
- 先 Assess,後 Act — 遇到新情況、新系統、新問題,第一步永遠是評估(Assessment/BIA/Gap Analysis),而非立即行動。
- Senior Management Support 是基礎 — 高層管理承諾是所有安全計劃成功的最大前提。安全計劃失敗最常見原因 = 缺乏高層支持。
- Human 是最大弱點 — 員工培訓和安全意識比技術控制更根本。人為錯誤是最常見的安全失效原因。
- Third-Party 風險責任不可轉移 — 外包後責任仍在組織,需持續監控,合約必須包含安全要求和審計權。
- BIA 是 BCP/DRP 的基礎 — 沒有 BIA,不能正確確定 RTO、RPO 和優先次序。BIA → BCP → DRP。
- 合規 ≠ 安全 — 合規係最低標準,唔係安全目標。可以合規但不安全。Risk-based approach 優於 Compliance-based。
- Post-Incident Review = 改善,唔係問責 — Blameless Culture,目的係 Lessons Learned,唔係懲罰。
- 關鍵詞決定答案方向 — BEST / FIRST / PRIMARILY / EXCEPT / LEAST 完全改變答案,先識別再作答。
🎯 ISACA 思維模式 vs 一般技術思維
| 情境 | ❌ 技術思維(錯) | ✅ ISACA管理思維(正確) |
|---|---|---|
| 發現新漏洞 | 立即打補丁 | 先評估業務影響和風險,制定修補優先次序 |
| 員工違反安全政策 | 立即技術封鎖 | 了解情況,按程序處理,向管理層匯報 |
| 管理層要求繞過控制 | 直接拒絕 | 評估風險,提供替代方案,文件記錄,獲取書面批准 |
| 採購新系統 | 評估技術規格 | 進行安全評估,確保合同包含安全條款 |
| 發生安全事故 | 立即修復技術問題 | Containment → 評估影響 → 通知管理層 → 按 IRP 處理 |
| 新業務拓展 | 評估 IT 需求 | 進行 BIA 和風險評估,更新安全計劃 |
| 安全預算被削減 | 接受並減少控制 | 向管理層呈現風險,文件記錄,獲取正式批准接受殘餘風險 |
⚡ 考場最後衝刺提醒
- 考試前一晚睡足 7-8 小時,不要臨時抱佛腳
- 帶兩份有效身份證明(含相片的政府證件)
- 提早 30 分鐘到達考場辦理登記
- 進場後在白板「腦部傾倒」:ALE公式、NIST六步、MTD≥RTO+WRT、GDPR=72h、HIPAA=60d
- 每題平均 1.6 分鐘,遇難題先標記跳過
- 沒有扣分,所有題目必須作答
- 先讀題幹找關鍵詞,再看選項,不要被技術性答案迷惑
- 完成後留時間檢查標記的疑難題目
⚠ 關鍵詞答題技巧 — 必讀必記
CISM 考題中,以下關鍵詞會完全改變答案方向,做題前必須先識別這些字。
🎯 BEST
選最符合業務目標、管理層視角的選項。通常選有長遠業務價值,而非技術最強的答案。
1️⃣ FIRST / INITIALLY
選第一步應做的事。通常是「評估/了解情況/BIA」,而非立即行動或實施技術控制。
🎯 PRIMARILY
選最核心的目的。通常是「業務對齊」或「風險管理」,而非次要目標。
⭐ MOST IMPORTANT
選最優先考慮的因素。通常是業務影響、高層支持或業務需求。
❌ EXCEPT / NOT
反向題!選不屬於該類別的選項。要特別小心,容易因慣性而答錯。
⬇ LEAST
選最不有效的做法。同樣是反向題,選最弱、最不合適的選項。
⚡ IMMEDIATE
立即行動,緊急響應。事故場景選 Containment(遏制);其他場景選通知管理層。
📊 MOST LIKELY
選最常見、最合理的情境。避免極端或罕見的答案,選符合常理的選項。
📊 關鍵詞快速參考表
| 關鍵詞 | 答題方向 | 常見正確答案模式 | 常見陷阱 |
|---|---|---|---|
| BEST | 業務導向,管理層視角 | 業務對齊、風險管理、高層支持 | 技術最強但不符業務的答案 |
| FIRST | 第一步,評估優先 | BIA、Risk Assessment、Gap Analysis | 立即實施技術控制 |
| PRIMARILY | 最核心目的 | 業務目標、風險管理 | 次要好處(合規、成本節省) |
| MOST IMPORTANT | 最高優先級 | Management Support、業務影響 | 技術完整性、預算充足 |
| EXCEPT / NOT | 找不屬於的選項 | 選不合適的、不相關的 | 習慣性選正確的,忘記是反向題 |
| LEAST | 找最差的選項 | 選最弱、最不合適的 | 選了最好的選項 |
| IMMEDIATE | 緊急行動 | Containment(事故);通知管理層(其他) | 直接根除或恢復 |
📝 實戰例題解析
「發現勒索軟件,應 FIRST 做什麼?」▼
✅ 答案:Containment(隔離系統)
FIRST = 第一步。事故響應中圍堵永遠優先,阻止蔓延。注意:圍堵前先收集揮發性證據。
「哪個 BEST 衡量安全計劃有效性?」▼
✅ 答案:安全事件數量減少(唔係培訓完成率、唔係防火牆數量)
BEST = 業務影響指標。安全事件減少直接反映對業務的保護效果。
「MTD=24h,WRT=4h,RTO MOST LIKELY 最多是?」▼
✅ 答案:20小時
公式:MTD ≥ RTO + WRT → RTO ≤ 24 - 4 = 20小時。係高頻計算題!
「以下哪項 EXCEPT 是 IRP 的組成部分?」▼
✅ 答案:年度安全預算分配(唔係 IRP 的部分)
EXCEPT = 反向題,選不屬於的選項。預算屬於安全治理,不是事件響應計劃。
🏛 Domain 1 — Information Security Governance 17% · ~25題
⚖ Governance vs Management — 必考概念
| Governance(治理) | Management(管理) | |
|---|---|---|
| 關注點 | WHAT / WHY(方向與政策) | HOW / WHEN(執行與監控) |
| 負責人 | Board / 高層管理 / 董事會 | CISO / ISM / 部門經理 |
| 例子 | 制定安全政策、設定風險容忍度 | 執行安全控制、監控合規狀況 |
| 問責性 | Accountability(不可委託) | Responsibility(可委託) |
| 時間視角 | 長遠策略性 | 日常運營性 |
⚠ 必考陷阱:Accountability(問責)不能被委託,只有 Responsibility(執行責任)可以被委託給他人。問「誰最終負責」→ 永遠係 Senior Management / Board,唔係 CISO。
🏢 CISO 匯報層級與角色
Board(董事會)→ CEO / COO → CISO → ISM(資訊安全經理)
⚠ 重要:CISO 應匯報給 CEO / COO / Board,而非 CIO!若 CISO 向 CIO 匯報,安全需求可能被 IT 運營需求壓制,失去獨立性,形成利益衝突。
| 角色 | 主要職責 | 考試重點 |
|---|---|---|
| Board(董事會) | 最終問責,設定風險容忍度,監督治理 | 治理最高層 |
| Senior Management / CEO | 最終安全責任;接受殘餘風險;分配資源 | 最常考!最終責任 |
| CISO | 建議、協調、執行安全計劃;向 Management 彙報 | 顧問角色,唔係最終責任 |
| Data Owner | 數據分類;確定保護需求;批准訪問 | 業務部門,唔係 IT |
| Data Custodian | 技術層面數據保護實施;日常維護 | IT 執行角色 |
| ISM(資訊安全經理) | 執行安全計劃,日常管理 | CISO 的直屬 |
| Steering Committee | 跨部門治理監督;確保安全與業務對齊 | 治理機構,唔係技術顧問 |
📄 政策文件層級(由高至低)
1
Policy(政策)— 強制性
高層次原則性要求(WHAT)。由 Senior Management 制定和簽署批准。語言清晰通俗,無技術細節。例:「所有員工必須保護客戶數據」。Policy 最重要係 Management Support!
2
Standard(標準)— 強制性
具體量化規格(How Much)。支持 Policy 的強制要求,全組織統一執行。例:「密碼最少 12 字元,含大小寫數字符號」。
3
Procedure(程序)— 強制性
逐步操作步驟(HOW)。告訴員工如何執行。例:「離職員工帳戶停用的 Step-by-Step 程序(24小時內完成)」。
4
Guideline(指引)— ⚠ 建議性,非強制!
建議性最佳實踐,可彈性應用。例:「選擇密碼的建議方法和技巧」。考試陷阱:Guideline 唔係強制!Standard 才係強制。
5
Baseline(基線)— 最低標準
最低可接受的安全配置標準。例:「所有系統必須符合 CIS Benchmark Level 1」。
📊 安全策略核心組成元素(Business Case)
| 元素 | 說明 | 為何重要 |
|---|---|---|
| Business Objectives Alignment | 安全策略與業務目標對齊 | 沒有業務支持,安全計劃無法推進 |
| Current State Assessment | 現況評估 / Gap Analysis | 了解現在在哪裡,才能規劃去哪裡 |
| Risk Appetite | 組織願意接受的風險水平 | 由 Board 定義,是所有決策的基礎 |
| Regulatory Requirements | 適用法規(GDPR、PCI DSS 等) | 合規是最低要求,必須滿足 |
| Resource Requirements | 人員、預算、技術需求 | 無資源就無法執行 |
| Roadmap | 實施時間表和里程碑 | 讓 Management 看到計劃可行性 |
| ROI / Business Case | 安全投資回報,用財務語言 | Management 語言是財務,不是技術 |
📈 安全指標三種類型(KGI / KPI / KRI)
| 指標 | 全稱 | 作用 | 時間視角 | 例子 |
|---|---|---|---|---|
| KGI | Key Goal Indicator | 衡量目標達成度 | 過去(回顧) | 年度安全目標完成率、合規認證達成率 |
| KPI | Key Performance Indicator | 衡量現有執行效能 | 當下/過去(回顧) | MTTR、MTTD、合規率、漏洞修補時間 |
| KRI | Key Risk Indicator | 預測未來潛在風險(早期預警) | 未來(前瞻) | 未修補高危漏洞數量、特權帳戶增長率 |
考題口訣:問「哪個指標最能幫助管理層預防未來風險」→ 選 KRI。問「衡量計劃執行效率」→ 選 KPI。問「目標達到了嗎」→ 選 KGI。培訓完成率 = KPI(參與率),唔係培訓效果。
📋 Domain 1 八大任務(ISACA 官方)
- 建立並維護資訊安全治理框架(Governance Framework)
- 制定並維護資訊安全策略(Information Security Strategy)
- 將資訊安全治理整合至企業治理(Corporate Governance)
- 建立並維護資訊安全政策(Security Policies)
- 為安全投資建立業務論證(Business Cases)
- 識別並管理內外部影響因素(Internal & External Influences)
- 獲取高層管理承諾與支持(Senior Management Commitment)
- 定義並溝通角色與職責(Roles & Responsibilities)
🎯 D1 考試必背 12 點
- 最終安全責任 = Senior Management,永遠唔係 CISO
- Accountability(問責)唔能委託,Responsibility(執行)可以委託
- Data Owner = 業務部門;Data Custodian = IT 執行
- CISO 應向 CEO/COO/Board 匯報,而非 CIO(避免利益衝突)
- KGI = 目標達成;KPI = 執行效能(回顧);KRI = 風險預警(前瞻)
- Policy 最重要係有 Management Support(支持和簽署)
- Guideline = 建議性,唔係強制(Standard 才係強制)
- 安全策略必須 align 業務策略,唔係獨立存在
- Risk Appetite 由 Board 定義,唔係 IT 或 CISO
- 安全計劃成功最重要因素 = Senior Management Support
- Steering Committee = 跨部門治理機構,唔係技術顧問
- 培訓效果量度 = 行為改變(Phishing點擊率),唔係完成率
⚖ Domain 2 — Information Risk Management 20% · ~30題
📐 必記公式(全部背熟)
Risk = Threat × Vulnerability × Impact(風險 = 威脅 × 漏洞 × 影響)
SLE = Asset Value × EF(單次損失 = 資產價值 × 暴露因子 0-100%)
ALE = SLE × ARO(年度預期損失 = 單次損失 × 年度發生率)
ROI of Control = (ALE_before − ALE_after − Cost_of_Control) ÷ Cost_of_Control × 100%
Residual Risk = Inherent Risk − Risk Reduction from Controls
計算例子:
伺服器 Asset Value = $200,000 | EF = 30% | ARO = 0.5次/年
SLE = $200,000 × 30% = $60,000
