🎯 今日學習重點

第三天的複習，我進入了 Annex A 的組織控制措施 (Organizational Controls)。
這是 ISMS 的基礎建設，涵蓋政策、供應商管理、事件回應等核心領域，也是考試必考範圍。

📋 Annex A 控制主題全覽

📌 考點提醒：必須熟記四大控制類別 + 條款數量分布。

🏛️ 治理與政策架構

三層政策設計

1. 總政策 → 高階管理批准，每年檢討一次
2. 主題特定政策 → 存取、事件、供應商、人力資源等
3. 程序與標準作業 → 技術細節、檢查表、表單

政策必備四要素

• 適切性 → 與組織規模/性質相符
• 可理解性 → 員工能看得懂
• 可取得性 → 員工能查得到
• 定期檢討 → 至少一年一次

📌 考點提醒：考試常出「哪一項不是政策必要特性？」

🤝 供應商安全管理

三階段生命週期

1. 評估與選擇 → 安全能力審查、合約安全條款
2. 執行與監控 → 定期安全檢視、SLA 監控、事件通報
3. 終止與交接 → 資料返還/銷毀、權限撤銷

ICT 供應鏈控制 (5.21, 5.22)

• 雲端服務安全要求
• 外包開發控管
• 定期供應商稽核

📌 考點提醒：供應商控制不是一次性，而是全生命週期管理。

🔐 身份存取管理生命週期

三大階段

1. 建立 (Provisioning) → 正式授權、最小權限、職責區隔
2. 維護 (Maintenance) → 定期權限檢視、異常存取監控
3. 撤銷 (Revocation) → 離職/專案結束立即停用

技術 + 程序控制

• 技術：MFA、多層控管、PAM
• 程序：權限申請、定期檢視、異常調查

📌 考點提醒：常考「最小權限原則」+「離職時即時撤權」

🚨 資安事件管理流程

五大控制 (5.24–5.28)

1. 規劃與準備 → 團隊、角色、聯絡清單
2. 評鑑與決策 → 嚴重性分級、業務衝擊
3. 事故回應 → 遏制、調查、復原、通報
4. 學習與改善 → 根因分析、教育訓練更新
5. 證據收集 → 完整性、合法性、保存性

📌 考點提醒：區分「事件 (Event)」vs「事故 (Incident)」

📊 管理審查輸入與輸出

輸入要素

• 前次審查後續行動
• 內外部議題變化
• 利害關係人回饋
• 風險評鑑結果
• ISMS 績效與改善機會

輸出決定

• 持續改善方案
• ISMS 變更需求
• 資源配置調整

📌 考點提醒：管理審查不是例行會議，而是 策略性決策會議。

📝 Day 3 學習檢核

• [ ] 能解釋組織控制 37 項的範圍
• [ ] 清楚三層政策結構設計
• [ ] 熟記 IAM 三階段生命週期
• [ ] 掌握供應商管理生命週期
• [ ] 熟練事件管理五大流程

💡 考試秘訣

記憶口訣

• 政策四要素：適切、理解、取得、檢討
• IAM 三階段：建立、維護、撤銷
• 事件管理五步驟：規劃、評鑑、回應、學習、證據

答題策略

1. 供應商題目 → 全生命週期
2. 存取管理題目 → 最小權限 + 撤權時效性
3. 政策題目 → 注意四要素
4. 事件題目 → 注意「事件 vs 事故」區別

👉 這就是我 Day 3 的實戰筆記，今天主攻組織控制措施，從政策到 IAM 到事件回應。
這一塊穩住，考試就少掉一大半不確定性！