⚠️ 考試常見陷阱:各法規的「適用對象」和「用途分類」是最常出的混淆題型。
例如:資通安全管理法僅適用公務機關及關鍵基礎設施,一般上市公司不適用;IEC 62443 是 OT/工控標準而非個資標準;ISO 27003 是實作指引而非驗證標準。
ISO / IEC 27000 系列
ISO/IEC 27001ISMS 要求標準(驗證用)
- 最核心的 ISMS 認證標準,2022 版已取代 2013 版
- 新導入組織應採用最新版(27001:2022)
- 6.1.2 風險評鑑:建立準則 → 識別 → 評估(不含「最高標準處理」)
- 6.2 資訊安全目標:與政策一致、可量測、傳達、更新,以文件化資訊保存(不限紙本)
- 7.4 溝通:事項(what)、對象(who)、時機(when)、方式(how),不含地點 陷阱
- ISMS 建置考量:法令法規、客戶合約、主管機關(個人專長≠主要考量)
規劃高頻條款細節
ISO/IEC 27000 子標準各系列用途對照(常考配對題)
- 27002:控制措施實務規範(2022版新增4大主題分類)
- 27003:ISMS 建置實作指引(Guidance)
- 27004:監控、量測、分析與評估
- 27005:資訊安全風險管理(2022版新增事件為基礎的識別方式)
- 27010:跨組織資訊安全通訊
- 27011:電信產業 ISMS 指引 陷阱
- 27014:資訊安全治理框架
- 27015:金融服務業指引
- 27017:雲端服務資訊安全控制
- 27701:隱私資訊管理系統(PIMS)擴充 27001
- 27799:醫療保健業指引
- 42001:人工智慧管理系統(AI 治理)
配對題必考產業別選標準
IEC 62443工業自動化與控制系統(OT/ICS)
- 適用工業控制系統(OT/ICS/SCADA)的資安標準
- 非個人資料保護標準 陷阱
- 常與 NIST CSF 搭配用於 IT/OT 混合環境
- 製造業情境題常考「導入哪個 OT 標準」
OT/工控112–114 考古
ISO 31000風險管理原理及指導綱要
- 通用風險管理框架,不限資訊安全領域
- 與 ISO 27005(資安風險)搭配使用
- 風險管理原理 → 框架 → 流程三層結構
風險管理
ISO 9001 / ISO 14001品質 / 環境管理系統
- ISO 9001:品質管理系統(情境題背景常見)
- ISO 14001:環境管理系統
- 選任資安受託者時,ISO 9001 不是資安指標 陷阱
- 應確認受託者具 ISO 27001 等資安認證
情境題背景
NIST(美國國家標準)
NIST Cybersecurity Framework (CSF)網路安全框架
- 原版五大功能:Identify、Protect、Detect、Respond、Recover
- CSF 2.0(2024)新增第六項:Govern(治理) 陷阱
- 適用 IT 與 OT 環境,可搭配 IEC 62443
- 常考各功能的對應措施範例
防護高頻CSF 2.0 新考點
NIST SP 800-30風險評估指引
- 定義弱點(Vulnerability):系統安全程序、設計、裝置或內部控制的瑕疵/缺陷
- 區分威脅(Threat)、弱點、衝擊(Impact)三概念
- 人員違規行為 = 衝擊結果,非弱點本身 陷阱
弱點定義
NIST SP 800-61 r2電腦資安事故處理指引
- 四階段生命週期:
- ① 準備(Preparation)
- ② 偵測與分析(Detection & Analysis)
- ③ 遏制、清除、復原(Containment / Eradication / Recovery)
- ④ 事後活動(Post-Incident Activity)
- 常考各階段順序與對應措施
事故處理112 防護多題
NIST SP 800-34業務持續計畫指引
- BIA(業務衝擊分析):識別關鍵功能與優先順序
- DRP(災難復原計畫):IT 系統復原
- BCP(業務持續計畫):整體業務持續運作
- 三者定義差異常被混淆 陷阱
BCP/DRP
NIST SP 800-207零信任架構(ZTA)
- 核心元件:PEP(政策執行點)、PDP(政策決定點)、PA(政策管理員)
- 七大基本原則(永不信任、持續驗證、最小存取)
- CISA 零信任成熟模型五大支柱:身分、設備、網路、應用工作負載、資料
- → 詳見下方「零信任架構」分區
零信任112–114 規劃多題
OWASP
OWASP Top 10:2021十大 Web 常見風險
- A01 Broken Access Control(權限控制失效)— 排名第 1
- A02 Cryptographic Failures(加密機制失效)
- A03 Injection(注入式攻擊,含 SQL Injection)
- A04 Insecure Design(不安全設計)
- CSRF 已從 2021 版移除(2017 版有)陷阱
防護高頻版本差異注意
OWASP 工具與框架SAMM / ASVS / ZAP / CDM
- OWASP ZAP:動態應用安全測試工具(DAST)
- OWASP ASVS:應用程式安全驗證標準
- OWASP SAMM:軟體安全成熟度模型
- OWASP CDM(Cyber Defense Matrix):網路防禦矩陣,2016 Sounil Yu 提出
- Fortify SCA = 靜態分析(SAST),非動態 陷阱
工具用途分類
MITRE ATT&CK
MITRE ATT&CK 戰術分類常考戰術歸屬判斷