ALE = $60,000 × 0.5 = $30,000(控制投資上限)
若控制成本 $5,000,控制後 ALE = $3,000
ROI = ($30,000 − $3,000 − $5,000) ÷ $5,000 = 440%(值得投資)
伺服器 Asset Value = $200,000 | EF = 30% | ARO = 0.5次/年
SLE = $200,000 × 30% = $60,000
ALE = $60,000 × 0.5 = $30,000(控制投資上限)
若控制成本 $5,000,控制後 ALE = $3,000
ROI = ($30,000 − $3,000 − $5,000) ÷ $5,000 = 440%(值得投資)
🛡 四大風險處理選項(4T)
| 選項 | 說明 | 適用條件 | 例子 |
|---|---|---|---|
| Treat / Mitigate(減輕) | 實施控制降低風險 | 風險較高,有效控制存在且成本合理 | 安裝防火牆、加密數據 |
| Transfer(轉移) | 轉移財務損失給第三方 | 風險難消除,可外包財務後果 | 購買網絡保險、外包服務 |
| Tolerate / Accept(接受) | 接受殘餘風險 | 控制成本 > 風險損失,或風險低於容忍度 | 接受低概率低影響事件 |
| Terminate / Avoid(迴避) | 停止高風險活動 | 風險極高,無法接受,業務可放棄 | 放棄高風險業務項目 |
⚠ Transfer 注意:保險/外包只能轉移財務損失,無法轉移法律責任!供應商出事,組織仍須對客戶和監管機構負最終責任。Accept 殘餘風險必須由 Senior Management 正式批准並記錄。
📊 定量 vs 定性風險評估
Qualitative(定性)
- 主觀評分(高/中/低矩陣)
- 快速,適用資料不足時
- 主觀性強,難以比較
- 輸出:Risk Heat Map
- 適合:初步評估、小型組織
Quantitative(定量)
- 數字計算(ALE, SLE, ARO)
- 客觀,可計算 ROI,財務語言
- 需大量歷史數據,耗時
- 輸出:具體金額(ALE)
- 適合:財務決策、大型組織
考試陷阱:定量唔一定比定性好!選擇取決於可用數據質量。數據不足時,定性分析反而更合適。
🔧 控制分類(雙維度)
| 功能分類 | 時序 | 說明 | 例子 |
|---|---|---|---|
| Preventive(預防) | 事前 | 阻止事件發生 | 防火牆、加密、訪問控制、背景調查 |
| Detective(偵測) | 事中 | 偵測事件發生 | IDS/IPS、SIEM、日誌審計、CCTV |
| Corrective(糾正) | 事後 | 修復損害 | 備份恢復、Patch Management |
| Deterrent(威懾) | 事前 | 威懾潛在攻擊者 | 警告標誌、可見攝像頭、法律聲明 |
| Compensating(補償) | 任何 | 補償主控制不足 | 無法修補系統時加強監控 |
| Recovery(恢復) | 事後 | 事後恢復正常 | DRP、BCP、HA 架構 |
| 實施分類 | 例子 |
|---|---|
| Administrative / Managerial | 政策、程序、培訓、背景調查、職責分離 |
| Technical / Logical | 防火牆、加密、MFA、IDS、訪問控制系統 |
| Physical / Environmental | 門禁卡、保險箱、CCTV、消防系統、UPS |
🔍 風險相關核心概念
| 概念 | 定義 | 考試重點 |
|---|---|---|
| Risk Appetite | 管理層願意接受的風險水平(主動決策) | 由 Board 定義,是策略決策 |
| Risk Tolerance | 風險可接受的操作偏差範圍(操作邊界) | Appetite 的具體操作限制 |
| Inherent Risk | 控制前的原始風險水平 | Inherent > Residual |
| Residual Risk | 控制後的剩餘風險 | 必須由 Senior Management 正式接受 |
| Control Risk | 控制措施本身失效的風險 | Security Team 管理 |
🔗 第三方風險管理
核心原則:外判工作,唔外判責任!組織對客戶和監管機構的法律責任唔能轉移,即使供應商數據洩露,組織仍須負最終責任。
| 管控手段 | 說明 |
|---|---|
| 合約條款 | SLA、安全要求、Right to Audit(審計權)、通報義務 |
| Due Diligence | 合作前盡職調查(財務穩定性、安全成熟度、合規認證) |
| 持續監控 | 定期安全評估、SOC 2 報告審查 |
| BAA(HIPAA)/ DPA(GDPR) | 處理受保護數據時必須簽署的協議 |
| Fourth-Party Risk | 供應商的供應商(子供應商)帶來的風險 |
🎯 D2 考試必背 10 點
- ALE = SLE × ARO;SLE = Asset Value × EF(必背公式)
- 接受 Residual Risk = Senior Management 正式批准並記錄
- 外判工作,唔外判責任(極高頻考點)
- Risk Appetite 由 Board 定義,Tolerance 係操作邊界
- 控制成本 < ALE 降低量(成本效益原則)
- 定量唔一定比定性好,視乎數據質量
- 風險評估係持續循環,唔係一次性項目
- Compensating Control = 主控制不可行時的替代措施
- Risk Register 係動態文件,需定期更新
- Transfer 風險(保險)只係轉移財務損失,唔消除風險本身
🛠 Domain 3 — Security Program Development & Management 33% · ~50題 ⭐最重
⚠ D3 佔33%,約50題!BCP、BIA、RTO/RPO/MTD/WRT、測試類型、備份策略係高頻必考,必須深入掌握。
🔄 BCP vs DRP vs IRP — 必考三角
| 計劃 | 重點 | 觸發條件 | 負責人 | 範圍 |
|---|---|---|---|---|
| BCP | 業務整體持續運作 | 重大中斷事件 | 業務主管 / BCM | 最廣:人員、流程、設施、IT |
| DRP | IT 系統和數據恢復 | 災難性 IT 故障 | IT 部門 / ISM | IT 系統(DRP ⊂ BCP) |
| IRP | 安全事故的技術響應 | 任何安全事件 | CSIRT / ISM | IT 安全事件(IRP ⊂ BCP) |
BIA → BCP → DRP(必須先做 BIA,才能制定 BCP 和 DRP!)
記憶法:BCP = 整個業務能否繼續?(最廣)DRP = IT 系統能否恢復?(BCP 的子集)IRP = 安全事故如何響應?
📍 BIA — 業務影響分析(BCP 最重要的第一步)
BIA 係 BCP 的靈魂。冇 BIA,你唔知道保護什麼、恢復什麼、按什麼優先次序恢復。
| 術語 | 全稱 | 含義 | 決定什麼 |
|---|---|---|---|
| RTO | Recovery Time Objective | 系統必須恢復運作的目標時間(停機時間) | DR 站點類型(RTO越短→越需要Hot Site) |
| RPO | Recovery Point Objective | 可接受的最大數據損失時間點 | 備份頻率(RPO=1h → 每小時備份) |
| MTD | Maximum Tolerable Downtime | 業務可忍受的最長停機時間(硬性上限) | MTD ≥ RTO + WRT |
| WRT | Work Recovery Time | 恢復工作所需時間(驗證、測試、重啟) | 計算 RTO 上限 |
🧠 關鍵公式與記憶法
MTD ≥ RTO + WRT(硬性上限)
例題:MTD = 24h,WRT = 4h → RTO ≤ 24 - 4 = 20小時
RTO:「我最多可以停機幾耐?」→ 越短 → 越需要 Hot Site
RPO:「我最多可以丟失幾多數據?」→ 決定備份頻率
RTO短+RPO短 = Hot Site + 實時備份(成本最高)
RTO:「我最多可以停機幾耐?」→ 越短 → 越需要 Hot Site
RPO:「我最多可以丟失幾多數據?」→ 決定備份頻率
RTO短+RPO短 = Hot Site + 實時備份(成本最高)
🧪 BCP/DR 測試類型(超高頻考點)
| 測試類型 | 方法 | 侵入度 | 特點 |
|---|---|---|---|
| Document Review | 審查計劃文件完整性 | 最低 | 零風險,快速,但不能驗證實際執行 |
| Tabletop Exercise | 關鍵人員討論情景,口頭演練 | 低 | 最常用;發現程序缺陷;不測試真實系統 |
| Walkthrough | 逐步審閱和演練 | 中低 | 比Tabletop更詳細;仍不涉及真實系統 |
| Simulation | 模擬真實場景,不切換系統 | 中 | 接近真實;不中斷業務 |
| Parallel Test ⭐ | 同時運行主系統和備用系統 | 中高 | 最有效 + 最低業務風險;驗證 DR 能力不停主業務 |
| Full Interruption | 完全切換至備用系統,停止主系統 | 最高 | 最全面最真實;但主業務中斷風險最高 |
⭐ 最高頻考題:「最有效且最低業務風險」= Parallel Test(唔係 Full Interruption)
「效果最全面」= Full Interruption(但風險最高)
「最常用、最實際」= Tabletop Exercise
「效果最全面」= Full Interruption(但風險最高)
「最常用、最實際」= Tabletop Exercise
🏢 恢復站點類型
| 站點類型 | 準備狀態 | RTO | 成本 | 適用 |
|---|---|---|---|---|
| Hot Site | 完全鏡像,即時可用,數據實時同步 | 分鐘級 | 最高 | 關鍵任務系統,RTO < 4小時 |
| Warm Site | 基礎設施就緒,需要恢復數據 | 數小時至一天 | 中等 | 重要系統,RTO 4-24小時 |
| Cold Site | 空間和基礎電力,無設備 | 數天至數周 | 最低 | 非關鍵系統,RTO > 24小時 |
| Mobile Site | 可移動預配置設備車輛 | 數小時 | 中等 | 地理分散、靈活部署 |
| Cloud DR | 雲端備份恢復,彈性擴展 | 視乎配置 | 按使用付費 | 現代組織,降低資本支出 |
| Reciprocal Agreement ✗ | 與合作公司互換使用設施 | 不確定 | 最低但不可靠 | 最不可靠,不建議 |
Reciprocal Agreement 陷阱:當你需要用對方時,對方可能正面對同一場災難;容量可能不足以支持兩家公司。「最不可靠的 DR 方案」= Reciprocal Agreement。
💾 備份策略
| 備份類型 | 備份內容 | 空間 | 備份速度 | 恢復速度 | 恢復需要 |
|---|---|---|---|---|---|
| Full Backup | 所有數據完整備份 | 最大 | 最慢 | 最快 | 只需最新 Full |
| Differential | 自上次 Full 以來的所有變更 | 中等 | 中等 | 中等 | Full + 最新 Differential |
| Incremental | 自上次任何備份以來的變更 | 最小 | 最快 | 最慢 | Full + 所有 Incremental |
🧠 備份口訣
Full=大慢快 · Diff=中中中 · Inc=小快慢
3-2-1 法則:3份副本 + 2種不同媒介 + 1份離線異地儲存
Incremental恢復最慢:需要 Full + 全部 Incremental 一起拼圖
Incremental恢復最慢:需要 Full + 全部 Incremental 一起拼圖
📂 資產分類四個級別
| 級別 | 名稱 | 說明 | 例子 |
|---|---|---|---|
| 🔴 | Restricted(限制) | 最高機密,洩露造成嚴重損害 | 國家機密、核心商業機密、密碼 |
| 🟠 | Confidential(機密) | 敏感業務資訊,僅限授權人員 | 財務數據、客戶個人資料、合約 |
| 🟡 | Internal(內部) | 一般內部資訊,不對外公開 | 內部政策、員工手冊 |
| 🟢 | Public(公開) | 可公開發布的資訊 | 公司網站、公開年報、行銷材料 |
注意:資產分類由資產擁有者(Asset/Data Owner)負責,而非 IT 部門或安全團隊。
🔄 安全計劃五大生命周期
1
Planning(規劃)
了解業務需求、定義範圍、獲取高層支持、資源規劃、BIA
2
Design(設計)
資產分類、控制選擇、政策制定、框架對齊、Threat Modeling
3
Implementation(實施)
部署技術控制、員工培訓、流程整合、供應商管理
4
Operation & Maintenance
日常監控、事件響應、合規審查、漏洞管理、Patch Management
5
Continuous Improvement
定期評估、更新政策、應對新威脅、成熟度提升
🎓 安全意識、培訓與教育(三層次)
| 層次 | 對象 | 目標 | 形式 | 衡量方式 |
|---|---|---|---|---|
| Awareness(意識) | 所有員工 | 知道安全的重要性 | 海報、提示郵件、視頻 | Phishing點擊率↓、事件報告↑ |
| Training(培訓) | 特定崗位 | 掌握具體安全技能 | 課程、演練、工作坊 | 前後知識測試、行為改變 |
