Security and Risk Management、Asset Security、Security Architecture and Engineering、Communication and Network Security

⚠️ 免責聲明
本文為學習筆記與模擬教學，引用國際公開文件（NIST、ISO、(ISC)²、ENISA、CISA）與公開新聞報導整理。非正式教材或考試指定用書，實際考試請依官方 CBK 與最新考綱為準。

前言

CISSP 八大安全領域（Common Body of Knowledge, CBK）是 (ISC)² 的核心框架，涵蓋安全治理、資產、架構、網路、IAM、測試、營運、安全開發八大面向。
本文聚焦 前四個領域，透過 國際定義 + 真實案例 + 偵測與防禦 + 演練模版 + 視覺化，讓讀者能快速掌握概念並實作。

📌 本版同步補充：
• ISO/IEC 27001:2022 改版（控制由 114 條整併為 93 條、新增 Clause 6.3 變更規劃 等）— ISO 官方頁面
• ISO/IEC 27701（PIMS）：2019 首版、2025 第二版即將發佈（加強雲端/跨境/AI）— ISO 官方頁面
• 台灣《資通安全管理法》 於 2024/09/24 修正公布（2025 起施行）— 全國法規資料庫公告

1. Security and Risk Management（安全與風險管理）

權威定義

安全治理與風險管理涵蓋 CIA 三元組、資安治理、政策制定、法規合規與風險管理。
來源：NIST Cybersecurity Framework

國際標準與在地法規（2024–2025 更新）

• ISO/IEC 27001:2022（資訊安全管理系統，ISMS）

  • Annex A 控制由 114 條整併為 93 條，並歸類為 組織、人員、實體、技術 四大主題。
  • 新增/強化主題包含：威脅情報、雲端服務安全、資料擦除、監控活動。
  • 條款層面新增 Clause 6.3 — Planning of Changes（變更規劃）。
  • 舊版（2013）證書需於 2025/10/31 前完成過渡。
  • 來源： ISO/IEC 27001:2022 官方頁面

• 台灣《資通安全管理法》修正

  • 修正公布日期：2024/09/24（預計 2025 起施行）。
  • 重點：擴大適用範圍（納管特定非公務機關與關鍵基礎設施業者）、資安責任人制度、強化稽核與改善命令、增訂罰則等。
  • 來源： 全國法規資料庫公告

案例

• Equifax 資料外洩（2017，美國）

  • 原因：Apache Struts 漏洞未及時修補。
  • 影響：1.47 億筆個資外洩。
  • 來源： Wikipedia ｜ Mozilla Monitor

• 台灣地方政府資安稽核缺失（多年案例）

  • 行政院審計部多次報告指出，部分公務機關雖有資安政策，但落實不足。
  • 來源： 審計部報告首頁（請以各年度專報與總報告為準）

檢查清單（IoC/IoA）

• IoA：資產盤點缺失、漏洞補丁延遲、缺乏風險登錄表。
• IoC：多筆已知漏洞仍存在於內網系統；SIEM 發現相同漏洞被重複利用。

SOC/IR Playbook 切入點

• 偵測：漏洞掃描器發現多次未修補高危 CVE。
• 回應：SOC 通知 IT → IR 小組判斷是否涉及法遵（如 GDPR 個資外洩須通報）。
• 修復：啟動緊急補丁計畫，並要求部門提交風險登錄表更新。

演練模版

• 模擬一個「風險登錄表」：列出三個風險（如補丁延遲、員工社交工程、備援不足），評估「衝擊 × 機率」，提出對應控制。

視覺化：CIA 三角圖

2. Asset Security（資產安全）

權威定義

涉及資訊分類、標記、存放、存取與清除，以確保敏感資訊得到適當保護。
來源：ISO/IEC 27002

國際標準與在地隱私法（2025 更新）

• ISO/IEC 27701 — Privacy Information Management System (PIMS)

  • 定位：ISO/IEC 27001 的延伸，聚焦 個人可識別資訊 (PII) 的管理，界定 PII 控制者 / 處理者 的責任與控制。
  • 2019 首版：支援 GDPR 與全球個資法 合規落地。
  • 第二版（2025）即將發佈：ISO 官方頁面顯示「發行前準備階段」，預期補強 雲端、跨境資料、AI/大數據情境 的隱私治理。
  • 來源： ISO/IEC 27701 官方頁面

• 台灣《個人資料保護法》（在地對應）

  • 27701 的 PIMS 架構可作為企業內部的制度化做法，協助對齊在地個資要求（含主管機關針對 AI、跨境資料等議題的指導）。
  • 來源： 全國法規資料庫—個資法

案例

• SingHealth 資料外洩（2018，新加坡）

  • 150 萬筆病患資料遭竊，包括總理個資。
  • 來源： 官方調查報告 PDF

• 健保署個資議題（台灣）

  • 長期爭議：健保資料中心是否足夠落實個資分級與匿名化。
  • 來源： 中央社（CNA）首頁檢索（建議依實際報導篇章附具）

檢查清單（IoC/IoA）

• IoA：未加密的敏感資料、大量異常資料匯出、未授權 USB 寫入。
• IoC：DLP 系統觸發多筆告警、SIEM 偵測非正常資料存取。

SOC/IR Playbook 切入點

• 偵測：DLP 偵測異常資料外流。
• 回應：SOC 核查 → IR 小組封鎖帳號或 USB。
• 修復：檢查分級規則、加強存取權限，補強清除程序 (NIST 800-88)。

