iPAS 初級資訊安全工程師 考試重點

IS111 資訊安全管理系統
主題分類
1
ISMS基礎與框架
2
資產管理
3
風險管理
4
存取控制
5
密碼學與憑證
6
事故應變與營運持續
7
法規遵循與稽核
8
實體與環境安全
#1
★★★★★
資訊安全管理系統 (Information Security Management System, ISMS) - 定義與目的
核心概念
ISMS 是一套系統化的政策、流程、程序和控制措施,用於建立、實施、維護並持續改進組織的資訊安全管理能力。其主要目的是確保能有效地識別、管理及降低資訊安全風險,並符合相關法規及利害關係人的要求。ISMS並非特定指ISO 27001,但ISO 27001是實現ISMS最廣泛採用的國際標準框架。建立ISMS旨在保護資訊資產的機密性完整性可用性CIA)。ISMS 的建立與實作會受到組織規模大小及性質的影響影響ISMS的風險因素以及採用的措施都會隨時間改變,需要持續改善。(管理113-2 Q1)
#2
★★★★
戴明循環 (Plan-Do-Check-Act, PDCA) - ISMS 核心理念
PDCA 四階段
PDCAISO 27001 資訊安全管理系統的核心理念與運作基石,提供持續改進的框架:
  • Plan (規劃):建立ISMS,定義範圍政策目標,進行風險評鑑與規劃處理措施。
  • Do (執行):實施運作計畫中的ISMS政策、控制措施與程序。例如:資產盤點、實施控制措施、文件紀錄管理。(管理111-2 Q5)
  • Check (檢查):監視審查評估ISMS的績效與有效性。例如:內部稽核管理審查會議。(管理112-1 Q5)
  • Act (行動):根據檢查結果,採取矯正預防措施,以持續改進ISMS
PDCA是一個持續循環反覆改善的過程。
#3
★★★★★
資訊安全定義與三要素 (CIA Triad)
核心三要素
資訊安全旨在保護資訊資產,其核心目標通常由CIA三要素來定義:
  • 機密性 (Confidentiality):確保資訊不被未經授權的個人、實體或流程存取或揭露。例如:檔案加密的目的是保護機密性。(管理112-2 Q2)
  • 完整性 (Integrity):保護資訊與處理方法的準確性完全性,確保資料未被未經授權的竄改。例如:防止駭客竄改銀行存款金額。(管理112-1 Q4, 管理113-1 Q4)
  • 可用性 (Availability):確保已獲授權的使用者在需要時能夠存取資訊與相關資產。例如:防止DDoS攻擊導致網站無法訪問。(管理113-2 Q40, 管理112-1 Q3) 建立備份機制主要關聯可用性。(管理112-1 Q103)
安全性(Security)本身不是基本要素之一,而是這些要素的總稱或目標。(管理113-2 Q4) 可靠性(Reliability) 和 可讀性(Readability) 也不是基本要素。(管理112-1 Q2)
#4
★★★★★
資訊資產管理 (Asset Management) - 盤點、分類與分級
核心活動與考量
資訊資產是指任何對組織有價值的資訊相關事物。
  • 資產盤點識別組織擁有的所有資訊資產,建立資產清冊。盤點應定期進行。(管理112-2 Q15) 其主要目的是識別和管理資訊資產。(管理112-2 Q14) 虛擬資產(如虛擬機、雲端伺服器)與員工使用的設備(如平板電腦)皆須納入。(管理113-2 Q17) 久未使用的線上資料庫也須盤點。公開資訊(如公司徵才公告)通常不視為需要嚴格盤點管理的內部資產。(管理113-2 Q17)
  • 資產分類:將資產依據類型分組,常見分類包括:硬體軟體資料文件人員服務環境等。企業資源管理(ERP)系統主要屬於軟體類資產。(管理112-2 Q19) 電力供應屬於服務資產。(管理111-2 Q20) 例如,「加密系統作業管理程序」屬於文件類。(管理113-2 Q18)
  • 資產分級:根據資產對組織的重要性敏感性(通常依據CIA評估),賦予不同的安全等級。目的是確保資產受到適切等級的保護。(管理112-1 Q17, 管理113-1 Q15, 管理111-2 Q17) 分級是風險評估的基礎。(管理113-2 Q13) 分級時需考量資產損失對營運聲譽盈利能力合作夥伴的潛在影響。(管理113-2 Q16) 維護成本通常不是主要分級依據。(管理113-2 Q16) 價格高低不直接等於資產價值。(管理110-2 Q15)
  • 資產清冊用途:支援風險管理稽核活動事故回應等,但不直接用於財產報廢(財產報廢需依循財務及資產管理規定)。(管理113-2 Q15) 應包含資產名稱、位置、價值等。(管理113-1 Q14)
  • 權責單位資產擁有者(Asset Owner)負責最終管理分級保管者(Asset Custodian)負責日常維護使用者(Asset User)負責合規使用。(管理110-2 Q16)
  • 跨部門資產管理:當資產被多個部門使用且重要性評估不同時,應選擇最高的安全等級進行管理,以確保最周全的保護。(管理113-2 Q20)
未被列入清冊的資產將導致風險評估不準確。(管理113-2 Q19)
#5
★★★★★
風險管理 (Risk Management) - 評鑑與處理
核心流程、策略與角色
風險管理ISMS的核心活動之一。