| Education(教育) | 安全專業人員 | 深入理解、職業發展 | 認證課程、學位 | 認證取得、能力評估 |
⚠ 考試陷阱:培訓完成率 = 參與指標(KPI),唔係效果指標!效果指標 = Phishing點擊率下降、人為錯誤引起事件減少。
📈 安全計劃成熟度模型
| Level | 名稱 | 特徵 | 下一步 |
|---|---|---|---|
| 1 | Initial(初始) | 臨時、混亂、無文件、英雄主義 | 文件化基本流程 |
| 2 | Repeatable(可重複) | 有基本流程但不一致,依賴個人記憶 | 標準化跨組織流程 |
| 3 | Defined(定義) | 標準化流程,全組織一致執行 | 量化管理指標 |
| 4 | Quantitative(量化) | 可量化管理,數據驅動決策 | 持續優化 |
| 5 | Optimizing(優化) | 持續改善,以創新應對新威脅 | 維持領先 |
📢 安全計劃溝通與彙報(Program Communications & Reporting)
官方考綱明確列出此項。CISM 考試會測試你如何用正確語言向不同層級彙報安全狀態。
| 彙報對象 | 語言風格 | 重點內容 | 常用工具 |
|---|---|---|---|
| Board / 董事會 | 業務語言、財務影響 | 風險趨勢、ALE、重大威脅、合規狀態、ROI | Executive Dashboard、風險儀表板 |
| Senior Management | 風險 + 業務影響 | KGI達成、重大事件、預算使用、優先項目 | Monthly Security Report |
| IT / 技術團隊 | 技術細節 | 漏洞清單、KPI指標、修補進度、事件統計 | Security Metrics Report |
| 所有員工 | 簡單易懂 | 安全意識、政策更新、事件通報渠道 | Security Newsletter、培訓材料 |
📊 有效 Security Dashboard 的必備要素:
① 風險趨勢(Risk Trend)— KRI 指標上升/下降
② 事件統計(Incident Metrics)— MTTD、MTTR、事件數量
③ 合規狀態(Compliance Posture)— 各法規符合率
④ 控制有效性(Control Effectiveness)— 控制測試結果
⑤ 項目進度(Program Progress)— 路線圖里程碑達成情況
① 風險趨勢(Risk Trend)— KRI 指標上升/下降
② 事件統計(Incident Metrics)— MTTD、MTTR、事件數量
③ 合規狀態(Compliance Posture)— 各法規符合率
④ 控制有效性(Control Effectiveness)— 控制測試結果
⑤ 項目進度(Program Progress)— 路線圖里程碑達成情況
🎯 考試要點:向 Board 彙報時,永遠用財務語言和業務影響(如「此風險可能導致 $X 損失」),而非技術術語(「我們發現了 CVE-2024-xxxx 漏洞」)。Management 語言 = 風險 + 錢 + 業務影響。
🔒 安全控制設計與選擇(Control Design & Selection)— 官方 D3 子題
| 控制選擇原則 | 說明 | 考試重點 |
|---|---|---|
| 成本效益(Cost-Benefit) | 控制成本必須低於風險降低帶來的效益。Control Cost < ALE_before − ALE_after | 唔係越貴越好,要符合經濟效益 |
| 業務對齊(Business Alignment) | 控制唔能妨礙業務運作,要與業務流程整合 | 安全係業務推動者,唔係障礙 |
| 縱深防禦(Defence in Depth) | 多層控制組合,任一層失效不致全面崩潰 | Admin + Technical + Physical 三類結合 |
| 最小權限(Least Privilege) | 只給完成工作所需的最小權限 | 定期審查權限,避免權限積累 |
| 職責分離(Separation of Duties) | 敏感任務由多人配合完成,防止單人濫權 | 例:財務審批需要兩人 |
| 控制整合點(Integration Points) | 說明 |
|---|---|
| HR 整合 | 入職背景調查、離職帳戶即時停用、NDA 簽署、安全培訓要求 |
| 採購整合 | 新系統採購必須包含安全要求評估(Security by Design) |
| SDLC 整合 | Shift Left — 安全在需求階段就介入,越早越便宜 |
| 變更管理(Change Management) | 所有重大變更必須經過安全評估和審批,防止引入新風險 |
| 供應商管理 | 採購合約必須包含安全條款、審計權、洩露通報義務 |
🎯 D3 考試必背 14 點(更新版)
- BIA 係 BCP 的第一步,唔做 BIA 就唔知保護和恢復什麼
- BCP ⊃ DRP ⊃ IRP,BCP 範圍最廣
- RTO = 停機時間目標;RPO = 數據損失目標;MTD = 最長停機上限
- MTD ≥ RTO + WRT(必背公式!)
- 「最有效 + 最低風險」= Parallel Test;「最有效」= Full Interruption
- Tabletop Exercise 係最常用的 BCP 測試
- Reciprocal Agreement = 最不可靠的 DR 方案
- Incremental = 省空間、快備份、但恢復最慢(Full + 所有Inc)
- Full Backup = 大空間、慢備份、恢復最快(一個檔案搞定)
- 資產分類由 Asset/Data Owner 決定,唔係 IT
- 合規 ≠ 安全,合規係最低標準
- 培訓效果量度 = 行為改變(Phishing點擊率),唔係完成率
- 向 Board 彙報必須用財務語言和業務影響,唔係技術術語
- 控制選擇必須符合成本效益原則:Control Cost < ALE_before − ALE_after
🚨 Domain 4 — Incident Management 30% · ~45題
🔄 事件響應六步驟(NIST SP 800-61)— 必記順序
1
Preparation(準備)
建立 IRP、訓練 CSIRT、準備工具、制定通訊計劃、定期演練。準備越充分,響應越有效。
2
Detection & Analysis(偵測分析)
警報分類、確定範圍、評估嚴重性、確認是否為真實事故。Triage 優先排序。
3
Containment(遏制)— ⚠ 第一優先!
短期圍堵:即時隔離受影響系統,阻止蔓延。先收集揮發性證據(記憶體)再隔離!
長期圍堵:業務可繼續運作的持久措施。
4
Eradication(根除)
消除威脅根源(惡意軟件、後門)、修補漏洞、強化控制。根除完成後才能恢復!
5
Recovery(恢復)
恢復系統至正常運作。從乾淨備份恢復。持續監控確認威脅完全移除。漸進式恢復。
6
Lessons Learned(汲取教訓)
事件後 24-48 小時內進行 PIR。分析根本原因。改善 IRP 和政策。Blameless 文化,唔係問責!
🧠 NIST 順序口訣
準 → 偵 → 圍 → 根 → 恢 → 學
核心原則:圍堵永遠先於根除,根除永遠先於恢復。唔可以跳步驟(除非 Management 知情批准)。
⏱ 通報時限(必背)
| 法規/情況 | 通報對象 | 時限 | 觸發條件 |
|---|---|---|---|
| GDPR | 監管機構(DPA) | 72小時 | 個人數據洩露 |
| HIPAA | 受影響個人 | 60天 | PHI 洩露(500人以上同時通報 HHS) |
| 法律部門 | 內部法律顧問 | 盡早 | 有任何法律責任可能性 |
| CSIRT | 內部響應團隊 | 即時 | 發現事件後立即 |
| Senior Management | C-Suite | 依嚴重性,重大事件即時 | 業務影響重大事件 |
| 媒體 / 公眾 | 公關 | 謹慎,通常最後 | 需公開披露時 |
必背:GDPR = 72小時;HIPAA = 60天。兩者常在考試中混淆!
🔍 數字取證
| 原則 | 說明 |
|---|---|
| Chain of Custody(證據保管鏈) | 記錄誰收集什麼、何時、如何。確保證據在法律程序中可被採納。鏈斷裂 = 證據可能在法庭被推翻 |
| 揮發性優先 | 按揮發性由高到低:CPU緩存/記憶體 → 網絡連接 → 執行進程 → 臨時文件 → 硬碟 |
| 唔修改原始證據 | 使用 Write Blocker 複製,只在副本上工作。Hash驗證完整性(MD5/SHA-256) |
⚠ 關機 = 永久失去記憶體數據!必須先收集揮發性證據,才能關機或隔離系統。
🚨 常見攻擊類型與響應
| 攻擊類型 | 特徵 | 響應重點 |
|---|---|---|
| APT | 長期潛伏(月/年)、針對特定目標、高度複雜 | 深度取證,找出所有後門;謹慎 Containment |
| Ransomware | 加密數據勒索,快速蔓延 | 即時隔離;從備份恢復;不建議付贖金 |
| Phishing / Spear Phishing | 社交工程;Spear = 針對特定人員 | 即時更改憑據;調查蔓延範圍;培訓 |
| Insider Threat | 內部人員(惡意或疏忽) | 審計日誌;Least Privilege;HR 介入 |
| DDoS | 大量請求癱瘓服務 | 流量清洗;切換 IP;聯絡 ISP;CDN |
| Supply Chain Attack | 通過供應商或軟件更新滲透 | 供應商風險評估;軟件完整性驗證 |
| Zero-Day | 未知漏洞,暫無補丁 | Compensating Controls;加強監控;虛擬修補 |
📋 事件定義和分層
| 術語 | 定義 | 例子 | 需要響應? |
|---|---|---|---|
| Event(事件) | 任何可觀察的系統狀態,中性 | 用戶登錄成功、防火牆攔截請求 | 不一定 |
| Alert(警報) | 需要關注的事件,可能是誤報 | IDS 觸發警報 | 需要調查 |
| Incident(事故) | 違反安全政策或威脅 CIA | 惡意軟件感染、未授權訪問 | 必須響應 |
| Breach(違規) | 已確認的未授權數據訪問或洩露 | 客戶個人數據被盜 | 響應 + 通報義務 |
🛠 事件管理工具與技術(Incident Management Tools & Techniques)— 官方 D4 子題
| 工具/技術 | 全稱 | 作用 | 考試重點 |
|---|---|---|---|
| SIEM | Security Information & Event Management | 集中收集、關聯分析、儲存安全日誌;實時偵測異常;產生警報 | 偵測(Detection)的核心工具;提供集中可見性 |
| SOAR | Security Orchestration, Automation & Response | 自動化響應工作流程;整合多個安全工具;縮短 MTTR | 自動化響應;比 SIEM 更進一步(可行動) |
| IDS / IPS | Intrusion Detection / Prevention System | IDS = 偵測入侵並告警;IPS = 偵測並主動阻止 | IDS 係被動偵測;IPS 係主動防護 |
| EDR | Endpoint Detection & Response | 端點威脅偵測、調查和響應;記錄端點行為 | 端點層面的偵測和響應工具 |
| Forensic Tools | 數字取證工具 | 證據收集(Write Blocker)、記憶體轉儲、日誌分析、時間線重建 | Chain of Custody;只在副本上分析;Hash驗證 |
| Threat Intelligence | 威脅情報 | 提供外部威脅資訊(IOC、TTPs);幫助識別和預防攻擊 | 主動防禦;IoC = Indicator of Compromise |
| Vulnerability Scanner | 漏洞掃描工具 | 識別系統漏洞;定期掃描;優先排序修補 | 識別(Identify)階段工具;唔係實時監控 |
| Ticketing System | 事件追蹤系統 | 記錄和追蹤事件響應進度;確保問責;提供審計線索 | 確保所有行動有記錄;支持 Chain of Custody |
SIEM — 偵測為主
- 收集和關聯日誌
- 產生告警
- 人工分析和響應
- 提供可見性(Visibility)
- 適合:偵測和調查
SOAR — 響應為主
- 自動化響應 Playbook
- 整合多個安全工具
- 減少人工介入
- 縮短 MTTR
- 適合:高效響應和自動化
考試記憶點:SIEM = 看(偵測告警);SOAR = 做(自動響應)。問「哪個工具最能提升響應效率/縮短MTTR」→ 選 SOAR。問「哪個工具提供集中安全可見性」→ 選 SIEM。
🔢 事件分類與嚴重性(Incident Classification & Categorization)
| 嚴重性級別 | 特徵 | 響應速度 | 通報層級 |
|---|---|---|---|
| Critical(P1) | 業務完全停止、大量數據洩露、關鍵系統被入侵 | 立即(<15分鐘) | CSIRT + C-Suite + 法律 + Board |
| High(P2) | 主要業務功能受損、敏感數據可能洩露 | 1小時內 | CSIRT + Senior Management |
| Medium(P3) | 部分系統受影響、業務輕微影響 | 4小時內 | CSIRT + IT Manager |
| Low(P4) | 輕微異常、無明顯業務影響 | 24小時內 | IT 團隊 |
事件分類的依據:
① CIA 影響:機密性/完整性/可用性受損程度
② 業務影響:哪些業務功能受影響、財務損失
③ 數據敏感性:涉及 PII、PHI、財務數據?
④ 蔓延潛力:事件是否可能擴大?
