H1Day30：完賽和CC的小提醒

雖然ISO27001：2022控制措施中技術面可以做的事情很廣，但在CC考試中，讀者只需要在Google上搜尋專有名詞建立起基本概念即可，針對CC比較常出現的技術控制觀念擇要說明如下：

1. 非軍事區(DMZ)：當組織需要對外提供公司組織網站供外界人仕連線取得資料時，即可以架設獨立的網段，其藉由網路設備的實體隔離和公司的內網隔開來，通常會使用防火牆（一種由規則決定網路封包是否可以通過，保護資訊資產受到不法侵駭的設備，注意亦有軟體防火牆）
2. 蜜罐（Honey Pot）：熊喜歡吃蜂蜜，而當熊掌陷在蜂蜜罐中，獵人就可以觀察並捕獵熊。蜜罐是組織區隔開來的一塊可由外部連入的測試環境，放置一些虛假而看起來有價值的資訊內容，讓資安人員可以觀察駭客的行動（TTPS），而當發現風險時即隔離蜜罐的網路連線，保護組織其他資訊資產的安全。
3. 密碼複雜度(Password)：密碼的長度、複雜度（混用A-Z,a-z,0-9,特殊符號@#%^）、代數（前幾次用過的密碼不得再用）、輸入錯誤次數鎖定（當密碼輸入錯誤某一一定次數後帳戶即遭鎖定，未得到系統管理員或經過一定時間例如15分鐘，此帳戶將暫時停止使用）
4. 職責分離原則（開發環境、測試環境與生產環境）：職責分離有二個目的，一個是防止弊端；另一個目的是防止個人決策錯誤。例如負責linux伺服器管理的員工不能刪除伺服器記錄檔，而應由記錄檔管理員負責記錄檔的保存與使用。這樣杜絕了伺服器管理員偽造或刪除紀錄的可能性。而記錄檔管理員本身無從控制紀錄檔的產生。此即具備防弊和防止個人決策錯誤。
5. 最小權限原則：例如會計部門的傳票登錄員，其僅應被賦予新增傳票的權力，而不能有刪除傳票的權力。一個用戶只能取得工作所需的最少（最小）權限，如此可以防止一個使用者的密碼或憑證外洩後，由於該帳號的高權限對組織帶來的傷害。
6. 僅知原則：即不該知道的就不讓你知道。比方員工可以查詢自己的薪資單；部門主管可查詢自己部門所屬成員的薪資單。但是員工不能查詢其他員工的薪資，而部門主管也不能查詢其他部門的薪資。如此可以防止組織內外部人仕存取其工作所需以外的資訊。