資訊安全三要素 CIA 指的是三件事:(1) 機密性(Confidentiality),確保資訊只能被經過授權的人員存取;(2) 完整性(Integrity),確保資料在傳送與儲存過程中沒有被竄改;(3) 可用性(Availability),確保經過授權的人員在需要時能存取資訊與相關資產。這三項合稱 CIA Triad,是資訊安全的三大核心目標。蓋斯克科技協助台灣中小企業導入防火牆、備份與存取控制時,都是以這三個目標當作檢查基準。
📱 有 IT / 網路 / 資安問題?讓蓋斯克工程師免費幫你初步判斷
LINE 免費諮詢 →一、資訊安全三要素 CIA 到底是什麼?
你在資訊安全概論的第一堂課,八成會看到「CIA」這三個字母。它跟美國中央情報局沒有關係,是資安領域最基礎的一組模型,中文常翻成資訊安全三要素、資安三要素,或資訊安全的三大基本要素。這三個字母各自代表一個英文單字:
- C = Confidentiality(機密性):只有被授權的人能看到、能存取資料。
- I = Integrity(完整性):資料保持正確、完整,沒有被偷改或損毀。
- A = Availability(可用性):需要用的時候,資料跟系統就在那裡,能正常使用。
這組模型最早可以追溯到 1970 年代美國軍方與電腦安全研究的討論,後來被 ISO 27001、NIST 等國際標準採用,成為判斷「一套系統安不安全」的共同語言。換句話說,資訊安全三大目標就是同時守住這三件事。缺任何一角,防護就有破口。
先講一個蓋斯克科技實際遇過的情境,你會比較有感覺。台北一家做進出口的中小企業,員工大約 30 人,會計用共用資料夾放報價單跟客戶資料。有一次員工電腦中了勒索病毒,檔案全被加密打不開——這一下同時打破了三要素:客戶資料可能外洩(機密性)、報價單被加密無法確認原本內容(完整性)、整個資料夾癱瘓沒人能用(可用性)。你會發現,一次資安事件往往不是只破壞其中一項,而是連環崩。這也是為什麼 CIA 要三個一起看。
二、機密性 Confidentiality:只有該看的人能看

機密性的白話定義是:確保資訊只能被經過授權的人員使用。如果考題問你「確保資訊只能被經過授權的人員存取,是指哪一項要素」,答案就是機密性。它管的是「誰能看到資料」這件事。
機密性被破壞的真實例子
最典型的就是個資外洩。台灣近幾年有不少電商、飯店、補習班的會員資料被駭客拖庫,姓名、電話、地址、消費紀錄整包流到暗網賣。另一種更常見、更容易被忽略的,是內部人員把不該外流的檔案寄到私人信箱、存進隨身碟帶回家。這兩種情況的共通點都是:資料被沒有授權的人拿到了,機密性就破功。
怎麼保護機密性?
- 存取控制:依職務給最小權限,會計看得到財務資料,倉管看不到,這叫最小權限原則。
- 加密:檔案、資料庫、傳輸過程都上鎖,就算被偷走也是一堆亂碼。
- 身分驗證:密碼之外再加一層多因素驗證(MFA),偷到密碼也進不去。
三、完整性 Integrity:資料沒有被偷改
完整性的定義是:確保資料在傳送或儲存過程中沒有被竄改,保持正確與完整。回到最常被搜的考題——「請問資訊安全的基本觀念 CIA 當中,i 代表什麼」——答案就是 Integrity,完整性。它管的不是「誰能看」,而是「資料有沒有被動過手腳」。
很多人一開始會把機密性跟完整性搞混。簡單分:機密性怕的是「被看到」,完整性怕的是「被改掉」。一封轉帳指令的收款帳號在傳輸途中被偷偷換成駭客的帳號,資料你都看得到,但內容被改了——這就是完整性被破壞,不是機密性。
完整性被破壞的真實例子
最經典的是商業郵件詐騙(BEC)。駭客潛入信箱後,在往來的付款郵件裡把匯款帳號改掉,會計不疑有他就把錢匯到假帳號。台灣不少中小企業就這樣一次被騙走幾十萬到上百萬。另外像網站被置換首頁(俗稱被塗鴉)、資料庫被 SQL Injection 改寫數值、財報數字被內部人動手腳,全都屬於完整性事件。
怎麼保護完整性?
- 雜湊值(Hash)與數位簽章:檔案動過一個字,雜湊值就對不上,馬上抓包。
- 版本控制與變更紀錄:誰在什麼時候改了什麼,全部留軌跡。
- 權限分離:能讀不代表能改,把讀取權跟寫入權分開。
四、可用性 Availability:需要用的時候就能用
可用性的定義是:確保經過授權的人員在需要時,可以存取資訊及相關資產。這句話幾乎就是考題原文——如果題目問「確保經過授權的人員在需要時可以存取資訊及相關資產,是指哪一項」,答案就是可用性(Availability)。它管的是「東西還在不在、用不用得到」。
很多人以為資安只跟「被偷、被看」有關,其實系統「當掉不能用」也是嚴重的資安事件。你的員工要出貨、要開發票、要調客戶資料,結果系統整個癱瘓,生意就停擺。
可用性被破壞的真實例子
第一種是 DDoS 攻擊,駭客用大量假流量把你的網站或伺服器塞爆,正常客戶連不進來。第二種就是前面提過的勒索病毒,把檔案全部加密,你付了贖金也不一定拿得回來,中間停業的損失更是難以計算。第三種其實最常見卻最少人防——硬碟壞掉、機房斷電、備份根本沒在跑,等到要用的那天才發現資料回不來。
怎麼保護可用性?