⑤ 法律義務:是否觸發 GDPR/HIPAA 通報要求?
① CIA 影響:機密性/完整性/可用性受損程度
② 業務影響:哪些業務功能受影響、財務損失
③ 數據敏感性:涉及 PII、PHI、財務數據?
④ 蔓延潛力:事件是否可能擴大?
⑤ 法律義務:是否觸發 GDPR/HIPAA 通報要求?
🎯 D4 考試必背 12 點(更新版)
- 事件響應第一步 = Containment(遏制),唔係根除、唔係恢復
- 遏制前先收集揮發性證據(記憶體),關機 = 永久失去
- NIST 順序唔可以跳步:遏制 → 根除 → 恢復
- Chain of Custody = 確保證據在法律程序中可用
- GDPR = 72小時通報監管機構(個人數據洩露)
- HIPAA = 60天通報受影響個人
- 法律部門要盡早介入,有法律責任可能性就立即通知
- PIR 目的 = 改善,唔係問責;Blameless 文化
- 不建議付 Ransomware 贖金(唔保證恢復,鼓勵更多攻擊)
- CISO 溝通風險,Management 做最終決定
- SIEM = 偵測告警(看);SOAR = 自動響應(做);縮短 MTTR 選 SOAR
- 事件分類依據:CIA 影響 + 業務影響 + 數據敏感性 + 法律義務
🔄 易混淆概念完整對照表
| 概念 A | 概念 B | 關鍵區別 |
|---|---|---|
| Risk Appetite | Risk Tolerance | Appetite = 管理層願意接受的風險水平(主動策略決策);Tolerance = 可接受偏差範圍(操作邊界) |
| Threat(威脅) | Vulnerability(漏洞) | Threat = 潛在危害的來源(黑客、自然災害);Vulnerability = 系統的弱點(未修補漏洞) |
| Governance(治理) | Management(管理) | Governance = 方向/政策(WHAT/WHY);Management = 執行/監控(HOW/WHEN) |
| Accountability | Responsibility | Accountability = 最終問責(不可委託);Responsibility = 執行責任(可委託) |
| BCP | DRP | BCP = 業務整體持續運作(人員、流程、設施);DRP = IT 系統恢復(DRP ⊂ BCP) |
| IRP | BCP | IRP = 安全事故的技術響應(IRP ⊂ BCP);BCP = 重大中斷時的業務持續 |
| Inherent Risk | Residual Risk | Inherent = 控制前的原始風險;Residual = 控制後的剩餘風險(需SM正式接受) |
| KGI | KPI | KGI = 目標達成度(有沒達到目標);KPI = 執行效能(做得多好) |
| KPI | KRI | KPI = 量度現有執行效能(回顧性 Lagging);KRI = 預測未來潛在風險(前瞻 Leading) |
| RTO | RPO | RTO = 系統必須恢復運作的時間目標;RPO = 可接受的數據損失時間點(決定備份頻率) |
| MTD | RTO | MTD = 最長可容忍停機時間(硬性上限);RTO = 恢復目標(MTD ≥ RTO + WRT) |
| Policy | Standard | Policy = 高層次原則性要求(WHAT,強制);Standard = 具體量化規格(HOW MUCH,強制) |
| Standard | Guideline | Standard = 強制性具體要求;Guideline = 建議性最佳實踐(非強制!) |
| Data Owner | Data Custodian | Owner = 資產分類和保護決策(業務部門);Custodian = 技術性保管和實施(IT 部門) |
| Hot Site | Cold Site | Hot = 即時可用,成本最高;Cold = 需全面安裝,成本最低;Warm = 介乎兩者 |
| Full Backup | Incremental Backup | Full = 全部數據,恢復最快,空間最大;Incremental = 只備份變更,備份最快但恢復最慢 |
| Mitigate(減輕) | Avoid(迴避) | Mitigate = 降低風險但繼續活動;Avoid = 停止高風險活動 |
| Transfer(轉移) | Accept(接受) | Transfer = 轉移給第三方(保險/外包),責任仍在;Accept = 接受風險,不採取行動 |
| Parallel Test | Full Interruption | Parallel = 最有效+最低風險(主業務不停);Full Interruption = 最全面但主業務中斷 |
| Quantitative | Qualitative | Quantitative = 數字計算(ALE),需大量數據;Qualitative = 主觀評分(高/中/低),快速靈活 |
| CISO 匯報 CEO | CISO 匯報 CIO | 匯報 CEO = 正確,保持獨立性;匯報 CIO = 錯誤,安全需求被 IT 運營壓制 |
🪤 18 大常見錯誤陷阱清單
| # | 陷阱 | 錯誤想法 | 正確理解 |
|---|---|---|---|
| 01 | CISO 最終負責 | 「CISO 係安全負責人,所以最終負責」 | 最終問責永遠係 Senior Management,CISO 係顧問和執行 |
| 02 | 第一步就實施技術控制 | 「有問題馬上安裝防火牆」 | 第一步永遠係評估(BIA、Risk Assessment、Gap Analysis) |
| 03 | 事件響應先根除 | 「先消滅病毒,再隔離系統」 | Containment(遏制)永遠係第一步,先止血再根除 |
| 04 | 外判 = 外判責任 | 「供應商出事,係佢哋的責任」 | 外判工作,唔外判責任,法律責任仍在你的組織 |
| 05 | 合規 = 安全 | 「通過 PCI DSS 審計就安全了」 | 合規係最低標準,唔係安全目標 |
| 06 | Full Interruption 最佳 | 「Full Interruption 最徹底,所以最好」 | 「最有效 + 最低業務風險」= Parallel Test |
| 07 | Reciprocal Agreement 省錢好 | 「互換協議成本最低,係好選擇」 | Reciprocal Agreement 係最不可靠的 DR 方案 |
| 08 | Incremental 備份恢復快 | 「Incremental 省空間,所以好用」 | Incremental 恢復最慢(需要 Full + 所有 Incremental) |
| 09 | 定量分析一定更好 | 「有數字就更準確,所以定量更好」 | 數據不足時定性更合適,視乎情況 |
| 10 | PIR 係問責機制 | 「PIR 要找出誰出錯,誰負責」 | PIR 目的係改善,唔係問責。Blameless 文化 |
| 11 | RTO = RPO | 「RTO 同 RPO 都係恢復時間」 | RTO = 停機時間;RPO = 數據損失(完全唔同!) |
| 12 | KPI 用來預警風險 | 「KPI 可以預警風險上升」 | KRI 係預警(Leading);KPI 係成效(Lagging) |
| 13 | BCP = DRP | 「BCP 同 DRP 係同一件事」 | BCP ⊃ DRP,BCP 更廣(業務);DRP 係 IT 系統 |
| 14 | 關機前唔需要取證 | 「快點關機隔離,安全第一」 | 關機前必須先收集揮發性證據(記憶體) |
| 15 | 培訓完成率 = 培訓效果 | 「100% 員工完成培訓,效果很好」 | 完成率係參與指標,唔係效果指標 |
| 16 | Data Owner = IT 人員 | 「Data Owner 係 DBA 或 IT Manager」 | Data Owner = 業務部門;Data Custodian = IT |
| 17 | Guideline 係強制的 | 「Guideline 要強制遵守」 | Guideline 係建議性,Standard 才係強制 |
| 18 | Accountability 可委託 | 「可以把問責責任委託給 CISO」 | Accountability 不可委託!只有 Responsibility 可委託 |
📚 核心安全框架全覽
| 框架/標準 | 來源 | 核心內容 | CISM 相關 | 可認證 |
|---|---|---|---|---|
| ISO/IEC 27001 | ISO | ISMS 建立標準,PDCA 循環,Annex A 93項控制 | D1, D3 | ✅ |
| ISO/IEC 27002 | ISO | 安全控制實施指南(27001 的實施指引) | D3 | ❌ |
| NIST CSF 2.0 | NIST(美國) | Govern-Identify-Protect-Detect-Respond-Recover | D1, D2, D4 | ❌ |
| NIST SP 800-53 | NIST(美國) | 聯邦政府資訊系統安全控制目錄(1000+控制) | D3 | ❌ |
| COBIT 2019 | ISACA | IT 治理和管理框架,40個管理目標,5大原則 | D1 | ❌ |
| CIS Controls v8 | CIS | 18個關鍵安全控制,優先次序清晰,中小企業友好 | D3 | ❌ |
| PCI DSS v4.0 | PCI SSC | 12項要求,支付卡數據保護 | D2, D3 | ✅ QSA |
| SOC 2 | AICPA | Trust Services Criteria:Security、Availability等5項 | D2, D3 | Type I/II |
🔍 NIST CSF 2.0 六大功能
| 功能 | 目的 | 主要活動 |
|---|---|---|
| Govern(治理) | 建立網絡安全治理(CSF 2.0 新增) | 政策、角色、監督、風險管理策略 |
| Identify(識別) | 了解組織環境和風險 | 資產管理、業務環境、風險評估 |
| Protect(保護) | 實施保護措施 | 訪問控制、培訓、數據安全、技術保護 |
| Detect(偵測) | 識別安全事件 | 異常檢測、持續監控 |
| Respond(響應) | 採取行動應對事件 | 響應計劃、溝通、分析、緩解 |
| Recover(恢復) | 恢復受影響服務 | 恢復計劃、改善、溝通 |
📖 重要法規要點
| 法規 | 關鍵要點 | 通報時限 | 罰款 |
|---|---|---|---|
| GDPR | EU 個人數據保護;DPO 要求;數據主體權利(訪問、刪除、可攜帶) | 72小時(向監管機構) | 最高 €2000萬 或全球營業額 4% |
| HIPAA | 美國醫療數據保護;PHI 保護;BAA 要求 | 60天(向受影響個人) | 視嚴重性而定 |
| PCI DSS v4.0 | 12項要求;持卡人數據保護;QSA 年度審計 | N/A(合規持續性) | 罰款+撤銷信用卡處理資格 |
| SOC 2 Type II | 一段時期(6-12個月)的運作有效性;比 Type I 更有價值 | N/A | N/A |
ISO 27001 PDCA:Plan(建立ISMS)→ Do(實施控制)→ Check(監控審查)→ Act(持續改進)
📖 CISM 完整術語庫
ALE
Annual Loss Expectancy:年度預期損失 = SLE × ARO。控制投資上限。
APT
Advanced Persistent Threat:長期潛伏、針對特定目標的複雜攻擊。
ARO
Annual Rate of Occurrence:年度事件發生率(0.5 = 每兩年一次)。
BCP
Business Continuity Plan:業務整體持續運作計劃(包含 DRP 和 IRP)。
BIA
Business Impact Analysis:業務影響分析。BCP/DRP 的第一步。識別 RTO/RPO/MTD。
CASB
Cloud Access Security Broker:監控和控制雲端服務使用的安全工具。
Chain of Custody
證據保管鏈:確保數字證據在法律程序中可被採納的完整記錄。
CISO
Chief Information Security Officer:顧問和執行角色,應向 CEO/COO/Board 匯報,而非 CIO。
CMM
Capability Maturity Model:能力成熟度模型(Level 1-5)。
COBIT
Control Objectives for IT:ISACA 的 IT 治理和管理框架,5大原則,40個管理目標。
Cold Site
冷站點:僅有空間和基礎設施,無設備。RTO 最長,成本最低。
Compensating Control
補償控制:主控制無法實施時的替代措施。
CSIRT
Computer Security Incident Response Team:跨部門事件響應團隊。
Data Custodian
數據保管人:IT 部門,負責技術保護實施。執行角色,非決策者。
Data Owner
數據所有者:業務部門,負責數據分類和保護需求決策。
DPO
Data Protection Officer:GDPR 要求某些組織任命的獨立數據保護官。
DRP
Disaster Recovery Plan:IT 系統災難恢復計劃,係 BCP 的子集。
EF
Exposure Factor(0-100%):威脅對資產造成損害的百分比。用於計算 SLE。
GDPR
General Data Protection Regulation:EU 數據保護法規。個人數據洩露後 72小時通報監管機構。
Hot Site
熱站點:完全鏡像,即時可用,數據實時同步。RTO 最短,成本最高。
Inherent Risk
固有風險:未實施任何控制時的原始風險水平。Inherent > Residual。
IRP
Incident Response Plan:安全事件響應計劃,係 BCP 的子集。
KGI
Key Goal Indicator:量度目標達成度的回顧性指標(例:年度安全目標完成率)。
KPI
Key Performance Indicator:量度現有執行效能的回顧性(Lagging)指標。
KRI
Key Risk Indicator:提供風險上升早期預警的前瞻性(Leading)指標。
Least Privilege
最小權限:只給完成工作所需的最小訪問權限。
MTBF
Mean Time Between Failures:平均故障間隔時間,越長越好。
MTD
Maximum Tolerable Downtime:最大可容忍停機時間(硬性上限)。MTD ≥ RTO + WRT。
MTTD
Mean Time to Detect:平均偵測時間,越短越好。
