【題組 5】風險管理是資訊安全的核心，對於風險的識別、策略面對於風險的危險的計算均來自於有效的風險管理。您是一位資訊安全管理人員，公司的資訊資產無論是管理、技術或營運都須由你來進行規畫，你發現由人事單位所執行的 EIP（Enterprise Information Portal）開發一案，承辦廠商無法提出任何技術性檢測報告，上線進入測試階段時，你發現該站台上有非常嚴重的 SQL Injection、XSS、CSRF…等網站應用程式弱點，你試圖要透過合約中規範開發廠商基於安全性問題，必須提供無償 20%程式碼修改的服務。但基於你於此類技術性風險識別後，發現此類問題為非常低級錯誤，但在現在階段進行修補曠日廢時，而 CEO 要求你針對此類風險進行評估，必須避免重複花費，且可接受採用現有公司防護資訊設備進行保護。經過盤點，你基於一個月內能進行降低風險的解決方案包含：1. 將該 EIP 納入網站應用程式防火牆保護，可提供 60%的防護效益2. 要求乙方應對安全性問題提出改善計劃，但需三個月的時間3. 另外尋求外包資源針對發現的資安問題進行修補，需額外花費超過本案 50%的金額4. 透過 MSSP（Managed Security Service Provider）提供監控 EIP服務即早預警入侵事件，需額外花費本案 25%的費用5. 設定網站伺服器平台提供過濾 URI （ Uniform ResourceIdentifier）字串功能，可提供 85%的防護效益
【題組】37. 【題組 5 背景描述如附圖】CEO 表示，現階段已經進入測試階段，無法提供更多的預算進行防護，乙方回覆修改程式碼需要至少三個月，且會超過 20%的修改比例，CEO 需要你規劃最佳成本效益（Cost Effective），下列何項可以進行暫時性保護，並爭取廠商修復時間？
(A) 導入其它雲端流量清洗服務
(B) 選擇設定網站伺服平台提供過濾 URI 字串功能，以提供 85%的防護效益
(C) 選擇透過 MSSP 提供監控 EIP 服務即早預警入侵事件
(D) 選擇納入網站應用程式防火牆保護