資安管理 SSCP (1)

基本介紹

教學目標

初步了解 SSCP 認證考試之七大領域。

重點概念

資訊安全無處不在,從專攻資訊安全的研究所畢業之後,雖然職場工作並非與資訊安全直接相關,但還是會經常碰到資安管理的應用,像是新創公司使用雲端服務時會需要進行權限控管、金融產業導入解決方案時會需要整合單一登入和稽核記錄、各行各業使用網站應用程式時開始會要求安全連線、…等,此時我們要如何有系統的學習資安管理,SSCP 認證考試就會是非常不錯的開始。

所謂 SSCP 的全名為 System Security Certified Practitoner,中文稱為資訊安全專業人員認證,主要是適合具有資訊安全技術能力且具實務經驗者,此認證主要會以公正客觀的標準,定義企業組織中實際負責運作及落實資安政策相關從業人員的實務工作範圍、角色和職務。

七大領域

SSCP 認證中資訊安全通識體系中主要有七大領域,分別為:

  1. 存取控制 (16%)
  2. 安全性作業與管理 (17%)
  3. 風險識別、監控與分析 (12%)
  4. 安全事故回應與復原 (13%)
  5. 密碼學 (9%)
  6. 網路與通訊安全 (16%)
  7. 系統與應用程式安全 (17%)

其中每個領域各別有需要學習的細節。

存取控制

  • 實作驗證機制
  • 網路信任架構
  • 參與識別管理生命周期
  • 實作存取控制

安全性作業與管理

  • 了解遵循道德規範
  • 了解安全概念
  • 安全控制作業文件
  • 實作和存取控制規範
  • 資產管理
  • 變更管理
  • 安全認知和訓練
  • 實體安全作業

風險識別、監控與分析

  • 了解風險管理流程
  • 執行安全評估活動
  • 維運監控系統
  • 分析監控結果

事故回應和復原

  • 事故控管
  • 了解和支援鑑識分析
  • 了解和支援商業持續營運計劃和災害復原計劃

密碼學

  • 了解和應用密碼學基礎概念
  • 了解密碼學需求
  • 了解和支援安全協定
  • 營運和實作加密系統

網路與通訊安全

  • 了解網路相關的資安議題
  • 保護通訊技術
  • 控制網路存取
  • 管理區域網路安全
  • 營運和設定以網路為基礎的安全裝置
  • 營運和實作無線安全技術

系統和應用程式安全

  • 識別和分析惡意程式碼和活動
  • 營運和實作端點裝置安全
  • 營運和設定雲端安全
  • 營運和確保大數據系統的安全
  • 營運和確保虛擬環境的安全

總結資安管理的應用非常的廣泛,然而對於投入職場的我們要如何利用鎖碎的時間有系統的長期學習,此時可以先花個 300 元台幣購買 (ISC)2 官方所提供的 SSCP 行動應用程式 進行學習,待學習七大領域之後,理應就能參與 SSCP 認證考試。

相關資源