MTTR
Mean Time to Repair:平均修復時間,越短越好。
Parallel Test
並行測試:同時運行主系統和備用系統。最有效+最低業務風險的 DR 測試。
PIR
Post-Incident Review:事後審查。Blameless 文化,目的是改善,唔係問責。
RACI
Responsible, Accountable, Consulted, Informed:責任分配矩陣。
Reciprocal Agreement
互惠協議:與另一組織互換使用 DR 設施。最不可靠的 DR 方案,不建議。
Residual Risk
殘餘風險:實施控制後的剩餘風險。必須由 Senior Management 正式接受並記錄。
Risk Appetite
風險胃口:管理層願意為業務目標承受的風險量。由 Board 定義,主動決策。
Risk Register
風險登記冊:記錄風險、評估結果、應對策略的動態文件,需定期更新。
Risk Tolerance
風險容忍度:Risk Appetite 的操作邊界(可接受的偏差範圍)。
RPO
Recovery Point Objective:最大可接受數據損失(決定備份頻率)。
RTO
Recovery Time Objective:系統必須恢復運作的時間目標(決定 DR 站點類型)。
SIEM
Security Information & Event Management:集中收集和關聯分析安全日誌,實時偵測異常並產生告警。提供集中可見性(Visibility)。
SOAR
Security Orchestration, Automation & Response:自動化響應工作流程,整合多個安全工具,縮短 MTTR。比 SIEM 更進一步(可自動行動)。
EDR
Endpoint Detection & Response:端點威脅偵測、調查和響應工具,記錄端點行為。
IoC
Indicator of Compromise:入侵指標,如惡意 IP、哈希值、域名等,用於威脅情報和入侵偵測。
Separation of Duties
職責分離:敏感任務需要多人配合,防止單人濫用權力。
SLE
Single Loss Expectancy:單次損失預期 = Asset Value × EF。
SOC 2 Type II
服務組織控制報告:評估一段時期(6-12個月)的安全控制運作有效性。比 Type I 更有價值。
Tabletop Exercise
桌面演練:最常用的 BCP 測試,低侵入性,口頭演練情景。
Warm Site
溫站點:基礎設施就緒但需數據恢復。介乎 Hot 和 Cold 之間。
WRT
Work Recovery Time:恢復工作所需時間(驗證、測試)。MTD ≥ RTO + WRT。
Zero Trust
零信任:「Never Trust, Always Verify」,不因網絡位置隱性信任任何請求。
📇 Flashcards — 點擊翻轉查看答案
🧪 綜合練習題 — 模擬真實 CISM 考試風格
點擊選項即時查看答案與解析。完成全部題目後顯示總分。
✅ 官方考綱 100% 覆蓋率驗證
對照 ISACA 官方 CISM Exam Content Outline,逐項確認本 Notes 覆蓋情況。
| Domain | 官方子題目 | 覆蓋狀態 | 在 Notes 哪裡 |
|---|---|---|---|
| D1 17% | Organizational Culture | ✅ 全覆蓋 | D1 → 安全文化、培訓三層次 |
| Legal, Regulatory & Contractual Requirements | ✅ 全覆蓋 | 框架法規 → GDPR/HIPAA/PCI DSS | |
| Organizational Structure, Roles & Responsibilities | ✅ 全覆蓋 | D1 → CISO匯報、角色表 | |
| Information Security Strategy Development | ✅ 全覆蓋 | D1 → Business Case 元素 | |
| Information Governance Framework & Standards | ✅ 全覆蓋 | 框架法規 → COBIT/ISO/NIST | |
| Strategic Planning (budgets, resources, business case) | ✅ 全覆蓋 | D1 → 安全策略核心組成元素 | |
| D2 20% | Emerging Risk and Threat Landscape | ✅ 全覆蓋 | D2 → APT/Zero-Day/Supply Chain |
| Vulnerability and Control Deficiency Analysis | ✅ 全覆蓋 | D2 → 漏洞識別、Compensating Control | |
| Risk Assessment and Analysis | ✅ 全覆蓋 | D2 → ALE/SLE公式、定量定性 | |
| Risk Treatment / Risk Response Options | ✅ 全覆蓋 | D2 → 4T策略表 | |
| Risk and Control Ownership | ✅ 全覆蓋 | D2 → Risk Owner、Senior Management接受殘餘風險 | |
| Risk Monitoring and Reporting | ✅ 全覆蓋 | D2 → Risk Register、KRI、持續監控 | |
| D3 33% | Program Resources (people, tools, technologies) | ✅ 全覆蓋 | D3 → 五大生命周期 |
| Information Asset Identification & Classification | ✅ 全覆蓋 | D3 → 資產分類四級 | |
| Industry Standards and Frameworks | ✅ 全覆蓋 | 框架法規 → 全覽表 | |
| Policies, Procedures, and Guidelines | ✅ 全覆蓋 | D1 → Policy五層架構 | |
| Information Security Program Metrics | ✅ 全覆蓋 | D1 → KGI/KPI/KRI | |
| Control Design and Selection | ✅ 全覆蓋 | D3 → 控制設計與選擇(新增) | |
| Control Implementation and Integration | ✅ 全覆蓋 | D3 → HR/採購/SDLC整合點 | |
| Control Testing and Evaluation | ✅ 全覆蓋 | D3 → BCP測試六種類型 | |
| Security Awareness and Training | ✅ 全覆蓋 | D3 → 培訓三層次 | |
| Management of External Services (3rd/4th party) | ✅ 全覆蓋 | D2 → 第三方風險管理、Fourth-party | |
| Program Communications and Reporting | ✅ 全覆蓋 | D3 → 溝通與彙報(新增) | |
| D4 30% | Incident Response Plan (IRP) | ✅ 全覆蓋 | D4 → IRP vs BCP vs DRP |
| Business Impact Analysis (BIA) | ✅ 全覆蓋 | D3 → BIA完整內容 | |
| Business Continuity Plan (BCP) | ✅ 全覆蓋 | D3 → BCP/DRP詳細 | |
| Disaster Recovery Plan (DRP) | ✅ 全覆蓋 | D3 → DR站點、備份策略 | |
| Incident Classification / Categorization | ✅ 全覆蓋 | D4 → 事件分類嚴重性表(新增) | |
| Incident Management Training, Testing & Evaluation | ✅ 全覆蓋 | D3 → BCP六種測試類型 | |
| Incident Management Tools and Techniques | ✅ 全覆蓋 | D4 → SIEM/SOAR/EDR工具表(新增) | |
| Incident Investigation and Evaluation | ✅ 全覆蓋 | D4 → Chain of Custody、取證原則 | |
| Incident Containment Methods | ✅ 全覆蓋 | D4 → Containment深度分析 | |
| Incident Response Communications | ✅ 全覆蓋 | D4 → GDPR 72h/HIPAA 60d/通報架構 | |
| Incident Eradication and Recovery | ✅ 全覆蓋 | D4 → NIST六步驟 | |
| Post-incident Review Practices | ✅ 全覆蓋 | D4 → PIR/Blameless |
📊 覆蓋率總結
| Domain | 官方子題數 | 已覆蓋 | 覆蓋率 | 狀態 |
|---|---|---|---|---|
| D1 信息安全治理 | 6項 | 6項 | 100% | ✅ 完整 |
| D2 信息風險管理 | 6項 | 6項 | 100% | ✅ 完整 |
| D3 安全計劃管理 | 11項 | 11項 | 100% | ✅ 完整(含新增溝通彙報+控制設計) |
| D4 事件管理 | 12項 | 12項 | 100% | ✅ 完整(含新增SIEM/SOAR+事件分類) |
| 總計 | 35項 | 35項 | 100% | 🏆 完整覆蓋 |
重要提醒:ISACA 官方公告 CISM Exam Content Outline 將於 2026年11月3日更新。現行考綱適用至該日期前。如你在 2026年11月後考試,需留意新考綱變動。
📅 12 週備考時間表
| 週次 | 重點 | 每日目標 | 完成標準 |
|---|---|---|---|
| 第 1-2 週 | 考試結構、官方考綱、四大 Domain 概覽、心態建立 | 1-2 小時 | 能說出四大 Domain 名稱、比重和核心考點 |
| 第 3-4 週 | 深入 D1(Governance vs Management、CISO匯報、Policy層級、KGI/KPI/KRI) | 1.5-2 小時 | 能解釋 Governance vs Management 區別,Accountability vs Responsibility |
| 第 5-6 週 | 深入 D2(風險公式、四種處理選項、控制類型、第三方風險) | 1.5-2 小時 | 能計算 ALE,解釋四種風險處理,Risk Appetite vs Tolerance |
| 第 7-8 週 | 深入 D3(BCP/DRP/BIA、RTO/RPO/MTD/WRT、測試類型、備份策略、成熟度) | 2 小時 | 能計算 RTO 上限(MTD-WRT),區分六種測試類型 |
| 第 9-10 週 | 深入 D4(NIST六步驟、取證、通報時限、PIR、攻擊類型) | 2 小時 | 能背出 NIST 六步驟順序,GDPR=72h vs HIPAA=60d |
| 第 11 週 | 大量練習題,分析錯題,針對弱項強化 | 30-50 題 | 練習題正確率達 75% 以上 |
| 第 12 週 | 模擬全真考試、複習陷阱清單、術語總複習 | 1 次模擬考 | 模擬考分數達 450 以上(56%) |
✅ 溫習打卡清單(20 個里程碑)
- 閱讀官方 CISM Exam Content Outline(免費下載自 ISACA 網站)
- D1:Governance vs Management 和 Accountability vs Responsibility 理解
- D1:政策層級(Policy → Standard → Procedure → Guideline)熟記
- D1:CISO 匯報結構(應向 CEO/COO/Board,而非 CIO)和 KGI/KPI/KRI 理解
- D2:風險公式(ALE / SLE / ARO / EF / ROI)記熟,能計算
- D2:四種風險處理選項(Mitigate/Transfer/Accept/Avoid)理解,Transfer≠消除責任
- D2:控制功能類型(Preventive/Detective/Corrective/Deterrent/Compensating/Recovery)熟記
- D2:Risk Appetite vs Risk Tolerance,Inherent Risk vs Residual Risk 清楚
- D3:BCP/DRP/IRP 的區別和關係(BCP ⊃ DRP ⊃ IRP),BIA 是第一步
- D3:RTO/RPO/MTD/WRT 的含義和公式(MTD ≥ RTO + WRT),能計算 RTO 上限
- D3:六種 DR 測試方法(Tabletop 至 Full Interruption),Parallel Test = 最有效+最低風險
- D3:備份策略(Full/Differential/Incremental),口訣:Full=大慢快,Inc=小快慢
- D4:事故響應六步驟(Preparation至Lessons Learned),圍堵(Containment)永遠第一
- D4:揮發性證據收集順序,關機前必須先收集記憶體
- D4:GDPR=72小時 vs HIPAA=60天,通報時限必背
- 易混淆概念:Governance/Management、Accountability/Responsibility、BCP/DRP/IRP
- 陷阱清單:18個常見錯誤,每個都過一遍
- 關鍵詞答題技巧:BEST/FIRST/EXCEPT/LEAST/PRIMARILY 的答題方向
- 完成所有練習題,正確率達 75% 以上
- 完成一次模擬考試,分數達 450/800 以上
⚖ ISACA 職業道德 & AUP & 成熟度模型
📜 ISACA 七大職業道德準則(Code of Professional Ethics)
CISM 持有人必須遵守以下準則。考試可能以情景題形式測試。
1
支持標準與合規
支持實施並鼓勵遵守適當的標準和程序(Support the implementation of, and encourage compliance with, appropriate standards)
2
盡職盡責
以應有的勤勉和專業護理履行職責,符合職業標準(Perform duties with due diligence and professional care)
3
