8. 有關 NIST 網路安全框架(Cybersecurity Framework，CSF) 所參考適用於 IT 與 OT 環境之國際標準或指引。下列敘述 何者錯誤？
(A) ISO/IEC 27001：2013
(B) ISA 62443-2-1：2009
(C) NIST SP 800-72
(D) ISA 62443-3-3：2013

(A) ISO/IEC 27001：2013

解釋：
ISO/IEC 27001:2013 是一項國際公認的資訊安全管理系統（ISMS）標準，提供建立、實施、維護和持續改進資訊安全管理系統的要求。此標準適用於 IT 環境，被 NIST 網路安全框架（CSF）引用作為建立資訊安全實踐的參考，因此選項 A 是正確的。

(B) ISA 62443-2-1：2009

解釋：
ISA 62443-2-1:2009 是針對工業自動化和控制系統（IACS）的安全管理系統要求，提供在 OT（營運技術）環境中建立安全計劃的指南。此標準被 NIST CSF 引用，適用於 OT 環境的安全，因此選項 B 是正確的。

(C) NIST SP 800-72

解釋：
NIST SP 800-72 的標題是「PDA 法證指南」（Guidelines on PDA Forensics），主要關注於個人數位助理（PDA）的數位取證，發布於 2004 年。此文件已過時，且與 NIST CSF 在 IT 和 OT 環境中的應用無直接關聯。NIST CSF 更可能引用的是 NIST SP 800-82「工業控制系統（ICS）安全指南」，該指南專注於 OT 環境的安全。因此，選項 C 是錯誤的。

 參考資料：https://csrc.nist.gov/pubs/sp/800/72/final

(D) ISA 62443-3-3：2013

解釋：
ISA 62443-3-3:2013 定義了工業自動化和控制系統的系統安全要求和安全級別，為 OT 環境提供了安全控制的實施指南。此標準被 NIST CSF 引用，適用於 OT 環境的安全，因此選項 D 是正確的。



資考資料：https://medium.com/upas/%E5%B8%B6%E4%BD%A0%E8%AA%8D%E8%AD%98nist-cybersecurity-framework-303fb84e252c