1. 密碼與存取控制
存取控制是資安的第一道防線。現代實務強調「零信任架構」與「多因子驗證 (MFA)」。
- 最小權限原則 (PoLP): 員工僅擁有完成工作所需的最低權限。
- 強密碼策略: 包含大小寫、數字、符號,並定期更換(或使用 Passkey)。
- 多因子驗證 (MFA): 結合「你知道的(密碼)」與「你擁有的(手機/Token)」。
MFA 驗證流程模擬
2. 備份管理:3-2-1 原則
備份是勒索軟體攻擊後的最後一道防線。業界標準的「3-2-1 原則」能確保資料的高可用性與災難復原能力 (DR)。
三份資料
除了一份原始資料外,至少還要製作兩份備份。確保單一設備故障不會導致資料全失。
兩種介質
將備份存放在兩種不同的儲存媒體上(例如:NAS 硬碟 + 磁帶,或 伺服器 + 光碟)。
一份異地
至少一份備份要存放在異地(Off-site)或雲端,以防止火災、地震等實體災害。
災難復原指標
RTO (復原時間目標) 與 RPO (復原點目標)
3. 資安標準與規範
依循國際標準(如 ISO 27001 或 NIST CSF)是建立完善資安管理系統 (ISMS) 的基礎。
最核心的管理精神為 PDCA 循環,確保資安防護能隨時間持續改善。
常見標準
- • ISO/IEC 27001: 資訊安全管理系統
- • NIST CSF: 網路安全框架
- • GDPR: 歐盟一般資料保護規範
Plan (規劃)
資產盤點、風險評估 (Risk Assessment)、定義資安政策與適用性聲明 (SoA)。
Do (執行)
實施資安控制措施、進行員工教育訓練、部署防護軟硬體。
Check (檢查)
內部稽核 (Audit)、滲透測試、弱點掃描、管理階層審查。
Act (行動)
針對缺失進行矯正措施 (Corrective Actions)、持續改善管理系統。