誠信服務持份者
以合法、誠實的方式服務持份者利益,維持高標準品德(Serve stakeholders in a lawful and honest manner)
4
保密資訊
維護在履行職責過程中獲得的資訊的私隱和保密性。除非法律要求另有規定(Maintain privacy and confidentiality — unless law requires otherwise)
5
維持能力
在各自領域維持能力,只承接能夠勝任的工作(Maintain competency; only undertake activities they can complete competently)
6
披露重大事實
告知相關方工作結果,披露所知的所有重大事實(Inform appropriate parties of results; reveal all significant known facts)
7
支持安全教育
支持持份者的專業教育,提升其對安全治理和管理的理解(Support professional education of stakeholders)
⚠ 考試重點:準則第4條說「保密資訊」,但有例外——「除非法律要求你另行披露」。若法律要求通報,必須遵從法律。
📋 Acceptable Use Policy (AUP) — 可接受使用政策
| 項目 | 內容 |
|---|---|
| 定義 | 正式文件,說明所有與組織資訊系統和數據互動的人員的允許活動和禁止行為 |
| 適用範圍 | 任何使用或處理組織資訊資產的人員(員工、承包商、第三方) |
| 覆蓋範疇 | 訪問控制、數據分類處理、事件報告、披露限制、移動設備使用 |
| 關鍵元素 | 允許和禁止的活動、違規後果、角色與職責、溝通與意識 |
| 接受方式 | 接收者通常需要簽署確認同意(Recipients typically sign to acknowledge agreement) |
AUP vs Policy:AUP 是 Policy 的具體實例,針對「如何使用系統」的規定。AUP 失效最常見原因 = 員工不知道其存在,或管理層不執行。
📊 CMMI 成熟度模型(Capability Maturity Model Integration)
重要:CMMI 原由 Carnegie Mellon 大學 SEI 開發,現由 ISACA 維護!考試可能考此知識點。
| Level | 名稱 | 特徵 | 典型問題 |
|---|---|---|---|
| 1 | Initial(初始) | 臨時應急、混亂、無文件化、依賴英雄主義個人 | 「我們沒有標準流程,全靠小明」 |
| 2 | Repeatable(可重複) | 有基本流程但不一致,依賴個人記憶,各部門自行其是 | 「A 部門有做,B 部門唔做」 |
| 3 | Defined(定義) | 標準化流程,全組織文件化並一致執行 | 「有政策,全員遵守」 |
| 4 | Managed/Quantitative(量化) | 可量化管理,用數據驅動決策,有 KPI 追蹤 | 「我們的 MTTR 平均 2.3 小時」 |
| 5 | Optimizing(優化) | 持續改善,創新應對新威脅,以數據推動優化 | 「我們每季檢討並改進流程」 |
⚠ Level 5 不一定是目標!達到並維持 Level 5 成本極高。成熟度目標應由業務需求和風險胃口決定,不是越高越好。不同控制和流程可以有不同的目標成熟度級別。
🧠 記憶口訣
初 → 重 → 定 → 量 → 優
考試問「如何從 Level 2 升至 Level 3?」→ 標準化和文件化流程,確保全組織一致執行(Defined)
考試問「Level 4 的特徵?」→ 有量化指標、KPI 追蹤、數據驅動(Managed)
考試問「Level 4 的特徵?」→ 有量化指標、KPI 追蹤、數據驅動(Managed)
📊 Balanced Scorecard(平衡計分卡)
平衡計分卡是戰略規劃和管理工具,用於對齊組織策略和衡量績效。它從四個維度溝通優先事項並監測進度。
| 維度 | 核心問題 | 安全範例指標 |
|---|---|---|
| 財務 Financial | 股東如何看我們? | 安全事故造成的財務損失、安全投資回報率(ROI) |
| 客戶 Customer | 客戶如何看我們? | 客戶滿意度、SLA 達成率、數據洩露次數 |
| 業務流程 Internal Process | 我們必須在哪方面出色? | 漏洞修補時間、事件響應時間(MTTR) |
| 學習與成長 Learning & Growth | 如何持續學習和創造價值? | 培訓完成率、技能認證數量、安全意識提升 |
考試記憶:Balanced Scorecard = 「車的儀表板」,不同儀表(指標)一起告訴你車(組織)運行得多好。問「哪個工具提供跨多個維度的績效全景視圖」→ Balanced Scorecard。
🔄 Centralized vs Decentralized 安全管理
| 特點 | 集中式 Centralized | 分散式 Decentralized |
|---|---|---|
| 一致性 | ✅ 更高,標準統一 | ❌ 較低,各部門不同 |
| 本地適應性 | ❌ 較低 | ✅ 更高,可配合當地法規 |
| 資源效率 | ✅ 更高(規模經濟) | ❌ 較低(重複投入) |
| 對本地問題響應 | ❌ 較慢 | ✅ 較快 |
| 服務質量 | ✅ 一致 | ❌ 各單位不一 |
| 適用情況 | 小組織或單一管轄區 | 跨國企業,多法規環境 |
無論哪種方式,所有安全計劃都必須:與業務目標對齊 · 獲得高層管理支持 · 包含監控和報告 · 提供安全意識培訓
🏢 BMIS / COBIT / ERM 框架詳解
🏗 BMIS — Business Model for Information Security(ISACA 開發)
BMIS 是一個整體框架,從業務角度處理安全問題,而非單純技術視角。
四個核心元素(Core Elements)
| 元素 | 說明 | 考試重點 |
|---|---|---|
| Org Design & Strategy 組織設計與策略 | 定義業務目標、使命,以及資源和角色如何互動。必須適應內外部因素 | 安全策略必須從這裡出發 |
| People(人) | 策略的人員元素:HR/安全問題、角色、職責。必須考慮行為、偏見和培訓 | 人是最大弱點和最大資產 |
| Process(流程) | 完成工作的正式/非正式機制,包括風險和合規流程。必須與業務需求對齊 | 流程必須文件化並持續改善 |
| Technology(技術) | 增強流程的工具、基礎設施和應用。不斷變化,引入自身風險和文化接受問題 | 技術本身也有風險 |
六個動態互聯(Dynamic Interconnections)— 四元素之間的「張力」
| # | 互聯 | 說明 |
|---|---|---|
| 1 | Governance(治理) | 戰略領導,定義邊界,監控績效,確保合規,適應變化 |
| 2 | Culture(文化) | 影響資訊使用和管理的共同態度、信念、行為 |
| 3 | Enabling & Support(賦能與支持) | 通過用戶友好的安全措施、政策和程序將技術連接到流程 |
| 4 | Emergence(湧現) | 不可預測的變化或新發展(反饋循環、流程改進、意外威脅) |
| 5 | Human Factors(人為因素) | 人與技術的相互作用;包括培訓、文化差異和代際視角 |
| 6 | Architecture(架構) | 正式封裝人員、流程、政策和技術如何融合。實現縱深防禦 |
BMIS 考試要點:兩個 ISACA 自家框架 = COBIT(IT 治理)和 BMIS(業務模型)。BMIS 強調安全是業務問題,不只是技術問題。
🔧 COBIT 六大原則(Principles)
COBIT 2019 包含六個核心原則,描述治理系統的要求:
- Provide Stakeholder Value(提供持份者價值) — 使安全和 IT 與持份者需求對齊
- Holistic Approach(整體方法) — 將流程、結構和資訊視為整合系統
- Dynamic Governance System(動態治理系統) — 適應技術、威脅和業務的變化
- Governance Distinct From Management(治理與管理分離) — 戰略監督與日常運營分開
- Tailored to Enterprise Needs(按企業需求定制) — 根據組織規模、文化和風險胃口定制
- End-to-End Governance System(端對端治理) — 覆蓋整個企業,而非僅 IT 職能
COBIT 框架特點:將安全置於更廣泛的 IT 治理和管理框架中;關注資源和風險管理;自願採用(非強制)。
🌐 企業風險管理(ERM)框架
| 框架 | 來源 | 核心特點 |
|---|---|---|
| COSO ERM | COSO | 定義風險管理組件和原則;提倡「共同風險語言」(統一術語和概念) |
| ISO 31000:2018 | ISO | 概述風險管理的原則、框架和流程;幫助識別機會和威脅 |
| BS 31100 | 英國標準 | 提供與 ISO 31000 對齊的實務流程:識別、評估、響應、報告、審查 |
| NIST RMF | NIST(美國) | 系統性地將安全整合到 SDLC 每個階段;對美國聯邦機構強制 |
🎯 SWOT 分析在安全策略中的應用
S — Strengths(優勢)
- 組織或安全計劃的內部優勢
- 例:強大的安全文化、技術人才、充足預算
- 目的:識別可利用的競爭優勢
W — Weaknesses(劣勢)
- 造成劣勢或控制缺口的內部弱點
- 例:老舊系統、缺乏培訓、人手不足
- 目的:識別需要改善的領域
O — Opportunities(機會)
- 可利用來改善安全態勢的外部因素
- 例:新技術、監管變化、業務擴張
- 目的:識別可推進安全的外部條件
T — Threats(威脅)
- 可能損害組織或安全工作的外部因素
- 例:新型攻擊、競爭對手、監管處罰
- 目的:識別需要防範的外部風險
SWOT 的考試用途:用於確保安全與業務目標對齊;指導控制投資決策;SWOT 是現況評估(Current State Assessment)的工具之一。
🎯 威脅行為者、威脅向量與威脅情報
👥 威脅行為者分類(Threat Actors)
| 類型 | 描述 | 動機 | 技能 | 資金 |
|---|---|---|---|---|
| Script Kiddies | 使用現成工具的低技能攻擊者 | 炫耀技能 | 低,依賴現成工具 | 最少 |
| Hacktivists 駭客行動主義者 | 以黑客手段推動社會或政治目的的個人或組織 | 信仰驅動,服務「更大目的」 | 中等 | 眾籌或自費 |
| Criminal Syndicates 犯罪集團 | 以網絡犯罪牟利的有組織犯罪集團 | 財務利益 | 高度複雜、協調 | 充足,自給自足 |
| APT 高級持續性威脅 | 國家支持的組織,長期、針對性攻擊 | 政治或經濟目的 | 極高,專業化 | 國家支持,資金充足 |
| Insiders 內部威脅 | 濫用訪問權限傷害組織的授權用戶 | 行動主義、財務利益、怨恨 | 不定,利用內部訪問 | 通常自費 |
| Competitors 競爭對手 | 進行企業間諜活動竊取敏感資訊的組織 | 業務優勢 | 中等至高 | 企業支持,資源充足 |
⚠ APT 特點必記:長期潛伏(月/年)· 針對特定目標 · 高度複雜 · 國家支持 · 難以偵測。響應 APT 時:深度取證,找出所有後門;謹慎 Containment(避免打草驚蛇)。
🔗 Threat Vector vs Attack Surface
Threat Vector(威脅向量)
- 攻擊者用來獲得未授權訪問的方法或途徑
- 把它想成:攻擊者走的路徑
- 例子:釣魚郵件、惡意附件、未修補漏洞、社交工程
- 類比:攻城的特定方法(例:爬弱牆)
Attack Surface(攻擊面)
- 攻擊者可利用的所有潛在入口點的總和
- 把它想成:組織呈現的所有弱點的全景
- 例子:未保護設備、弱密碼、開放端口、過時軟件
- 類比:整個城堡本身(包括所有牆、門、弱點)
關係:防禦越強,攻擊面越小。攻擊面越小,有效的威脅向量就越少。
策略目標:縮小攻擊面 → 減少可利用的威脅向量。
策略目標:縮小攻擊面 → 減少可利用的威脅向量。
| 常見威脅向量 | 說明 |
|---|---|
| Email / 社交媒體 | 釣魚攻擊、垃圾郵件、社交工程的常見入口 |
| Direct Access(直接訪問) | 對設施或系統的物理訪問,通過未授權進入實現 |
| Wireless Networks(無線網絡) | 可從附近遠程訪問,無需物理進入 |
| Removable Media(可移動媒體) | USB 驅動器等可傳播惡意軟件或洩露數據 |
| Cloud(雲端) | 配置錯誤的訪問控制或安全漏洞 |
| Third-Party(第三方) | 通過供應鏈、供應商或業務伙伴引入的漏洞 |
🕵️ 威脅情報(Threat Intelligence)
| 類型 | 說明 | 例子 |
|---|---|---|
| OSINT 開源情報 | 來自政府機構、安全博客、社區論壇的公開威脅資訊 | CISA、社區論壇 |
| Proprietary Intelligence 專有情報 | 商業或私人威脅資訊服務,提供獨家或付費訪問 | Mandiant、CrowdStrike、IBM |
| Vulnerability Databases 漏洞資料庫 | 已知安全漏洞的集中存儲庫 | NVD、CVE、MITRE ATT&CK |
| IoC 入侵指標 | 表明可能發生安全事件的取證數據 | 文件哈希、惡意 IP、域名 |
| ISAC 信息共享和分析中心 | 在特定行業內促進威脅信息共享的有組織社區 | FS-ISAC(金融)、H-ISAC(醫療) |
📡 STIX / TAXII / AIS — 威脅情報標準
| 標準 | 全稱 | 作用 | 類比 |
|---|---|---|---|
| STIX | Structured Threat Information eXpression | 定義表達網絡威脅資訊的通用語言(WHAT) | 定義「說什麼」 |
| TAXII | Trusted Automated eXchange of Intelligence Information | 定義傳輸STIX 信息的方式(HOW) | 定義「怎麼說」 |
| AIS | Automated Indicator Sharing(CISA) | CISA 提供的免費機器可讀網絡威脅指標實時交換能力 | 公共威脅情報廣播 |
記憶法:STIX 定義「說什麼」;TAXII 定義「怎麼傳」。STIX 信息透過 TAXII 安全傳輸。
評估威脅情報的四個標準(ISACA):
①Timeliness(時效性) — 資訊是否足夠及時?
