⚠️ 免責聲明
本文為學習筆記與教學整理,引用公開國際標準與報導,非正式教材。實務應依組織政策與法規調整。
在資訊安全治理中,「控制(Controls)」是將策略與框架落地的手段。控制不僅是技術方案,也包括管理制度與實體保護。
到 2025 年,隨著標準演進與攻擊態勢持續變化,控制方式也必須不斷更新。
本篇將從 管理控制、技術控制、實體控制 三大類別,結合最新標準與案例,探討如何做到「專業且具時效性」的安全控制設計。
這三類控制在 NIST SP 800-53、ISO/IEC 27002:2022 等標準中都有明確設計與分類。
NIST SP 800-53 Release 5.2.0
ISO/IEC 27002:2022 控制架構
因此,到 2025 年為止,三大控制的設計若仍停留在舊版本控制,很可能無法有效面對新的威脅與法規要求。
下面每類控制,我會列出:代表措施 + 新興風險 + 國際/台灣案例 + 控制設計建議。
代表措施:資安政策、風險管理、治理結構、供應商安全協定、教育訓練、審計/稽核機制、委外監控、變更管理流程。
新興風險 / 關注點
國際案例
台灣案例
控制設計建議
代表措施:身份驗證 (MFA / FIDO2)、存取控制、加密、EDR / AV / IPS / IDS / WAF、入侵防禦、漏洞管理、日誌分析、SIEM / SOAR、自動化防禦、API 安全。
新興風險 / 關注點
國際案例
台灣案例
控制設計建議
代表措施:門禁系統、生物辨識、CCTV 監控、機房防護、環控 (溫濕度、電源、UPS)、火災偵測、設備鎖櫃、環境保安隔離。
新興風險 / 關注點
國際案例
台灣案例
控制設計建議
控制類別 | 行為指標 (IoA) | 妥協指標 (IoC) |
---|---|---|
管理控制缺失 | 無風險登錄表、審計紀錄空白 | 稽核報告指出流程缺失 |
技術控制失效 | 未生成日誌、API 無驗證、MFA 被繞過 | EDR / SIEM 告警、未授權存取紀錄 |
實體控制失效 | 門禁讀卡錯誤、未登記訪客 | CCTV 顯示人員未授權進入、門禁異常紀錄 |
偵測 (Detect)
隔離 (Contain)
取證 (Forensics)
清除 / 修復 (Eradicate & Recover)
事後檢討 (Lessons Learned)
控制類別 | NIST SP 800-53 控制家族(例) | ISO 27002:2022 控制主題 | 核心焦點 |
---|---|---|---|
管理控制 | PM (Program Management)、PL (Planning)、RA (Risk Assessment) | Organisational controls | 策略、風險管理、治理 |
技術控制 | AC (Access Control)、SI (System & Information Integrity)、SC (System & Communications) | Technological controls | 存取、加密、入侵防禦 |
實體控制 | PE (Physical and Environmental) | Physical controls | 門禁、環控、設備保護 |