Day 08:
ACW 提供的線上課程除了資安長的演講片段都看過了，
不太確定需不需要也看看？先留著。
今天不貼筆記寫一點個人感覺，
看完入門課程覺得對資訊安全有些初淺的理解。
資訊安全是管理和技術的結合
根據統計資訊安威脅有 80% 是來自於內部人員
對沒那麼多駭客！所以訂定安全的遊戲規則依照規則執行很重要。
目前關於資訊安全系統的國際標準是 ISO 27001
27000 系列都是資訊安全相關的 27001 制定了基本原則
其他號碼有實做的規則、特定行業（金融）、設備位置（雲端）、
資料傳輸（網路）、風險控制…等都有更進階的規則。
在其他課程會一直看到 27001 這個詞，
以 27001 為骨架去延伸出其他部份
就可以覆蓋整個資安的範圍
法規面內含：資訊安全管理法（及子法）、個人資料保護法
公司面：公司政策…
然後在實際執行中會一直看到 Plan, Do, Check, Actaion
這個流程不管是資訊安全管理系統、風險管理中都持續
出現著照著這個規則持續的強化資安管理系統與風險的
處理讓整個系統愈來愈好…
資安裡面會持續重覆的看到 CIA ：機密性(C)、完整性(I)、可用性(A)
這三個詞，它們強調資料要被保護、要完整、要可以使用。
如果說 27001 是骨架那相關保護技術就是它的內容物必須
透過那些密碼學、OWASP、雲端、防火牆…相關技術去達到
系統想守住的安全。