- 備份:遵守 3-2-1 原則(3 份資料、2 種媒體、1 份異地),而且要定期演練還原。
- 備援與容錯:關鍵系統做雙機、雙電源、雙網路,一台壞了另一台頂上。
- 防 DDoS 與防火牆:擋掉惡意流量,保住正常服務。
根據 IBM 發布的《2024 資料外洩成本報告》(Cost of a Data Breach Report 2024),全球平均每起資料外洩事件的損失達到 488 萬美元,較前一年上升約 10%,創下歷年新高。這三大要素中,任何一項被破壞都可能直接轉化成這種等級的財務衝擊。
資料來源:IBM Security, Cost of a Data Breach Report 2024
五、CIA 三要素對照表(含考試重點)
把三要素放在一起對照,觀念會清楚很多。這張表也直接對應考題常出的定義句,建議背起來。
| 要素 | 定義(考題常用句) | 被破壞的例子 | 防護做法 |
|---|---|---|---|
| 機密性 Confidentiality(C) | 確保資訊只能被經過授權的人員使用 | 個資外洩、駭客拖庫、員工帶走檔案 | 存取控制、加密、多因素驗證 |
| 完整性 Integrity(I) | 確保資料在傳送/儲存中未被竄改 | 匯款帳號被改(BEC)、網站被置換、資料被偷改 | 雜湊值、數位簽章、變更紀錄、權限分離 |
| 可用性 Availability(A) | 確保授權人員在需要時可存取資訊及資產 | DDoS 攻擊、勒索病毒、硬碟故障、機房斷電 | 備份(3-2-1)、備援容錯、防 DDoS |
六、資訊安全概論常考題型:CIA 怎麼答、陷阱怎麼閃
這一段專門處理考題。很多人搜「資訊安全的組成包含三要素,下列何者為非」,其實只要記住 CIA 三個字,陷阱就破了。
字母對照,一秒答對
- C = Confidentiality = 機密性 →「只能被授權者使用」
- I = Integrity = 完整性 →「資料未被竄改」
- A = Availability = 可用性 →「需要時可存取」
「下列何者為非」的判斷法
這類題目會給你四個選項,其中三個是機密性、完整性、可用性,混一個假的進去要你抓出來。最常見的錯誤選項是「價值性」,其次是「多元性」、「即時性」、「經濟性」這種聽起來很專業、但根本不在 CIA 裡的詞。判斷原則很簡單:只要不是機密性、完整性、可用性這三個,其他一律是「非」(也就是不屬於三要素)。所以看到「價值性」,直接選它就對了。
要特別提醒:不可否認性(Non-repudiation)跟鑑別性(Authenticity)這兩個「聽起來很像」但常被拿來當陷阱的詞,其實是 CIA 的延伸要素,不是三要素本身。有些進階教材會把 CIA 擴充成五要素(加上這兩個),這個下一段講。單就「三要素」這題來說,只有 C、I、A 三個是正解。
七、CIA 之外還有哪些資安要素?
