要達成資安防護的目標,最重要的事情就是安全控制(在 ISMS 稱為控制措施),作為系統的保護措施,以達成 CIA 並降低風險至可接受的等級。
利用物理的硬體或設備、建築物和設施的構造、人員安全管理等措施,通常有控制、指揮、防止人員和設備在特定位置移動的方法,也包含其他組織控制的物理範圍保護措施,以保障實體安全。
也被稱為邏輯控制,主要為針對系統、網路的安全控制措施,如可以利用 ACL 防止未經授權存取等。技術控制的方式可以透過軟體設定,也能透過硬體(如線路、開關等)進行配置。
也稱為管理控制,包含對組織內部人員的要求、指南、程序等,透過行政控制可以有效規範內部人員的各項行為,並進行教育訓練,以達成控制目標。
以上介紹的為控制機制的分類,若依照控制目的則可以分為預防、偵察、糾正三個目的,可分別依照所面臨的問題或情況,選擇合適的控制措施。
當組織的管理階層在制訂內部規範時,首先需要遵守法律,法律能促進標準的制訂,標準促成政策的制訂,政策又促進程序的制訂。