這份大綱把重點分成四個架構層次（治理 / 存取 / 事件 / 法規），每個層次各挑出 10 個必背重點，方便每天快速複習。

iPAS 資安考試速讀筆記大綱

一、治理（Governance）

1. 資訊安全政策：明確規範組織的資安目標、方向。
2. ISMS（資訊安全管理系統）：依 ISO 27001 建立，強調 PDCA 循環。
3. PDCA 循環：Plan → Do → Check → Act，持續改善資安機制。
4. 風險管理流程：資產盤點 → 威脅弱點辨識 → 風險評估 → 風險處理。
5. 風險處理方式：避免、轉嫁、降低、接受。
6. NIST CSF 2.0 五大功能：Identify / Protect / Detect / Respond / Recover。
7. CIS Controls：優先落實的 18 項資安控制措施。
8. 組織角色：高階主管（資安長 CISO）、ISMS 負責人、全員責任。
9. 內部稽核與管理審查：定期檢視是否符合法規與政策。
10. 持續改善（Continuous Improvement）：透過稽核、事件回饋修正控制。

二、存取（Access）

1. 身分認證三要素：你知道的（密碼）、你擁有的（token）、你是誰（生物特徵）。
2. 多因素認證（MFA）：至少使用兩種不同類別的認證。
3. 最小權限原則：只授予完成工作所需的最低權限。
4. 零信任（Zero Trust）：不預設信任任何內外部網路，持續驗證。
5. 存取控制模型：DAC（自主）、MAC（強制）、RBAC（角色）、ABAC（屬性）。
6. 密碼管理政策：強度、長度、複雜度、更新週期。
7. 特權帳號管理：紀錄、監控、審計。
8. 帳號生命週期：建立 → 使用 → 停用 → 刪除。
9. 分離職務（SoD）：避免單人同時擁有關鍵權限。
10. 審計追蹤：完整記錄存取行為，支援稽核與事件追查。

三、事件（Incident）

1. 事件 vs 弱點：弱點是潛在問題，事件是已發生的安全異常。
2. 事件管理流程：偵測 → 通報 → 分析 → 控制 → 根除 → 復原 → 後續檢討。
3. 通報時效：依法規或組織政策（如個資外洩應在72小時內通報）。
4. 事件分級：輕微 / 中等 / 嚴重，決定處理優先順序。
5. 數位鑑識重點：保全證據完整性（Chain of Custody）。
6. 常見攻擊手法：SQL Injection、XSS、CSRF、DDoS、釣魚、勒索病毒。
7. 偵測工具：IDS/IPS、SIEM、端點防護（EDR）、日誌監控。
8. 資安演練：定期演練事件應變（桌上演練 / 實兵演練）。
9. 災難復原計畫（DRP）：確保事件後服務可快速恢復。
10. 事後檢討（Lessons Learned）：調整政策、改善流程。

四、法規（Compliance & Regulations）

1. 《資通安全管理法》：規範公務機關與關鍵基礎設施的資安責任。
2. 資通安全責任等級：分四級，責任與義務不同。
3. 通報義務：資安事件應依規定通報主管機關。
4. 《個人資料保護法》：蒐集、處理、利用個資需合法、合理、必要。
5. 個資法當事人權利：查詢、更正、刪除、停止利用。
6. 個資外洩處理：發現後應立即通報主管機關與當事人。
7. 罰則：違反個資法可能處罰鍰、民事求償、刑事責任。
8. ISMS 認證要求：常見政府或大企業要求供應商需符合 ISO 27001。
9. 內控與稽核：符合法規要求，必須保留稽核證據。
10. 國際框架映射：ISO 27001 與 NIST CSF、CIS Controls 的對應關係。

相關資源