⚠️ 免責聲明
本文為學習筆記與模擬教學，引用國際標準（NIST、ISO、ENISA、CISA）、台灣公開法規與新聞。非正式教材，實際落地需依組織政策與合規要求。

一、為什麼要「串起來」？

在資訊安全領域：

• 框架（Framework） 提供方向與方法論
• 控制（Controls） 是具體措施
• 合規（Compliance） 是外部要求與法律規範

若三者脫節：

• 有框架沒控制 → 變成紙上談兵
• 有控制沒合規 → 難以獲得信任與市場准入
• 有合規沒框架 → 只是應付檢查，無法持續改進

👉 最佳實務是：用框架規劃、用控制落實、用合規檢驗。

二、國際權威定義

• NIST CSF 2.0 (2024)：風險導向資安框架，包含 Identify, Protect, Detect, Respond, Recover 五大功能。（NIST CSF）
• ISO/IEC 27001:2022：國際標準，要求建立 ISMS（資訊安全管理系統），包含 93 個控制措施，分為四大類：Organisational、People、Physical、Technological。（ISO 27001）
• 安全控制（Security Controls）：NIST 定義為「管理、技術或實體措施，用於防止、偵測、或減輕風險」。（NIST SP 800-53 Rev.5）
• 合規（Compliance）：遵循法律、政策、標準與契約，如 GDPR、資通安全管理法。

三、框架 × 控制 × 合規對應

四、ISO 27001:2022 Physical Controls（原 A.11）

📌 舊版（2013）：實體與環境安全控制（Annex A.11）
📌 新版（2022）：重整後歸類為 Physical Controls，包含約 14 個控制措施

控制目標

• 防止未經授權的實體存取或破壞資訊資產
• 保護設備免受環境威脅（火災、水災、停電、濕度、震動）
• 確保設備的放置、維護、搬移、報廢安全

典型控制（對應 2022 版 Annex A 條文）

• Physical security perimeter：劃定物理邊界與安全區域
• Physical entry controls：門禁、訪客管理、出入紀錄
• Securing offices, rooms & facilities：設施安全、鎖門、監視器
• Physical security monitoring：新增控制，要求持續監控與警報
• Protecting against environmental threats：防火、防水、防塵、防停電
• Working in secure areas：安全區域的操作規範
• Equipment siting & protection：設備擺放與保護
• Supporting utilities：電力、空調、通訊備援
• Cabling security：網路 / 電力線路保護
• Equipment maintenance：定期維護與檢修
• Secure disposal or reuse：設備 / 硬碟安全銷毀或清除
• Off-premises asset security：攜帶式設備的安全

👉 新版強調 持續監控 (Monitoring) 與 供應鏈/外包責任，呼應近年實務風險。

五、案例

國際案例：Equifax 資料外洩（2017）

• 問題：補丁管理失敗（控制失效）
• 框架：NIST CSF Protect
• 合規：GDPR 罰款
• Wikipedia

台灣案例：金融業資安稽核（2023）

• 金管會要求：ISO 27001 與 NIST CSF 對照
• 問題：部分業者文件導向，控制未落實
• 教訓：必須讓框架、控制、合規一體化
• 金管會

台灣法規案例：資通安全管理法 2025 修法

重點條文：

• 公務機關不得使用「危害國安產品」 (CNA)
• 特定非公務機關違規，最高罰 1000 萬
• 委外資安責任法制化（需第三方驗證） (moda.gov.tw)
• 公務機關必須設資安長或專職人員 (Yahoo 新聞)
• 擴大主管機關稽核與調查權限

六、IoC / IoA 偵測指標

• IoA：

  • 有風險登錄表，但控制未落實
  • 有 MFA 控制，但缺少稽核紀錄

• IoC：

  • 稽核報告標記「未依程序執行」
  • SIEM 偵測 USB 外洩、未授權安裝危害產品
  • 門禁或監控紀錄與人員排班不符（實體控制失效）

七、SOC / IR Playbook 切入

• 偵測：稽核 / SIEM 發現違規（如危害產品安裝、未授權進出）
• 隔離：立即停用產品、暫時封鎖出入口權限
• 取證：保存日誌（門禁、系統 log）、合規證據
• 修復：移除危害產品、補強控制措施
• 復原：通過主管機關複查
• 通報：依法向 MODA / 金管會等通報
• 改善：更新 ISMS，加入新版 ISO 控制（如「Physical security monitoring」）

八、可視化圖表

三者關聯循環圖

框架 × 控制 × 合規矩陣（含 2025 修法 + ISO 27001:2022）

九、延伸閱讀

• NIST CSF 2.0 (2024)：https://www.nist.gov/cyberframework

• ISO/IEC 27001:2022：https://www.iso.org/isoiec-27001-information-security.html

• NIST SP 800-53 Rev.5：https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final

• ENISA Cybersecurity Standards：https://www.enisa.europa.eu/topics/standards

• 資通安全管理法 2025 修法：

  • CNA
  • MODA
  • Yahoo 新聞
  • 法規資料庫