【Chia-Pei Lee】評論

(C) 綜合風險評估及衝擊分析的結果，決定各個系統權限定期審核的頻率所有系統每年執行一次權限審核可能會浪費資源且無法有效地分配資源。只挑選幾個使用人數較多的系統執行權限定期審核可能會忽略其他可能存在風險的系統。權限定期審核時，將特殊權限帳號排除，不檢核其權限可能會忽略重要的風險。因此，透過風險評估及衝擊分析的結果，針對各個系統進行權限定期審核的頻率調整，可以更有效地分配資源並掌握風險。

【加冰】評論

較佳的作法是：(C) 綜合風險評估及衝擊分析的結果，決定各個系統權限定期審核的頻率這是較佳的作法，因為不同系統的風險和衝擊程度可能不同，應該針對每個系統進行評估，並根據評估結果來決定權限定期審核的頻率。重要系統和高風險系統可能需要更頻繁的審核，而較不重要或低風險的系統可以較少頻繁地進行審核。其他選項的評估如下：(A) 所有系統無論重要與否皆每年執行一次權限審核：這個作法可能不夠有效率，因為不是所有系統都需要每年都進行審核，且可能導致資源浪費。(B) 只挑選幾個使用人數較多的系統執行權限定期審核：這個作法可以針對一些使用人數較多的系統進行審核，但還是應該考慮其他風險因素和系統的重要性來進行選擇。(D) 權限定期審核時，將特殊權限帳號排除，不檢核其權限：這個作法可能有風險，特殊權限帳號的檢核和審核同樣重要，以確保這些帳號的權限使用合理且符合安全要求。