演練模版

• 建立「資料分類矩陣」，將部門文件分成四級，並設計對應的存放方式（加密/雲端/內網）。

視覺化：資料分類矩陣

3. Security Architecture and Engineering（安全架構與工程）

權威定義

建立安全設計原則、控制措施與技術（如密碼學、硬體安全模組）以支援整體系統安全。
來源：NIST SP 800-160 v1

國際對應與補充

• ISO/IEC 27002:2022 與 27001:2022 對應更新，強調 加密管理、零信任（Zero Trust）、DevSecOps 實務落地。

• NIST SP 800-207（2020）：Zero Trust Architecture 參考架構（身分為新邊界、持續驗證與最小權限）。

  • 參考： NIST SP 800-207

案例

• Heartbleed / OpenSSL 漏洞（2014）

  • 漏洞允許攻擊者讀取記憶體，竊取憑證。
  • 來源： Security Affairs 報導（Mandiant 指出可竊 VPN session）

• Intel CPU Meltdown/Spectre（2018）

  • 硬體架構漏洞，破壞隔離，導致潛在資訊洩漏。
  • 來源： Intel Security 公告索引

檢查清單（IoC/IoA）

• IoA：弱加密演算法仍在使用（如 DES/MD5）、程式未做邊界檢查。
• IoC：掃描結果顯示 TLS 使用過時 Cipher Suite；檔案簽章缺失。

SOC/IR Playbook 切入點

• 偵測：弱加密被掃描器或 SIEM 偵測。
• 回應：通知開發或架構團隊，評估影響範圍。
• 修復：更新加密演算法、修補硬體微碼、強制版本升級。

演練模版

• 畫出「深度防禦」洋蔥式架構，列出每一層的控制措施（如防火牆、IDS、EDR、加密）。

視覺化：深度防禦洋蔥圖

4. Communication and Network Security（通訊與網路安全）

權威定義

涵蓋網路架構、傳輸安全、防護機制與協定，以確保資料傳輸的保密性與完整性。
來源：NIST SP 800-115

國際對應與補充

• CISA Zero Trust Maturity Model v2（2023）：從 身分、裝置、網路、應用、資料、可視度與分析 六面向提供成熟度分級，協助機關與企業規劃落地路線。

  • 來源： CISA Zero Trust Maturity Model

• 台灣政策面：資安署推動政府與關鍵基礎設施的 網路分區隔離、DDoS 防護 與演練。

  • 來源： 行政院資安處/資安署資訊門戶

案例

• Colonial Pipeline 勒索攻擊（2021，美國）

  • 攻擊者透過被盜 VPN 憑證（未強制 MFA）入侵。
  • 來源： The Hacker News ｜ Insurica 分析

• 台灣金融業者 DDoS 攻擊（多起）

  • 金流平台遭受 DDoS，導致服務中斷。
  • 來源： 中央社（CNA）首頁檢索（建議依事件日期附具個別報導）

檢查清單（IoC/IoA）

• IoA：VPN 無 MFA、開放未使用的 Port、弱憑證。
• IoC：異常 VPN 登入紀錄、WAF 偵測大量 SQLi/XSS 嘗試、突發高流量。

SOC/IR Playbook 切入點

• 偵測：WAF/IDS 偵測異常流量或暴力破解。
• 回應：SOC 隔離可疑連線，IR 啟動 DDoS 防護。
• 修復：強制啟用 VPN MFA，啟動備援路由，更新 ACL。

演練模版

• 用 Wireshark 抓取 HTTPS 封包，觀察 TLS 握手過程，解釋為何無法看到明文。

視覺化：DMZ 網路拓撲

綜合比較表

練習任務（Practice）

1. 選一個新聞案例（Equifax、SingHealth、Heartbleed、Colonial Pipeline），寫一份 1 頁 IR 簡報：事件 → IoC → Playbook → 教訓。
2. 為你的部門設計「資料分類矩陣」，並進行一次 DLP 模擬測試。
3. 在白紙上畫出「洋蔥式防禦」架構，標出預防 / 偵測 / 響應控制。
4. 用 Wireshark 實測 HTTPS 流量，寫下觀察結果。

延伸閱讀（官方與可信來源）

• (ISC)² CISSP CBK：https://www.isc2.org/Certifications/CISSP
• NIST Cybersecurity Framework：https://www.nist.gov/cyberframework
• ISO/IEC 27001:2022：https://www.iso.org/standard/82875.html
• ISO/IEC 27002 Controls：https://www.iso.org/standard/75652.html
• ISO/IEC 27701（2019；2025 第二版即將發佈）：https://www.iso.org/standard/85819.html
• NIST SP 800-160 (Security Engineering)：https://csrc.nist.gov/publications/detail/sp/800-160/vol-1/final
• NIST SP 800-115 (Network Security Testing)：https://csrc.nist.gov/publications/detail/sp/800-115/final
• NIST SP 800-207 (Zero Trust Architecture)：https://csrc.nist.gov/publications/detail/sp/800-207/final
• CISA Zero Trust Maturity Model v2：https://www.cisa.gov/resources-tools/resources/zero-trust-maturity-model
• 資通安全管理法（2024/09/24 修正公布）：https://law.moj.gov.tw/News/NewsDetail.aspx?msgid=193865
• Equifax breach：https://en.wikipedia.org/wiki/2017_Equifax_data_breach
• SingHealth 攻擊官方報告：https://www.mci.gov.sg/-/media/mcicorp/doc/report-of-the-cod-on-the-cyber-attack-on-singhealth.ashx
• Heartbleed VPN 攻擊分析：https://securityaffairs.com/24172/cyber-crime/mandiant-heartbleed-vpn.html
• Colonial Pipeline 攻擊報導：https://thehackernews.com/2021/06/hackers-breached-colonial-pipeline.html