11. 請問下列對於資訊安全管理實務的描述何者較「不」正確？
(A) 縱深防禦(Defense in Depth)指在整實體、系統、網 路或網宇(Cyberspace)中建置了多層的防禦機制
(B) 零信任架構(ZTA)已成為國內主流，目前國內企業 組織的資訊及工控系統都已廣為採用零信任架構
(C) 僅知原則(Need-to-Know Principle)與最小權限原則 (Principle of Least Privilege，POLP)仍然是可供參 考的資安管理實務原則
(D) 職務區隔(Separation of Duties，SoD)也是管理層面 的安全機制，也可以透過技術層面來加強使得工作分 成多人分層負責避免個人進行非授權的工作或提升偵 測的能力

總結

「縱深防禦（Defense in Depth）」與「職務區隔（SoD）」等資安管理實務，在原理與落地方式上各有其清晰定義；而「零信任架構（ZTA）」雖然在多數資安決策報告中被視為未來趨勢，卻尚未全面成為國內主流、大規模普及於所有企業（尤其是工控系統）當中；「僅知原則」與「最小權限原則」依然是被廣泛參考的基本管控原則；「職務區隔」既是管理性控制，也經常透過技術工具（如 RBAC、工作流程引擎）加以強化，分層分工並提升偵測能力。由此可見，選項 (B) 的敘述最不正確。

各選項說明

(A) 縱深防禦(Defense in Depth)指在整實體、系統、網路或網宇(Cyberspace)中建置了多層的防禦機制

此為經典定義：「Defense in Depth 是信息安全中使用多層安全控制（defense）置於 IT 系統的各處，以確保單一控制失效時仍有其他層加以保護。」 (維基百科)

(B) 零信任架構(ZTA)已成為國內主流，目前國內企業組織的資訊及工控系統都已廣為採用零信任架構

零信任雖日漸受到重視，但全球僅約六成組織有「部分或全面實施」(cybersecuritydive.com)；台灣即便在金融與公部門有先行示範，整體企業及工控系統落地仍存在技術、成本與政策挑戰，尚未普及至所有領域(iThome)。

(C) 僅知原則(Need-to-Know Principle)與最小權限原則(Principle of Least Privilege，POLP)仍然是可供參考的資安管理實務原則

「僅知原則」在存取管理中規範使用者只能得知完成任務所需資訊(ISMS.online)；「最小權限原則」則要求只授予完成工作必要的最低權限，為 NIST 等多份準則中 AC-6 控制措施之核心概念(NIST CSRC)。

(D) 職務區隔(Separation of Duties，SoD)也是管理層面 的安全機制，也可以透過技術層面來加強使得工作分成多人分層負責避免個人進行非授權的工作或提升偵測的能力

ISO／IEC 27001 Annex A5.3 專章即倡導「Segregation of Duties」以減少舞弊與錯誤，並指出在小型組織難以完全區隔時，可採補償性技術措施（如 RBAC、工作流程引擎、微分段等）強化實施(ISMS.online)。

正確答案

(B)。