專有名詞解釋

本頁彙整報告中常見的專有名詞與縮寫。

框架與標準

NIST 相關

術語	全名	說明
NIST	National Institute of Standards and Technology	美國國家標準暨技術研究院
CSF	Cybersecurity Framework	NIST 資安框架，目前為 2.0 版
AI RMF	AI Risk Management Framework	NIST AI 風險管理框架
SP 800-53	Special Publication 800-53	聯邦資訊系統安全與隱私控制措施
SP 800-171	Special Publication 800-171	保護非聯邦系統中的受控未分類資訊
SSDF	Secure Software Development Framework	安全軟體開發框架（SP 800-218）
C-SCRM	Cyber Supply Chain Risk Management	網路供應鏈風險管理

ISO/IEC 相關

術語	全名	說明
ISO 27001	ISO/IEC 27001	資訊安全管理系統標準
ISO 27002	ISO/IEC 27002	資訊安全控制措施指引
ISO 42001	ISO/IEC 42001	AI 管理系統標準
ISO 31000	ISO 31000	風險管理標準

歐盟相關

術語	全名	說明
EU AI Act	European Union Artificial Intelligence Act	歐盟人工智慧法案
NIS2	Network and Information Security Directive 2	網路與資訊安全指令第二版
CER Directive	Critical Entities Resilience Directive	關鍵實體韌性指令
GDPR	General Data Protection Regulation	一般資料保護規則
DORA	Digital Operational Resilience Act	數位營運韌性法案

技術術語

AI/ML 相關

術語	全名	說明
Model Card	—	模型卡，記錄 ML 模型的用途、限制、偏差等資訊
Bias Testing	—	偏差測試，檢測 AI 模型的公平性問題
MLOps	Machine Learning Operations	機器學習維運，ML 系統的部署與維護實踐
XAI	Explainable AI	可解釋人工智慧
RAI	Responsible AI	負責任人工智慧

資安相關

術語	全名	說明
SBOM	Software Bill of Materials	軟體物料清單，列出軟體中所有元件
CVE	Common Vulnerabilities and Exposures	常見漏洞與揭露，漏洞識別碼系統
KEV	Known Exploited Vulnerabilities	已知被利用漏洞（CISA 維護）
ICS	Industrial Control Systems	工業控制系統
OT	Operational Technology	營運技術，工業環境的硬體與軟體
SIEM	Security Information and Event Management	安全資訊與事件管理
SOAR	Security Orchestration, Automation and Response	安全編排、自動化與回應
ZTA	Zero Trust Architecture	零信任架構

法規術語

文件類型

術語	說明
Regulation	歐盟法規，直接適用於所有成員國
Directive	歐盟指令，成員國需轉換為國內法
Decision	歐盟決定，對特定對象具約束力
Final Rule	美國最終規則，具法律效力
Draft / Proposed Rule	草案/擬議規則，尚未生效
Guidance	指引，不具強制力但代表監管機關立場

強制性層級

術語	說明
Mandatory	強制性，必須遵守
Recommended	建議性，非強制但受鼓勵
Informational	資訊性，供參考用途
Voluntary	自願性，組織自行決定是否採用

角色與職稱

術語	全名	說明
CISO	Chief Information Security Officer	資訊安全長
DPO	Data Protection Officer	資料保護官
CTO	Chief Technology Officer	技術長
CRO	Chief Risk Officer	風險長
GRC	Governance, Risk and Compliance	治理、風險與合規

組織與機構

術語	全名	說明
CISA	Cybersecurity and Infrastructure Security Agency	美國網路安全暨基礎設施安全局
ENISA	European Union Agency for Cybersecurity	歐盟網路安全局
CSA	Cloud Security Alliance	雲端安全聯盟
MITRE	—	美國非營利研究機構，維護 ATT&CK 等框架
SANS	—	資安培訓與研究機構
ISC	Internet Storm Center	SANS 的網路威脅監控中心

本站術語

術語	說明
Layer	資料層，負責從特定來源擷取與萃取資料
Mode	報告模式，定義特定主題的報告產出框架
L1-L4	萃取層級，從規則信號到義務舉證的結構化分析
L5	Evolution Signals，系統推論的趨勢觀察
REVIEW_NEEDED	需人工審核標記，表示內容需要專家確認

找不到需要的術語？歡迎透過 GitHub Issues 回報。