問題詳情
【題組】31. 情境如附圖所示,為了滿足資通安全管理法有關公務機關或特定非公務機關,於資通安全管理法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形之要求,因此 A 公司與甲客戶均實施了一系列有委外選任與監督責任之要求作為。試問有關 A 公司與甲客戶所實施之作為,下列何者較「不」適當?
(A) A 公司實施包含受託業務相關活動在內之有關資訊資產進行風險評鑑
(B) 甲客戶定期以稽核方式確認 A 公司對於受託業務之執行情形
(C) 甲客戶委託 A 公司對該委託業務之資通系統實施安全性檢測
(D) A 公司標示非自行開發之內容與其來源及提供授權證明
參考答案
答案:C
難度:適中0.526
書單:沒有書單,新增
用户評論
【不叫賭俠的陳小刀】評論
在委外資通系統建置、維運或提供資通服務的情況下,通常由委外方(受託者)負責執行實際的系統操作,而委託方(甲客戶)則應對委外方的業務執行情況進行監督與評估。然而,委託方應該保持對系統的控制,特別是在安全性方面。選項 (C) 中,甲客戶委託 A 公司對該委託業務之資通系統實施安全性檢測,這樣的安全性檢測可能會涉及敏感的資訊或系統設定,可能導致資安風險。因此,在這種情況下,直接由 A 公司進行安全性檢測可能不適當。應由獨立的第三方或甲客戶自行進行檢測。