要開頭做資訊安全，總要先了解一下"資安"二字構面有多廣多深、可大可小還是無邊無際，我們來分成定義、目的、框架來快速簡介一下:

一、資訊安全定義:

引用自wiki:

資訊安全，意為保護資訊及資訊系統免受未經授權的進入、使用、披露、破壞、修改、檢視、記錄及銷毀。

下列三點稱為C.I.A.資安核心三要素：

1. 機密性（Confidentiality）:指訊息不為其他不應獲得者獲得，保障訊息在對的人、對的時間、對的裝置和對的地點上被存取，用以維護用戶資訊的保密性，
2. 完整性（Integrity）:指在傳輸、儲存資訊或資料的過程中，資訊或資料不被未授權的篡改。
3. 可用性（Availability）:簡單的說，可用性就是讓一個系統處隨時可工作狀態，資訊服務不因任何因素而中斷/停止

如果上述三要素較為拗口，我們可以用反面的來說會更容易理解:

另外除了三要素外，另還可加上身分驗證 (authentication)、存取控制 (Access Control)、不可否認性 (non-repudiation)三項組成共同組成更妥當的資安基本原則:
4. 身分驗證－Authentication：確保使用者登入時該數位身分有合理妥當的檢驗。
5. 存取控制－Access Control：確保任何操作或人員均有適當的權限界定且受到合規的授權。
6. 不可否認性－Non-repudiation：確保無法否認於系統上完成的操作，例如數位簽章是讓寄件人無法否認這封信就是從這發出來的。

二、企業資訊安全核心目的:

注意，這邊強調的是"企業"環境，如果談到軍事、國防、乃至量子宇宙或鉗形時空那就太遠了喔。
企業資安主要圍繞著"穩健營運"、"永續經營"和"風險控制"等的商業活動確保為主軸，對於網路上的種種資訊戰，不用奢望打贏人家，只求安穩度過每一日，即達成資安的基礎目的，很簡單吧。
合理的安全管理可以將公司組織的風險降低到一個可以接受的程度，並且持續維持下去。

(用開車交通安全來舉例，我遵守交安法規行駛、好好開車防禦駕駛、保持車主開車時身心靈健康，就能持續保有很高很高的機率能平安回家，但至於發生意外事故-大貨車衝來撞時，藉過一輛主被動安全設施皆備的好車和危機應變技巧訓練，把事故時的傷害降到最低:能活著走下車，我就接受這不可抗力的風險繼續每天開車上班。)

小提醒：除非不要用，不然風險是無法零化的，只有降低降低再降低。

三、常見資安框架

資安如此多元、廣泛，管理起來有沒有結構化概念可以依循的?不用太擔心，一般企業可以參見目前相當成熟的框架，除了幫助，亦可藉此架構來評估自身資安管理的成熟度。

1. ISMS:資訊安全管理系統(Information Security Management System, 簡稱ISMS)，為一套有系統地分析和管理資訊安全風險的方法。
   

2. ISO27001:承襲自ISMS，於2005年被國際標準組織(ISO)採納為ISO 27001。ISO 27001 是一套完整的國際標準，協助企業持續進化，全面性架構起企業組織的資訊安全管理系統機密性、完整性及可用性，從事前預防、事中監控、事後應變等不同面向的管理規劃，協助企業在持續強化資訊安全管理時，也得以掌握風險管理的有效性。
   
   ISO 27001可說是最廣為接受且受到尊崇的普遍性資訊安全管理標準，從初代的ISO27001:2005到當今的ISO27001:2013，持續因應資安發展而演進中。

3. NIST CSF :美國國家標準與技術研究所（NIST）提出的網路安全框架，Cybersecurity Framework（CSF），涵蓋了資安的5大面向，包括識別、保護、偵測、回應與復原，對於企業而言，可供建立網路安全生命週期的風險管理。

最後，資安實務是一種取捨分析(TOA)，資安做的越嚴謹大家越不方便且影響企業流程甚鉅；反之越鬆散則越不安全、危險但大家都很方便開心。因此，合理的資安政策要適時的、因地制宜的做取捨分析(Trade-off Analysis)，或是安排配套措施，取其兼顧營運和風險的平衡點。

參考資料與延伸閱讀:
https://www.cisco.com/c/zh_tw/products/security/what-is-information-security-infosec.html
https://zh.wikipedia.org/wiki/信息安全
https://www.ithome.com.tw/news/133172
https://twap.sgs.com/Trainsys/iso27001/iso27001.html
https://www.ithome.com.tw/article/129614