iT邦幫忙

2025 iThome 鐵人賽

DAY 5
0

在弓箭手村的資安修練第 5 天,進入了村莊的防禦工事區,我們不再只是練習射箭,而是要開始學習如何打造資安防線!據說,資安的控制措施分為三大類型,就像是村莊的三層防禦:行政控制是村長訂的規矩,物理控制是守衛巡邏的城牆與鐵門,技術控制則是魔法師設下的防火牆與密碼咒語。
今天的任務:熟悉這三種控制措施,以及他們如何互補、互相合作,讓弓箭手村在面對駭客入侵、資料外洩、系統故障時依然穩穩的,誰來都不怕!


  • 資安控制措施三大類型:在資訊安全管理中,控制措施是用來保護資產、降低風險的手段,依照性質與實施方式,控制措施可分為三大類:

行政控制措施 (Administrative Controls)

  • 定義:透過政策、程序、指令等方式,管理組織內部人員的行為與資安責任。
  • 目的:建立資安文化與制度、規範人員行為,支援其他控制措施的設計與執行。
    • 資安政策與標準制定
    • 教育訓練與資安意識提升
    • 員工背景調查與職前審查
    • 安全審查與稽核制度
    • 事件應變計畫(IRP)
    • 業務持續性計畫(BCP)
    • 災難復原計畫(DRP)
    • 風險管理流程與制度

物理控制措施 (Physical Controls)

  • 定義:使用實體設備或設施來保護資訊資產,防止未授權的實體接觸或破壞。
  • 目的:限制人員或設備的物理進出、保護建築物、設備與資料。
    • 監視系統(CCTV)
    • 門禁系統(刷卡、指紋、臉部辨識)
    • 保全巡邏與警報系統
    • 旋轉門、鐵門、圍欄
    • 停車場與周邊區域的管控
  • 特徵:可以親手觸摸到的實體設備或設施

技術控制措施 (Technical Controls)

  • 定義:透過資訊系統與技術工具,自動化保護資料與系統不被未經授權存取或攻擊。

  • 目的:在系統層級提供即時、精準的資安防護。

    • 防火牆(Firewall)
    • 入侵偵測系統(IDS)與入侵防禦系統(IPS)
    • 資料加密(Encryption)
    • 存取控制(Access Control)
    • 多因素驗證(MFA)
    • 系統日誌與監控工具
    • 弱點掃描與修補管理
  • 這三類控制措施通常是互補且協同運作的:

    • 行政控制是制度基礎,確保人員遵守規範。
    • 物理控制是第一道防線,防止實體入侵。
    • 技術控制是系統防線,防止網路攻擊。
  • 物理控制措施、技術/邏輯控制措施後續都會有更詳細的介紹,本篇先了解三種控制的原則。


上一篇
DAY04風險的陰影:風險管理流程(風險管理、風險處置)
下一篇
DAY06村莊的法律與秩序:治理流程(政策、程序、標準、法律法規)
系列文
弓箭手村的資安修練:CC認證30天生存日記13
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言