  • 風險目標的不確定性影響,包含損失或機會的不確定性。不確定性指事件是否發生何時發生造成多嚴重的後果。(管理113-2 Q23) 地點通常是已知的。
  • 風險評鑑 (Risk Assessment):包含風險識別風險分析風險評估。(管理110-2 Q22) 定期辦理風險評估的目的是因應組織業務發展帶來的威脅不斷改變。(管理113-2 Q8)
  • 風險評鑑技術(參考指引)根本原因分析(Root Cause Analysis, RCA)、後果/機率矩陣(Probability and Impact Matrix)、德爾菲法(Delphi)、檢查表(Checklist)、企業營運衝擊分析(Business Impact Analysis, BIA)等。(管理113-2 Q25)
  • 風險處理 (Risk Treatment):選擇並實施處理策略。需制定風險處理計畫,產出適用性聲明(SoA)。(管理113-2 Q21)
    • 風險降低 (Risk Reduction/Mitigation)
    • 風險轉移 (Risk Transfer/Sharing):將部分或全部風險轉移給第三方,如購買保險委外
    • 風險避免 (Risk Avoidance):停止可能引發風險的活動。
    • 風險接受/保留 (Risk Acceptance/Retention):常用於處理低風險項目。(管理113-2 Q22)
    風險處理選項的控制措施並非一定要實作,可依風險評估結果決定。(管理113-2 Q21) 風險忽略(Risk Neglect)不是標準的風險處理選項。(管理112-1 Q25)
  • 風險擁有者 (Risk Owner):負責評估風險、核定風險處理計畫、確保計畫被執行,並與其他部門合作。不一定需要是資安領域的專業人士,通常由業務單位主管擔任。(管理113-2 Q24, 管理112-1 Q34)
  • 風險處理後可能產生新的風險或殘餘風險(Residual Risk)。(管理110-2 Q20)
#6
★★★★★
存取控制 (Access Control) - 模型、技術與要素
模型比較與應用
存取控制是用來限制主體 (Subject, 如使用者、程式) 對客體 (Object, 如檔案(File)、印表機(Printer)、記憶體(Memory)、個人電腦(PC)) 的存取權限。(管理113-2 Q30)
  • 四要素 (IAAA)
    • 識別 (Identification)
    • 認證/鑑別 (Authentication):方法包含你知道的 (Something you know)、你擁有的 (Something you have)、你所具備的/你是 (Something you are)。多因子認證 (Multi-factor Authentication, MFA) 需結合兩種或以上不同類型。(管理112-1 Q29, 管理111-2 Q32) 生物辨識用於身份驗證。(管理113-2 Q29)
    • 授權 (Authorization)
    • 可歸責性/紀錄 (Accountability/Auditing)
  • 存取控制原則最小權限(PoLP)、僅知職責區隔(SoD)。(管理112-1 Q31)
  • 存取控制模型
    • DAC (Discretionary Access Control):擁有者設定權限。(管理113-2 Q26, 管理113-1 Q34)
    • MAC (Mandatory Access Control):系統依安全標籤強制執行,管理者不可改。(管理113-2 Q26, 管理113-1 Q34)
    • RBAC (Role-Based Access Control):依角色分配權限。(管理113-2 Q26, 管理113-1 Q34)
    • RuBAC (Rule-Based Access Control):依規則決定。(管理113-1 Q34)
    • ABAC (Attribute Based Access Control):依多種屬性決定,非常彈性。(管理113-2 Q26)
  • 生物辨識誤差FRR(Type I):拒絕合法FAR(Type II):接受非法CER:FRR=FAR點,越低越精確。提高安全性需增加FRR減少FAR。(管理113-2 Q27)
  • 雲端存取控制:需最小權限定期檢查MFA記錄審查合併管理帳戶(集中權限)等。(管理113-2 Q28)
  • 醫療場域儀器不應直接連網維護。(管理113-2 Q31)
  • 生成式AI資訊分類+過濾技術防洩密。(管理113-1 Q35)
#7
★★★★
密碼學 (Cryptography) 與 PKI
金鑰、憑證與攻擊
  • RSA非對稱加密,不使用單一金鑰。(管理113-1 Q36)
  • 憑證管理中心 (Certificate Authority, CA):負責簽發、管理、撤銷數位憑證。憑證有安全顧慮時,應註銷憑證。(管理113-1 Q37)
  • 生日攻擊 (Birthday Attack):針對雜湊函數碰撞,影響MD5。(管理113-1 Q39)
  • EDI (Electronic Data Interchange) 安全:需確認加密標準、是否使用PSDN(Public Switched Data Network)、合約條款等,不需稽核供應商營運。(管理113-1 Q38)
