很多人聽到「資安標準」會想到 ISO、NIST、CISSP，但往往只看到一堆控制項與條文，卻抓不到核心。其實不管是什麼標準，背後大多都能歸納到四大資安概念：

1. 治理（Governance）
2. 存取（Access Control）
3. 事件（Incident / Operations）
4. 法規（Compliance / Legal）

這四塊就是資安的「基本骨架」。下面我們來看它們怎麼映射到不同標準與框架。

1. 治理（Governance）

核心觀念：誰負責？要怎麼管理？風險如何控管？

• NIST CSF → Identify（識別資產、風險、策略）
• ISO 27001 → A.5 資安政策、A.6 組織安全、風險管理
• CISSP → Security & Risk Management
• CISM → Governance Domain
• 台灣在地 → 資安法規要求機關建立資安計畫、金管會規範金融業要有資安長/專責部門

👉 治理就是「訂規矩 + 分工 + 風險控管」，奠定資安的地基。

2. 存取（Access Control）

核心觀念：誰能進來？能用什麼？能做到哪裡？

• NIST CSF → Protect（特別是身份與存取管理 IAM）
• ISO 27001 → A.9 存取控制、A.10 密碼與加密控制
• CISSP → Identity & Access Management
• CISM → 風險管理中重要一環
• 台灣在地 → 金融業強制 MFA（多因子驗證）、最小權限原則、帳號定期稽核

👉 存取就是「控鑰匙 + 管大門」，避免內鬼與外部入侵。

3. 事件（Incident / Operations）

核心觀念：出事怎麼發現？誰要應變？如何復原？

• NIST CSF → Detect、Respond、Recover
• ISO 27001 → A.16 資安事件管理
• CISSP → Security Operations（包含事件處理、災難復原）
• CISM → Incident Management Domain
• 台灣在地 → 金管會規定金融業每年資安演練、資通安全法要求事件通報與演練

👉 事件就是「演練 + 偵測 + 應變 + 復原」，確保危機不會失控。

4. 法規（Compliance / Legal）

核心觀念：不只是自己家的規矩，還要遵守外部規範。

• NIST CSF → 分散在各類活動的合規要求
• ISO 27001 → A.18 法律與合規
• CISSP → Security & Compliance（法規、隱私、稽核）
• CISM → Compliance Domain
• 台灣在地 → 個資法、資通安全管理法、GDPR、主管機關通報時限要求

👉 法規就是「守法 + 稽核 + 報告」，保證你不會因為制度缺失而被罰。

🔑 總結：四大概念就是資安的「通用語言」

• 治理 → 訂規矩（政策、責任、風險）
• 存取 → 管鑰匙（帳號、權限、控管）
• 事件 → 處危機（偵測、回應、復原）
• 法規 → 守法律（合規、通報、稽核）

不管你準備的是 NIST、ISO、CISSP、CISM，還是要應付台灣的 金管會規範，這四大領域就是共通的框架。

換句話說，當你搞懂這四塊，不管遇到什麼標準或證照，腦中都有一個「定位圖」，能快速理解這個控制項或考題是在考哪一個面向。

附件：四領域和資安領域的對照表