②Accuracy(準確性) — 基於驗證來源的可靠性
③Relevance(相關性) — 對你的組織有多適用?
④Confidence Scoring(置信度評分) — 評估威脅情報可信度的標準化評分
①Timeliness(時效性) — 資訊是否足夠及時?
②Accuracy(準確性) — 基於驗證來源的可靠性
③Relevance(相關性) — 對你的組織有多適用?
④Confidence Scoring(置信度評分) — 評估威脅情報可信度的標準化評分
🔬 漏洞管理 & 滲透測試 & CVE/CVSS
📊 CVE / CVSS / NVD — 漏洞評分系統
| 系統 | 全稱 | 作用 | 維護機構 |
|---|---|---|---|
| CVE | Common Vulnerabilities and Exposures | 公開已知安全漏洞的字典,含 CVE ID、描述、日期。不含 CVSS 分數 | MITRE |
| CVSS | Common Vulnerability Scoring System | 漏洞的嚴重性評分(0-10),用於漏洞掃描工具的優先排序 | FIRST |
| NVD | National Vulnerability Database | 同步自 MITRE CVE 列表,包含 CVSS 分數;需要 CVSS 分數到 NVD 查 | NIST |
| CWE | Common Weakness Enumeration | 軟件和硬件弱點類型的分類列表(比 CVE 更高層次) | MITRE |
記憶口訣:CVE = 具體漏洞列表(無分數)→ 查分數去 NVD → CVSS 是分數系統 → CWE 是弱點類型。
「CVE 列表供給 NVD」——NVD 是 CVE 的超集,加了 CVSS 分數。
「CVE 列表供給 NVD」——NVD 是 CVE 的超集,加了 CVSS 分數。
🔍 漏洞掃描 vs 滲透測試(Vulnerability Scan vs Penetration Test)
Vulnerability Scan(漏洞掃描)
- 自動化工具掃描已知漏洞
- 報告弱點及嚴重性(CVE)
- 通常非侵入性
- 幾乎任何人都能操作
- 類比:火警偵測器(告知有火,但不說在哪、多嚴重)
- 頻率:定期(月度)
Penetration Test(滲透測試)
- 模擬真實攻擊,人工+自動化結合
- 嘗試利用漏洞並評估潛在影響
- 侵入性,可能造成中斷
- 需要專業技能和資格
- 類比:消防員測試火警系統和灑水系統
- 頻率:定期,通常年度
| Pentest 知識類型 | 描述 | 考試別名 |
|---|---|---|
| White Box(白盒) | 測試者獲得完整系統信息和網絡地圖,已知環境 | Known Environment |
| Black Box(黑盒) | 測試者對目標系統一無所知,完全盲測 | Unknown Environment |
| Grey Box(灰盒) | 提供有限信息(如登錄憑據),模擬長期訪問的黑客 | Partially Known Environment |
| 演習類型 | 角色 | 職責 |
|---|---|---|
| Red Team(紅隊) | 進攻方 | 模擬真實攻擊者,測試安全計劃有效性 |
| Blue Team(藍隊) | 防禦方 | 內部安全團隊,防禦紅隊和真實攻擊者 |
| Purple Team(紫隊) | 流程改善 | 確保並最大化紅隊和藍隊的有效性 |
| White Team(白隊) | 裁判/監督 | 監督紅藍隊演習,充當裁判角色 |
Pentest 關鍵概念:
Lateral Movement(橫向移動)= 在進入初始系統後,移動到網絡內部的其他設備
Privilege Escalation(權限提升)= 以比運行用戶更高的權限執行代碼
Persistence(持久性)= 在被攻破的系統上保持長期存在的能力
Rules of Engagement(交戰規則)= 定義測試目的、範圍、時間和限制
Lateral Movement(橫向移動)= 在進入初始系統後,移動到網絡內部的其他設備
Privilege Escalation(權限提升)= 以比運行用戶更高的權限執行代碼
Persistence(持久性)= 在被攻破的系統上保持長期存在的能力
Rules of Engagement(交戰規則)= 定義測試目的、範圍、時間和限制
📋 漏洞掃描類型
| 掃描類型 | 說明 | 優缺點 |
|---|---|---|
| Credentialed(憑據掃描) | 擁有更高權限的掃描,可發現需要特權才能看到的漏洞 | 更全面,能發現非到期密碼等 |
| Non-Credentialed(無憑據掃描) | 較低權限,識別攻擊者容易發現的漏洞 | 更接近真實攻擊者視角 |
| Non-Intrusive(非侵入式) | 被動掃描,僅報告漏洞,不嘗試利用 | 安全,可在生產環境使用 |
| Intrusive(侵入式) | 嘗試利用漏洞,可能造成系統損害 | 僅在沙盒環境使用,不在生產系統 |
⚠ 風險可能性七大因素(Risk Likelihood Factors)
| 因素 | 說明 | 影響方向 |
|---|---|---|
| Volatility(波動性) | 情況的穩定性——不穩定時,特定風險的可能性更高 | 波動↑ → 風險可能性↑ |
| Velocity(速度) | 風險事件發生及其影響被感受到的速度 | 速度↑ → 預警時間↓ → 危害↑ |
| Proximity(接近性) | 事件發生到其影響之間的時間間隔 | 時間越短 → 負面後果可能性↑ |
| Interdependency(相互依賴) | 風險不孤立存在,一個風險的實現可被其他風險影響 | 依賴越多 → 連鎖效應風險↑ |
| Motivation(動機) | 潛在攻擊者的動機影響攻擊可能性 | 動機越強 → 攻擊者越執著 → 成功率↑ |
| Skill(技能) | 潛在攻擊者的技能水平影響成功攻擊的可能性 | 技能越高 → 複雜攻擊可能性↑ |
| Visibility(可見性) | 高能見度目標更容易吸引攻擊 | 目標越知名 → 攻擊者注意力↑ |
考試應用:這七個因素需要綜合考慮,結合其他風險評估信息,對各種風險的可能性進行更全面的理解,從而更好地優先排序。
🔐 密碼學 & PKI & 數字證書
🎯 密碼學四大目標(Goals of Cryptography)
1. Confidentiality(機密性)
確保資訊對未授權方保持秘密。對靜態和傳輸中的數據加密。
2. Integrity(完整性)
保證資訊在傳輸或存儲過程中未被篡改。通過哈希驗證。
3. Authentication(身份驗證)
驗證通訊或訪問資源的實體身份。通過數字證書和簽名實現。
4. Non-repudiation(不可否認性)
防止實體否認其參與交易或通訊。數字簽名提供不可否認性。
🔑 對稱 vs 非對稱加密
Symmetric(對稱)加密
- 使用共享密鑰加密和解密
- 速度快,適合大量數據加密
- 缺點:缺乏可擴展性、密鑰分發困難、無不可否認性
- 例子:AES-256(最常用)
- 用途:批量加密、靜態數據加密
Asymmetric(非對稱)加密
- 使用公私鑰對加密和解密
- 速度慢,適合密鑰分發和身份驗證
- 優點:可擴展、支持不可否認性
- 例子:RSA、DH、ECC
- 用途:分發對稱密鑰、數字簽名、身份驗證
實際應用組合:非對稱加密用於安全地交換對稱密鑰,然後用對稱密鑰進行快速的批量數據加密。這是 TLS/HTTPS 的工作原理。
🏷 Hash(哈希)函數
哈希是一種將任意長度輸入轉換為固定長度輸出的單向函數。
| 哈希 vs 加密 | 哈希(Hash) | 加密(Encryption) |
|---|---|---|
| 方向 | 單向(不可逆) | 雙向(可用密鑰解密) |
| 目的 | 驗證完整性 | 確保機密性 |
| 輸出 | 固定長度摘要 | 可變長度密文 |
優良哈希函數的五個要求:
① 可接受任意長度輸入
② 提供固定長度輸出
③ 計算相對容易(對任意輸入)
④ 單向功能(不可逆)
⑤ 無碰撞(Collision Free)
① 可接受任意長度輸入
② 提供固定長度輸出
③ 計算相對容易(對任意輸入)
④ 單向功能(不可逆)
⑤ 無碰撞(Collision Free)
| 常見用途 | 說明 |
|---|---|
| 驗證數字簽名 | 確認簽名未被篡改 |
| 文件完整性監控 | 偵測未授權更改 |
| 數據傳輸驗證 | 確認傳輸數據未損壞 |
| Chain of Custody | MD5/SHA-256 哈希驗證取證副本完整性 |
📜 數字簽名(Digital Signature)
數字簽名是一個用發送者私鑰加密的哈希值,提供三個關鍵效益:
Authentication(身份驗證)
正面識別發件人。私鑰的所有權與特定用戶綁定。
Non-repudiation(不可否認)
發件人之後無法否認曾發送消息。在線交易中有時是必需的。
Integrity(完整性)
提供消息未被修改或損壞的保證。接收者知道消息在傳輸中未被更改。
1
創建數字簽名
發送者對消息進行哈希,然後用發送者的私鑰加密哈希值,形成數字簽名
2
驗證數字簽名
接收者用發送者的公鑰解密簽名,得到哈希值;然後對收到的消息重新哈希,比較兩個哈希值
3
驗證結果
哈希值匹配 = 消息完整且來自該發送者;哈希值不匹配 = 消息被篡改或發送者身份有問題
🏛 PKI — 公鑰基礎設施(Public Key Infrastructure)
1
Root CA(根 CA)
信任根(Root of Trust)。為下級 CA 簽發證書。最佳實踐:保持離線(Offline),僅在特定操作時上線,防止被攻破。
2
Subordinate / Policy CA(從屬/政策 CA)
也稱為中間 CA。向簽發 CA 簽發證書。Root CA 和 Issuing CA 之間的中間層。
3
Issuing CA(簽發 CA)
向客戶端、服務器、設備、網站等最終實體簽發數字證書。
信任向下流動(Trust Flows Down):根 CA 的可信度傳遞給從屬 CA,再傳遞給簽發 CA,最後傳遞給由簽發 CA 簽發的終端證書。
| PKI 關鍵概念 | 說明 |
|---|---|
| RA(Registration Authority) | 負責驗證證書申請者身份,並將請求轉發給 CA |
| CRL(Certificate Revocation List) | 已撤銷證書的列表。CA 必須發布 CRL。客戶端下載文件進行檢查,可能很大且過時。 |
| OCSP(Online Certificate Status Protocol) | 比下載 CRL 更快地檢查單個證書狀態的方法 |
| CSR(Certificate Signing Request) | 發送給 CA 以創建數字證書的消息,包含申請者信息和對應公鑰 |
| Stapling(裝訂) | OCSP 的一種方法,網絡服務器預先下載 OCSP 響應並提供給瀏覽器 |
| Pinning(固定) | 緩解欺詐性證書使用的方法;一旦看到特定主機的公鑰,就將其固定到該主機 |
💾 數據保護技術 & DRM/DLP/CASB & 數據混淆
🔄 數據生命週期(Data Lifecycle)
1
Create(創建)
數據誕生。可由用戶創建(用戶創建文件)或系統創建(系統記錄訪問日誌)。
2
Classify(分類)⭐
盡早分類!只有知道數據的敏感性,才能正確保護它。分類決定後續所有保護措施。
3
Store(存儲)
靜態數據(Data at Rest)保護:根據分類進行加密(理想情況下使用對稱加密如 AES),實施訪問控制。
4
Use(使用)
使用中數據保護:訪問控制、DLP 監控。傳輸中數據(Data in Transit):TLS 加密。
5
Archive(歸檔)
有時需要歸檔以遵守法規或業務原因。保留期限由法規、風險管理和待決訴訟決定。
6
Destroy(銷毀)⭐
不再需要的數據必須安全銷毀,確保無法讀取或恢復。保留超過必要時間的數據會增加風險!
