13.情境如附圖所示，為了避免該公司所保有的會員個人資料 遭受內部未經授權的存取，因此公司資安長（老闆）要求資訊部評 估採取適切的控制措施，以降低個人資料外洩風險的發生，試問資 訊部對於會員個人資料遭受內部未經授權存取的風險所採取之控制 措施，下列敘述何者錯誤？
(A) 採用圖靈驗證碼（Captcha）控制措施，以識別該身分於存 取系統或資源時的權限
(B) 採取權限管理之控制措施，以確保每個使用者僅能存取其需 要的資源與功能防止越權存取
(C) 採取存取紀錄監控與審查，以確保及時發現異常之系統存取 活動
(D) 採取桌面淨空政策，以避免遭受未經授權存取之風險

答案分析

(A) 採用圖靈驗證碼（Captcha）...識別權限 —— 錯誤（本題答案）

• 錯誤原因一（功能不符）： 圖靈驗證碼（Captcha）的主要功能是 「區分人類與自動化程式（機器人）」，它能防止暴力破解或自動化攻擊，但它無法識別該使用者在系統中擁有什麼樣的「存取權限」。

• 錯誤原因二（對象錯誤）： 題目背景是為了防止「內部未經授權存取」，內部的員工本身就是人類，Captcha 在此場景下幾乎無法防止內部人員越權查看資料。

正確選項說明

(B) 採取權限管理之控制措施

• 說明： 這是防止內部越權存取的核心手段。透過 「最小特權原則」（Principle of Least Privilege），確保員工只能接觸到其業務所需的資料（例如：客服只能看到去識別化的電話，不能看到完整身分證字號），能有效防止內部資料外洩。

(C) 採取存取紀錄監控與審查

• 說明： 這是資安控管中的「偵測性控制」。即使某人擁有存取權限，若其行為異常（例如在非上班時間大量下載會員資料），透過 Log（日誌） 的監控與審查，資安人員能及時發現並採取行動，具備事後追蹤與威懾作用。

(D) 採取桌面淨空政策 (Clean Desk Policy)

• 說明： 這是物理安全管理的重要環節。內部人員除了從電腦系統存取資料外，也可能透過列印出的紙本報表或螢幕上的便利貼取得會員個資。落實桌面淨空與螢幕鎖定，可避免其他同事在路過或離開位置時，讓敏感資料暴露在未授權者的視線中。

資安控管觀念釐清

在處理「內部存取控制」時，通常會遵循 AAA 框架，這可以幫助你更精準地判斷選項：

1. Authentication (識別與驗證)： 確定你是誰（例如：帳號密碼、MFA、Captcha 是此階段的輔助）。

2. Authorization (授權)： 確定你可以做什麼（例如：RBAC 角色權限控管、最小特權原則）。

3. Accounting/Auditing (稽核紀錄)： 紀錄你做了什麼（例如：存取日誌、行為分析）。