Day 27
越測越差，整個人覺得好焦慮接近 4/8 了
#資訊資產清冊是一份清單包含硬體、軟體、資料、網路。
#資訊資產分級之主要目的：協助組織定義資訊資產對組織的重要性。
#適切保護資產的幾種方式：
．瞭解和控制資訊資產的存取權限並限制未經授權的存取。
．監視和追蹤資訊資產的使用情況以便及時檢測和回應安全事件。
．實施適當的安全措施，例如加密、防火牆、入侵偵測等，以保護資
訊資產免受攻擊和破壞。
．定期進行風險評估和漏洞掃描及時補救和強化資訊安全防護。
#資訊資產管理角色：
．權責單位(Owner)–由組織指定的資訊資產擁有單位。
．保管單位(Keeper)–由組織指定的資訊資產保管單位。
．使用單位(User)–由組織授權的資訊資產使用單位。
#資訊分級的依據：
．依法律要求
．依資訊的價值
．依資訊的重要性
＃個人資料保護法：
．立法目的：避免人格權受侵害、促進個人資料合理利用。
．個人資料保護及 GDPR 均強調個人擁有資料刪除權。
#GDPR：主要目標為取回個人對個資的控制權
．為歐盟一般資料保護法規。
．任何使用與歐盟公民相關資訊的公司都應評估遵循。
．要求持有個人可識別資訊的組織，需實施適切的安全控制措施，以
防止個人資料遺失。
#智慧財產權
．商標權是使用文字、標語和標誌的權利，註冊商標後，註冊人即享
有商標專用權。
．專利權是對發明授予的權利，對專利權人之發明予以保護。
．營業秘密是指不為公眾所知悉，能為權利人帶來經濟利益，具有實
用性並對權利人採取保密措施的技術資訊和經營資訊。
#營運持續管理：個旨在確保組織在面對不可預期的災難、中斷或緊
急情況時，可以持續運營並恢復正常運作的策略和程序。
．確保組織的利益最大化
．確保人員的成本最小化
．確保組織在發生重大災害時，業務持續不中斷
#營運衝擊分析應考慮項目：
． 復原至最低營運程度所需之員工、技能、設施及服務所需之時間
．最低營運程度所需之員工、技能、設施及服務
．完全復原至原服務水準所需之員工、技能、設施及服務所需之時間
#風險管理：
．風險識別
．風險分析
．風險評估–風險辨識、風險分析、風險評量
．風險計劃
．風險處理–風險規避、風險降低、風險轉移、風險保留。
＊風險改善計畫應該依照預訂的期限執行，並且應該在改善計畫完
成後進行風險再評估，以確保風險是否已經降低到接受的水平。
．殘餘風險再評鑑
#資安事故：指已經造成服務或營運中斷之資安事件（Security
Event），也就是已經發生了實際的影響。
#資安事件：指已經發生的資安相關事件，不一定會造成實際的影響
，而是可能會導致未來的風險。遇到資安事件時應該要及時處理。
#備份：
．完整備份（Full Backup）–就是完整備份。
．差異備份（Differential Backup）–完整備份 + 差別的部份備份。
．增量備份–前一次備份 + 差異的部份備份。
#RTO, RPO, MTPD
．RTO 時間越長，代表可容忍系統無法使用時間越長。
．RPO 的時間點要求越遠，代表可允許之資料備份週期越長。
．MTPD 時間越長，代表可容忍系統無法使用時間越長。
#磁碟陣列：RAID 0 不具容錯功能。
#資訊倫理四大議題（PAPA）
．隱私權(Privacy)–任意公開或販賣私人資料。
．精確性(Accuracy)–不正確的資訊或病毒在網路傳播。
．財產權(Property)–任意傳播或下載未經授權之數位資產。
．存取權(Accessibility)–資訊安全不足，私人資料遭到非法存取。