⚠ 考試重點:數據分類應在創建後盡快進行,因為只有知道數據的敏感性,才能充分保護它。數據保留越長 = 風險越高。
🛡 DRM / DLP / CASB — 數據保護三劍客比較
| 工具 | 全稱 | 焦點 | 範圍 | 主要用戶 |
|---|---|---|---|---|
| DRM | Digital Rights Management | 內容保護和訪問控制 | 主要是數字內容和軟件 | 內容創作者、出版商 |
| DLP | Data Loss Prevention | 防止數據洩露和敏感信息保護 | 組織內所有敏感數據 | 處理敏感數據的組織(金融、醫療) |
| CASB | Cloud Access Security Broker | 雲端服務安全和可見性 | 雲端服務和應用 | 大量使用雲端服務的組織 |
DRM — 數字版權管理
- 允許內容所有者對他人使用其內容實施限制
- 常見於保護娛樂內容(音樂、電影、電子書)
- 偶爾用於企業保護存儲在文件中的敏感信息
- 保護隨文件一起移動,防止本地覆蓋 DRM 保護
DLP — 數據損失防護
- 識別、監控並自動保護敏感信息
- 監控並告警潛在違規和過度共享
- 策略可應用於:郵件、SharePoint、雲存儲、移動設備、數據庫
- 涵蓋偵測(Detective)、預防(Preventive)、糾正(Corrective)控制
CASB(雲訪問安全代理):
可以安裝在本地或雲端的安全策略執行解決方案。主要作用:控制 Shadow IT(未授權雲服務使用)、提供雲端訪問可見性和安全控制。
可以安裝在本地或雲端的安全策略執行解決方案。主要作用:控制 Shadow IT(未授權雲服務使用)、提供雲端訪問可見性和安全控制。
🎭 數據混淆技術(Data Obfuscation)
| 技術 | 定義 | 可逆? | 例子 |
|---|---|---|---|
| Data Masking 數據遮蔽 | 只保留數據字段中的部分數據 | 否(顯示層) | 信用卡顯示為 **** **** **** 1234 |
| Anonymization 匿名化 | 刪除所有相關數據,使原始主體不可識別 | 否(永久) | 統計數據中移除所有個人標識符 |
| Tokenization 令牌化 | 用隨機生成的令牌替換有意義的數據,原始數據保存在保險庫中 | 是(需訪問保險庫) | 支付處理:信用卡號替換為令牌 |
| Pseudonymization 假名化 | 用人工標識符或假名替換個人可識別信息(PII)字段 | 是(需訪問另一數據源) | GDPR 推薦的去識別化程序 |
重要區別:
匿名化= 永久無法逆轉,真正的去識別化
假名化= 可逆,通過另一數據源可重新識別(GDPR 仍視為個人數據!)
令牌化= 無狀態,比加密更強,密鑰不在本地
匿名化= 永久無法逆轉,真正的去識別化
假名化= 可逆,通過另一數據源可重新識別(GDPR 仍視為個人數據!)
令牌化= 無狀態,比加密更強,密鑰不在本地
💿 備份策略補充 — Electronic Vaulting / Remote Journaling / Remote Mirroring
| 策略 | 說明 | 恢復速度 | 數據丟失 |
|---|---|---|---|
| Electronic Vaulting 電子保管 | 批量/批次將備份數據傳輸到異地存儲(通常定期) | 較慢 | 自上次備份以來的數據 |
| Remote Journaling 遠程日誌 | 持續傳輸交易日誌/數據更改到異地,用於時間點恢復 | 較快 | 最少(近實時) |
| Remote Mirroring 遠程鏡像 | 在遠程站點維護精確的數據副本(同步或異步) | 最快 | 幾乎零(同步) |
記憶口訣(恢復速度排序):Vaulting(慢) < Remote Journaling(中) < Remote Mirroring(快)
對應 DR 站點:Cold → Warm → Hot
對應 DR 站點:Cold → Warm → Hot
🚨 IR 進階 — IM vs IR、取證、媒體清理、XDR/MDR
🔍 Incident Management vs Incident Response — 重要區別
Incident Management(IM)— 事件管理
- 戰略計劃和整體框架
- 包括:規劃、政策、資源分配、治理、恢復、持續改善
- 確保準備就緒並與業務目標對齊
- 在事件發生前就存在
- 類比:大局觀治理
Incident Response(IR)— 事件響應
- 事件被宣布後觸發
- 關注即時行動:識別、遏制、根除、恢復
- 目標:最小化即時影響,快速恢復運營
- 事件發生後執行
- 類比:實地行動
關係:IR 執行整體 IM 策略的部分內容。IM 和 IR 一起構建服務運營的韌性。Senior Management 支持對兩者都至關重要。
🔬 調查類型(Investigation Types)
| 類型 | 焦點 | 誰主導 | 標準 |
|---|---|---|---|
| Administrative(行政) | 政策違規、員工行為 | 內部 HR/管理層 | 組織政策 |
| Criminal(刑事) | 刑事指控,法庭呈堂 | 執法機構 | 嚴格的法律程序和證據標準 |
| Civil(民事) | 訴訟相關,損害/責任賠償 | 當事方律師 | 民事訴訟程序 |
| Regulatory(監管) | 確保符合法律/法規(HIPAA/GDPR) | 監管機構 | 具體法規要求 |
| Industry Standards(行業標準) | 最佳實踐或行業規範的遵守情況 | 行業機構/審計師 | PCI DSS 等行業標準 |
🔎 eDiscovery vs Digital Forensics — 詳細區別
eDiscovery(電子取證/電子發現)
- 識別、保存、收集、審查和製作電子存儲信息(ESI)用於訴訟
- 重點:收集潛在相關數據
- 通常不涉及深度技術分析
- 可由受過培訓的 IT 員工或法律支持執行
- 類比:收集和整理文件
Digital Forensics(數字取證)
- 科學方法收集、保存、分析和呈現數字證據
- 重點:恢復數據(含已刪除)、分析系統痕跡、確定事件如何發生
- 需要專業訓練、工具和專業知識
- 需維護數字取證的嚴格程序和完整性
- 類比:分析和解釋文件
關係:取證通常通過以可驗證方式提取數據來支持 eDiscovery。eDiscovery 公司通常不分析他們收集的數據;取證調查人員有專業培訓來分析數據、保護數據完整性並恢復丟失或刪除的數據。
📁 證據類型(Types of Evidence)
| 類型 | 說明 | 例子 |
|---|---|---|
| Real(實物) | 物理/有形物品 | 計算機、USB 驅動器、打印文件 |
| Testimonial(證詞) | 目擊者陳述 | 員工關於所看所見的陳述 |
| Documentary(文件) | 書面記錄 | 電子郵件、日誌文件、合同 |
| Demonstrative(示範) | 視覺輔助工具 | 圖表、地圖、模型 |
| Best Evidence(最佳) | 原始文件優先於副本 | 原始合同比複印件更好 |
| Hearsay(傳聞) | 非基於第一手知識,通常不可採納 | 「我聽說...」(有例外) |
| Conclusive(決定性) | 無可爭辯,凌駕所有其他類型 | DNA 證據(在某些情況下) |
⚠ 證據可採納性:證據必須符合三個條件才可在法庭採納:①與案件相關 ②與案件有實質關聯 ③依法收集(Competent/Legally Collected)
Chain of Custody 斷裂 = 證據被推翻!
Chain of Custody 斷裂 = 證據被推翻!
🗑 媒體清理(Media Sanitization)— NIST SP 800-88
| 方法 | 說明 | 安全程度 | 適用場景 |
|---|---|---|---|
| Clear(清除) | 邏輯覆寫(基本數據移除),使用正常讀取工具無法恢復 | 最低 | 低風險數據,重新使用設備 |
| Purge(淨化) | 高級邏輯/物理方法,使實驗室恢復不可行(例:加密擦除 Crypto-shredding) | 中高 | 敏感數據,設備退役 |
| Destroy(銷毀) | 物理損毀介質,使設備完全無法使用 | 最高 | 最高機密數據,確保無法恢復 |
🧠 記憶口訣
清(Clear)→ 淨(Purge)→ 毀(Destroy)
安全程度從低到高。考試問「最安全的媒體清理方法」→ Destroy
加密擦除(Crypto-shredding)= 屬於 Purge 類別,加密數據後丟棄密鑰
加密擦除(Crypto-shredding)= 屬於 Purge 類別,加密數據後丟棄密鑰
🛠 XDR / MDR — IR 工具補充(完整工具矩陣)
| 工具 | 全稱 | 範圍 | 核心特點 | 考試重點 |
|---|---|---|---|---|
| SIEM | Security Information & Event Management | 日誌集中 | 集中收集和關聯日誌,實時告警,提供可見性 | 偵測告警(看) |
| SOAR | Security Orchestration, Automation & Response | 自動響應 | 自動化 Playbook,整合工具,縮短 MTTR | 自動響應(做) |
| EDR | Endpoint Detection & Response | 端點 | 偵測和響應端點威脅,記錄端點行為 | 端點層面工具 |
| XDR | Extended Detection and Response | 多層整合 | 比 EDR 範圍更廣,整合端點、網絡、雲端、郵件數據,統一威脅視圖,自動化 | EDR 的延伸,跨層整合 |
| MDR | Managed Detection and Response | 外包服務 | 第三方提供 24/7 監控、威脅獵捕和響應專業知識;包含人員和流程 | 外包安全運營,含人員 |
EDR vs XDR
- EDR:專注個別端點(筆記本、服務器、手機)
- XDR:更廣泛範圍,整合多個層次
- XDR = EDR + 網絡 + 雲端 + 郵件 + 更多
- XDR 使用自動化和機器學習進行高級偵測
MDR — 外包安全運營
- 第三方服務,包含人員 + 流程 + 技術
- 提供 24/7 監控、威脅獵捕和響應
- ⚠ 外包安全,責任仍在組織
- 合同必須明確定義 SLA、合規職責、數據所有權
考試記憶:問「哪個工具提供集中安全可見性」→ SIEM;問「縮短 MTTR,自動響應」→ SOAR;問「端點威脅偵測」→ EDR;問「跨多個安全層整合偵測」→ XDR;問「24/7 外包安全運營」→ MDR。
📊 NIST IR 框架 vs SANS 框架 vs CMU SEI 框架對比
| 框架 | 步驟/階段 | 特點 |
|---|---|---|
| NIST SP 800-61 | 準備→偵測分析→遏制根除恢復→事後活動(4大階段) | 最常在 CISM 考試引用。詳細指導各階段活動。 |
| SANS | 準備→識別→遏制→根除→恢復→汲取教訓(6步) | 明確的 6 步順序,特別強調各步驟的獨立性 |
| CMU SEI | 準備→保護→偵測→分類→響應(5步) | 卡內基梅隆大學軟件工程研究所框架 |
考試重點:ISACA 考試最常引用 NIST。但更重要的是理解所有框架的共同元素:準備→偵測→遏制→根除→恢復→改進。順序不可跳步(除非管理層批准)。
🔄 Triage / Mitigation / Remediation — 術語區別
| 術語 | 定義 | 發生時機 |
|---|---|---|
| Triage(分類/優先排序) | 初步評估和優先排序:對傳入事件進行分類,確定哪些是真正的事件,按嚴重性排序 | 偵測分析階段(早期) |
| Containment(遏制) | 限制事件的範圍和規模,防止進一步蔓延;保護現有系統 | 第三階段(優先) |
| Mitigation(緩解) | 降低嚴重性/開始修復行動;與遏制重疊,開始實際修復 | 遏制期間和後期 |
| Eradication(根除) | 刪除事件痕跡(惡意軟件、後門) | 遏制之後 |
| Remediation(補救) | 修復根本原因(例:打補丁修復被利用的漏洞) | 根除之後/與根除並行 |
| Recovery(恢復) | 將系統恢復到安全的正常運作 | 根除和補救之後 |
⚠ 注意:Eradication(根除)= 刪除惡意物;Remediation(補救)= 修復漏洞。兩者通常並行,但補救根本原因是防止事件再發的關鍵。不修復根本原因 = 邀請重複事件。
📞 通訊連續性(Telecom Continuity)
IRP 必須詳細說明組織如何在事件期間維持或恢復電信網絡。
| 考慮事項 | 說明 |
|---|---|
| 覆蓋範圍 | 語音、WAN、LAN、第三方網絡全部納入計劃 |
| 漏洞識別 | 中心局問題、電纜切斷、軟件錯誤、安全漏洞 |
| 備份方案 | 不要只依賴運營商;考慮替代方案(衛星、無線) |
| 電源 | 確保 UPS 覆蓋電信設備 |
| 帶外通訊(Out-of-Band) | 如果標準渠道(如電子郵件)可能受損,使用安全的帶外通訊渠道 |
🏢 Incident Management vs Risk Management
Risk Management(風險管理)
- 關注預防
- 識別、評估和緩解潛在風險
- 在事件發生之前工作
- 目標:降低風險發生的可能性和影響
Incident Management(事件管理)
- 關注有效響應
- 遏制損害,恢復正常運營
- 在風險物化為事件後工作
- 目標:最小化業務影響,防止升級
關係:物化的風險 = 事件(Materialized Risk = Incident)。IM 建立協調響應計劃,遏制損害,防止事件演變為災難。IR 能力強化整體風險態勢。