仆洛宅

  資料來源： https://www.tksg.global/mod/page/view.php?id=43792 資訊技術安全評估共同準則 (CC, ISO/IEC 15408, GB/T 18336) 產品檢測與認證服務 資訊技術安全評估共同準則 資訊技術安全評估共同準則 ( Common Criteria for IT Security Evaluation, ISO/IEC 15408 )，簡稱共同準則 (Common Criteria) 或 CC，是針對實現資/通訊產品所使用 資訊技術的安全性 所進行的安全技術認證。  共同準則是資訊安全性的架構，是建立在資/通訊產品的開發者可以在安全標的 (Security Target, ST ) 檔案當中，標示安全功能需求 (Security Functional Requirements, SFR ) 及安全保障需求 (Security Assurance Requirement, SAR )，或者也可以從資/通訊產品的保護剖繪 (Protection Profile, PP ) 中取得這些資料。 開發商 CC 文件準備指南 (Guidelines for Developer Documentation)   ISO/IEC TR 15446 Information technology — Security techniques — Guidance for the production of protection profiles and security targets 加解密組認證 (Cryptographic Module Validation Programme, CMVP) - FIPS 140-3 Standards 開發商可以實現或是聲明其產品的安全屬性，檢測實驗室可以評估這些產品， 根據不同的安全保障級別 (EAL)，評估與檢測的深度也不同 ，並確認其是否符合聲明的屬性。換句話說，共同準則提供了保證，資/通訊安全產品的規格、實現以及評估可以用一個嚴謹、標準化且可重覆的方式進行，而且可以與目標使用環境相稱。共同準則會維護一份已認證產品的清單，其中包括作業系統、存取控制系統、資料庫、及密鑰管理系統等。 參照相關國際標準： ISO/IEC 15408-1 Infor...

  CISSP考試心得-Alex Yeh 心智圖 心智圖PDF Structure Architecture Framework Approach Methodology Domain 口訣 Domain 1. Security and Risk Management   C、I、A+GRC(安全和風險管理） Domain 2. Asset Security   盤點、分類、保護（資產安全） Domain 3. Security Architecture and Engineering   時時都安全、處處都安全（安全架構和工程） Domain 4. Communication and Network Security   處處都安全（通信及網路安全） Domain 5. Identity and Access Management (IAM)   I + 3A（身分識別及存取控制） Domain 6. Security Assessment and Testing   查驗、訪談、測試（安全評鑑及測試） Domain 7. Security Operations   日常維運、持續改善（安全維運） Domain 8. Software Development Security   時時都安全、處處都安全（軟體開發安全） 美國法定目標（FISMA）/ 資通安全法 CIA Ｃ機密性：資料不被偷 Ｉ完整性：資料不被竄改 Ａ可用性：資料隨時可用 Integrity完整性 Data Integrity（資料完整性） Authenticity（資料真偽；真實性） Non-repudiation 不可否認性（法律上）：傳送方不能否認未傳收；接受方不能否認未收到。 FISMA NIST FIPS 199 NIST SP 800 資產Asset：有價值Value的東西，且值得保護 Assets 通常指資訊系統 資料 電腦系統 操作系統 軟體 網路 資料中心（機房） 人（最重要） 業務流程 資安目標（定義）： 透過安全管制措施，保護資訊資產不受到危害，以達到CIA目標 進而支持組織的業務流程 將安全融入組織業務流程（人事/採購），產銷人發財 支持組織的「產品」及「服務」持續交付 為公司創造價值，實...