#8
★★★★
事故回應日誌管理
生命週期與稽核日誌
  • 事故回應生命週期 (NIST SP 800-61 Rev. 2):準備 -> 偵測與分析 -> 抑制、根除與復原 -> 事後活動。(備份 Backup 非獨立階段)。(管理113-1 Q42)
  • 事故類型一般資安事件重大資安事故 可依對組織影響程度區分。影響資安指標(CIA)達成者,不論嚴重性都應視為事件處理,而非判定為非事件。(管理113-1 Q43)
  • 稽核日誌 (Audit Log):用於追溯歸責鑑識
    • 妥善保護
    • 管理者活動應記錄,並可優先通知權責主管。(管理113-1 Q41)
    • 不應使用共用帳號。(管理113-1 Q41)
    • 異常登入等被阻擋的紀錄仍應審查。(管理113-1 Q41)
  • 事件通報目的:主要為遵守法規快速解決問題、利於保險理賠而非維護公司形象。(管理113-1 Q44)
#9
★★★★
營運持續 (BCP) 與災難復原 (DRP) 細節
計畫、測試與指標
  • 營運持續計畫 (BCP) 演練:需考慮供應商到場時間;異地演練時,交通時間也需納入;設備的前置準備時間不應因演練前已完成而忽略。(管理113-1 Q46)
  • 營運衝擊分析 (BIA):辨識關鍵業務活動、中斷衝擊復原優先順序。(管理113-1 Q47) 不直接確認MTPD。(管理113-1 Q47)
  • DRP vs BCPDRP專注IT系統復原BCP涵蓋整體業務持續BCP更強調業務韌性客戶關係。(管理113-1 Q48)
  • 災難時最重要人員生命安全。(管理113-1 Q49)
  • 備援時間冷備援(Cold site)所需時間最長。(管理113-1 Q50) 熱備援(Hot site)有完整設備。暖備援(Warm site)有部分設備。行動備援(Mobile hot site)在移動車輛中。(管理113-1 Q50)
#10
★★★★
法規遵循與相關標準
重要標準與法規
  • 支付卡產業資料安全標準 (Payment Card Industry Data Security Standard, PCI DSS):處理支付卡資料的安全標準。(管理113-2 Q7)
  • ISO/IEC 27001:2022:最新版ISMS標準。(管理113-2 Q3) 轉版重點包括與ISO高階結構(HLS)一致性、簡化標題新增/合併控制項目,但強調驗證範圍調整。(管理113-2 Q3)
  • ISO/IEC 27018雲端服務個人可識別資訊(PII)保護。(管理113-2 Q12)
  • 上市上櫃公司資通安全管控指引:要求定期風險評估,分析CIA衝擊。(管理113-2 Q8)
  • 資通安全專業證照ISO 27001 LA, CISSP, iPAS中級認可ISO 29100 LPI 目前官方認可清單中。(管理113-2 Q6)
  • HIPAA (Health Insurance Portability and Accountability Act): 美國健康保險法案。(管理113-2 Q7)
  • SOC II (System and Organization Controls 2): 服務組織安全性等稽核報告。(管理113-2 Q7)
  • IEC 62443: 工控系統(IACS)資安標準。(管理113-2 Q7)
  • 資通安全管理法:台灣法規,規範公務與特定非公務機關。(管理113-2 Q9, Q11)
#11
★★★
零信任架構 (Zero Trust Architecture, ZTA)
核心概念與部署
  • 核心理念:永不信任,一律驗證 (Never Trust, Always Verify)。
  • 資源門戶部署 (Resource Portal-Based Deployment):台灣政府參考NIST。核心機制含身分鑑別設備鑑別信任推斷系統識別非其主要核心。(管理113-1 Q33)
  • FIDO2:屬零信任無密碼驗證。應用於企業、金融。非強制加入FIDO聯盟才能實作。(管理113-2 Q32)
#12
★★★★
ISMS 驗證稽核流程
稽核階段
ISO 27001 第三方驗證流程:
  • 第一階段(文件審查 Stage 1 Audit):審查ISMS文件(政策、程序、範圍等)。
  • 第二階段(實地審查 Stage 2 Audit):現場驗證ISMS實施的有效性
  • 後續稽核
    • 監督審查(Surveillance Audit每年進行。
    • 重新驗證(Recertification Audit每三年進行。
    重新審查包含現場稽核。(管理113-2 Q2)
初次驗證流程分為文件審查與實地審查兩個階段。(管理113-2 Q2)
#13
★★★
實體與環境安全
機房安全考量
機房安全ISMS實體安全的重要環節。
  • 人員安全人員生命安全是最高優先。(管理110-2 Q49)
  • 門禁管制:控制人員進出,防止未授權存取。
  • 環境監控:溫濕度控制、消防系統、防水措施。
  • 電力供應UPS (不斷電系統) 提供短暫備援、穩壓;發電機提供長時間備援。
雖然未在提供的 PDF 中直接出現考題,但實體安全是 ISO 27001 的重要控制領域。
沒有找到符合條件的重點。