- 橫向移動(Lateral Movement):遠端服務破解、內部釣魚、橫移工具傳輸
- 蒐集(Collection):Data from Local System — 不屬於橫向移動 陷阱
- 憑證存取(Credential Access):暴力破解、AITM、偽造憑證
- 探索(Discovery):密碼政策探索 — 不屬於憑證存取 陷阱
- 初始存取(Initial Access):T1190 利用公開應用程式漏洞(如 Apache Struts RCE)
防護高頻戰術歸屬易混淆
MITRE ATT&CK for GenAI生成式 AI 攻擊框架
- 2023–2024 年新增生成式 AI 相關攻擊技術
- 識別攻擊者在各階段利用 AI 的方式
- 114 年開始出現,屬新增考點
114 新考點
AICPA SOC 報告 & BSI
SOC 1 / SOC 2 / SOC 3服務組織控制報告(AICPA)
- SOC 1:財務報告內部控制,供財務審計人員使用
- SOC 2:安全/可用/完整/機密/隱私控制,限特定客戶(不公開)
- SOC 3:SOC 2 的簡化公開版,適合一般大眾閱覽 陷阱
報告對象判斷113 規劃 Q1
BSI BS 10012個人資訊管理系統(英國)
- 英國個人資料保護管理系統標準
- 可協助符合 GDPR 要求
- 常與 ISO 27701 一起出現於情境題
- 供應鏈合約要求驗證時常考
個資保護
歐盟法規
GDPR歐盟一般資料保護規則
- 適用向歐盟境內提供服務或監控 EU 居民的組織(不限 EU 公司)
- 違規最高罰款:2,000 萬歐元或全球年營收 4%
- 個資外洩需在 72 小時內通報主管機關
- 可搭配 ISO 27701 / BS 10012 協助合規
個資保護跨境業務必知
NIS2 Directive歐盟網路與資訊系統安全指令(第二版)
- 規範關鍵基礎設施的網路安全(服務提供者)
- 對象:服務提供者,非產品製造商 陷阱
- 取代原 NIS Directive(2016)
EU 關鍵基礎設施
Cyber Resilience Act (CRA)歐盟資通安全韌性法案
- 適用具數位元素產品製造商(含 IoT 設備)
- 要求產品整個生命週期確保安全性
- 違規最高罰:1,500 萬歐元或年營收 2.5%
- IoT 設備進入 EU 市場 → 適用 CRA,非 NIS2 陷阱
產品製造商IoT 必知
EU Cybersecurity ActRegulation 2019/881
- 建立 ENISA(歐盟網路安全局)常設地位與職責
- 建立 ICT 產品安全認證框架
- 不直接規範 IoT 產品安全義務與罰則 陷阱
ENISA認證框架
台灣法規
個人資料保護法(個資法)全面適用,非僅電腦業
- 適用所有蒐集、處理或利用個資的主體,非僅電腦業 陷阱
- 當事人有權請求複製個資,不得預先放棄此權利
- 蒐集個資須告知:目的、期限、使用對象、方式
台灣法規適用範圍易錯
資通安全管理法公務機關 / 關鍵基礎設施
- 適用:公務機關 + 特定非公務機關(關鍵基礎設施)
- 一般民間上市公司不適用 陷阱
- 資安事件:初判後 1 小時內通報主管機關
- 委外辦理需確保受託者具備資安能力
台灣法規適用對象必考
資通安全責任等級分級辦法公務機關 A–E 分級
- 公務機關分 A / B / C / D / E 五級
- 日誌留存:各等級均至少六個月以上
- 日誌應含:事件類型、發生時間與位置、使用者識別
- 應保存類型:作業系統、網站、應用程式、登入日誌
台灣法規日誌規定
公開發行公司建立內部控制制度處理準則資安長與資安專責人員設置
- 實收資本額 ≥ 100 億:資安長 + 資安專責單位 + 單位主管 + 至少 2 名資安人員
- 實收資本額 < 100 億:資安長 + 至少 1 名資安人員
- 數字組合是最常出的陷阱題 陷阱
人員配置112 規劃 Q3
上市上櫃公司資通安全管控指引重大資安事件揭露義務
- 台灣上市上櫃公司必須遵守
- 須揭露的重大性判斷:① 媒體報導影響投資人決策、② 個資或文件外洩之虞、③ 財務損失影響投資人決策
- 「僅核心系統/官網遭攻擊」不是唯一標準 陷阱
上市公司重大性判斷
金管會《金融業導入零信任架構參考指引》2024 年 7 月發布,四級成熟度
- Level I:靜態指標(固定認證方式)
- Level II:融入動態指標(時間/地點/設備合規),可動態撤銷 考點
- Level III:以即時指標為主(即時行為分析)
- Level IV:最佳化整合指標(自動化最高成熟度)
金融業114 新考點
零信任架構(Zero Trust Architecture)
ZTA 核心概念與元件NIST SP 800-207 為主要參考
- 三大原則:永不信任、持續驗證、假設已遭入侵
- PEP(政策執行點):執行存取控制決策
- PDP(政策決定點):評估存取請求並做出決策
- PA(政策管理員):管理政策與存取規則
- 微分割(Micro-Segmentation)是 ZTA 核心技術
元件識別規劃高頻
CISA ZT 成熟模型五大支柱
- ① 身分(Identity)
- ② 設備(Device)
- ③ 網路(Network)
- ④ 應用工作負載(Application Workload)
- ⑤ 資料(Data)
- 每個支柱均有傳統 → 進階 → 最佳化三個成熟度
五大支柱
政府零信任網路我國數位部推動架構
- 以身分鑑別、設備鑑別、信任推斷為三大核心驗證機制
- 適用政府公務系統遠端存取場景
- 強調動態授權,非傳統 VPN 存取
政府推動
沒有留言:
張貼留言