【Chia-Pei Lee】評論
(D) 依資訊檔案的大小。在進行資訊分級時,應採取的適當依據有多種,如「依法律要求」、「依資訊的價值」、「依資訊的重要性」等。而依據檔案的大小,並不是一個適當的依據。檔案大小可能只是檔案本身的物理特性,並不代表檔案內容的價值、重要性或機密等級。因此,選擇 (D) 不正確。
【加冰】評論
正確的選項是:(A) 資訊安全風險評鑑過程,以識別與機密性、完整性及可用性相關聯之風險資訊安全風險管理的要求包括對資訊資產進行風險評鑑,以識別與機密性、完整性和可用性相關聯的風險。透過風險評鑑,組織能夠評估資訊資產所面臨的風險,並確定相應的風險處理措施。選項 (B) 需有一位風險管理主管,並沒有在資訊安全風險管理的要求中被明確提及。選項 (C) 相關之風險計算需納入年度預期損失的程序,雖然風險計算是資訊安全風險管理的一部分,但沒有明確要求將其納入年度預期損失的程序。選項 (D) 需取得資產擁有者對資訊安全風險處理計畫之核准,也是資訊安全風險管理的要求之一。資訊安全風險處理計畫需要經過資產擁有者的核准,以確保資訊資產的風險得到適當的管理和處理。