H1Day28：瞭解安全控制（續4）

1. 技術控制（也稱為邏輯控制）：對電腦系統和網路直接實施的安全控制。
2. 行政控制（也稱為管理控制）：針對組織內人員的指示、指南或建議。
3. 物理控制（也稱為實體控制）：實體硬體設備，例如徽章閱讀器、滿足基於流程的安全需求的建築物和設施的架構特徵。

CC考點
1.高階主管不得授權日常資安維運工作給團隊成員，是否正確
答案：不正確，風險擁有者（高階主管）可以將日常資安工作授權給保管員（或其他授權人員）
2.風險擁有者的工作為何
答案：其決定資訊安全處理計劃的核准，以及對剩餘資訊安全風險的接受。
3.OO公司董事會決定建立資安三道防線，第一道防線是資訊處資安技術人員，第二道防線是風險管理處資安管理人員，第三道防線是董事會稽核室資安稽核人員。而這三道防線會建立「資訊安全政策」，請問資訊安全政策屬於：
A.管理／行政控制
B.技術控制
C.物理控制
D.雲端設定控制
答案為A
根據定義，行政控制（也稱為管理控制）係針對組織內人員的指示、指南或建議，故資訊安全政策屬於行政（管理）控制。```