CIA 是地基,但實務上還有兩個延伸要素常被提到,考證照時值得順便記:
- 不可否認性(Non-repudiation):做過的事不能事後賴帳。例如用數位簽章簽了合約,簽署人不能否認自己簽過。這在電子交易、電子公文特別重要。
- 鑑別性 / 真實性(Authenticity):確認對方或資料的身分是真的,不是假冒的。防的是釣魚網站、假冒寄件人這類攻擊。
再強調一次考試重點:這兩個是「延伸」或「進階」要素,不是三要素。而「價值性」「多元性」這些從來就不是任何一種資安要素,純粹是考題用來干擾你的錯誤選項。想更完整了解各種威脅型態,可以延伸看資訊安全是什麼?5 種威脅與防護這篇。
八、企業怎麼真正落實 CIA?蓋斯克的做法

觀念懂了,回到現實:一家台灣中小企業要怎麼把 CIA 從考卷變成實際防護?蓋斯克科技替客戶規劃資安時,通常把三要素拆成四個可以落地的動作。
1. 防火牆與網路分段(顧機密性 + 可用性)
企業級防火牆擋掉外部入侵、過濾惡意流量,也能做內部網路分段——把財務、研發、訪客網路切開,就算某台電腦中招,也不會整間公司一起淪陷。這同時保護了機密性(外人進不來)跟可用性(擋掉 DDoS)。
2. 存取控制與零信任(顧機密性 + 完整性)
依職務給最小權限,加上多因素驗證,讓每個帳號只碰得到該碰的資料。更進一步是導入零信任網路架構,預設「誰都不信任」,每次存取都要重新驗證身分。這是近年台灣企業資安升級的主流方向。
3. 備份與災難復原(顧可用性)
備份是可用性的最後一道防線,尤其對抗勒索病毒。蓋斯克協助客戶落實 3-2-1 備份原則,並且定期做「還原演練」——很多公司以為有備份,真的要救的時候才發現備份檔早就壞了或根本沒在跑。備份不演練,等於沒備份。
4. 制度與稽核(三要素一起顧)
技術之外還要有制度。導入 ISO 27001 認證這類資訊安全管理系統(ISMS),把權限、變更、事故處理都文件化、可稽核,CIA 才不會只停在口號。想看更完整的企業防護清單,可以參考企業資安防護全說明。
根據行政院國家資通安全研究院(NICS)與經濟部的資安推廣資料,台灣中小企業約占全體企業的 98%,卻是資安投入最不足的一群;而 Verizon《2024 資料外洩調查報告》(DBIR)也指出,超過 60% 的資安事件與人員操作或憑證外洩有關,並非全靠高深技術入侵。這說明中小企業把 CIA 落實在「存取控制」與「員工教育」上,投報率往往最高。
資料來源:Verizon 2024 Data Breach Investigations Report(DBIR)
九、推薦閱讀
📱 需要蓋斯克科技協助規劃或報價嗎?免費到府勘查、48 小時內給方案
LINE 免費諮詢 →更多關於資訊安全三要素CIA的常見問題FAQ
Q1:資訊安全三要素 CIA 分別是什麼?
CIA 三要素是機密性(Confidentiality)、完整性(Integrity)、可用性(Availability),合稱資訊安全三大目標。機密性確保資料只有授權者能存取;完整性確保資料在傳送與儲存中沒被竄改;可用性確保授權者在需要時能正常使用資料與系統。三者缺一角,防護就有破口,所以資安評估通常會三個一起檢查。
Q2:CIA 當中的 i 代表什麼?
i 代表 Integrity,中文是完整性。它指的是資料在傳送或儲存過程中保持正確、完整,沒有被竄改或損毀。要注意別跟機密性搞混:機密性怕「被看到」,完整性怕「被改掉」。例如匯款帳號在郵件中被駭客偷改,資料你看得到但內容被動過,這就是完整性被破壞,不是機密性。
Q3:機密性和完整性差在哪裡?
差別在於守護的目標不同。機密性(C)管的是「誰能看到資料」,防的是外洩、被偷看;完整性(I)管的是「資料有沒有被改」,防的是竄改、偽造。舉例:客戶名單被駭客下載外流是機密性事件;客戶名單裡的金額被偷偷改掉則是完整性事件。一句話記:機密性怕被看,完整性怕被改。
Q4:「確保經過授權的人員在需要時可以存取資訊」是指哪一項?
是指可用性(Availability)。這句話幾乎是考題原文,重點在「需要時可以存取」。可用性確保系統與資料在需要用的時候是正常可用的,防的是 DDoS 攻擊、勒索病毒加密、硬碟故障、機房斷電這類讓資料「用不到」的狀況。備份與備援就是保護可用性的主要手段。
Q5:「資訊安全三要素下列何者為非」怎麼判斷?
只要記住正解只有三個:機密性、完整性、可用性(C、I、A)。考題常混入的假選項是「價值性」,其次是「多元性」「即時性」「經濟性」。判斷法很直接:不是 C、I、A 這三個的,一律是「非」。所以看到選項裡有「價值性」,通常就是要選的錯誤答案。
Q6:CIA 以外還有哪些資安要素?
最常被提到的兩個延伸要素是不可否認性(Non-repudiation,做過的事不能事後賴帳,例如數位簽章)與鑑別性/真實性(Authenticity,確認身分或資料是真的,防釣魚假冒)。有些教材會把 CIA 擴充成五要素。但要分清楚:這兩個是「延伸」要素,不是三要素本身;而價值性、多元性從來都不是任何資安要素。
Q7:中小企業怎麼落實 CIA?
建議從四個動作下手:一、裝企業級防火牆並做網路分段(顧機密性與可用性);二、設定最小權限加多因素驗證,進階可導入零信任(顧機密性與完整性);三、落實 3-2-1 備份並定期演練還原(顧可用性);四、導入 ISO 27001 把制度文件化、可稽核。台灣約 98% 是中小企業,資安投入常不足,把重點放在存取控制與員工教育,投報率通常最高。
Q8:為什麼一次資安事件常常同時破壞 CIA 三要素?
因為多數攻擊會連環影響。以勒索病毒為例,檔案被加密會癱瘓系統(破壞可用性),加密前駭客常先竊取資料威脅公開(破壞機密性),被動過的檔案也無法確認原始內容(破壞完整性)。所以資安不能只防其中一項,必須把 CIA 當成一個整體來設計防護,這也是三要素模型的核心用意。




