問題詳情

【題組】40. 【題組 5 背景描述如附圖】因人事單位發包的員工入口網弱點事件,發現公司內部的系統發包規範未有一個有效的管理規範,以導致本項問題,在公司組織內無設置 CIO/CISO 及資安專責人員的制度,造成資訊安全問題層出不窮,因此公司決定要導入資訊安全管理系統制度進行管理,目前已完成資訊資產盤點,透過內部議題討論後發現,除了無資安專責人員以外,亦無有效管控資安風險的資訊資產。請問下列哪些可以有效的提升這些資訊軟體取得之前的安全強度?
(A) 建立合約範本,將相關檢測需求明文規範
(B) 定期執行已發包專案合約內容審查
(C) 設立資安專責單位並將相關需求交由該專責單位查驗
(D) 驗收後定期執行各項檢測並要求廠商辦理技術移轉教育訓練

參考答案

答案:A,C
難度:非常困難0.167
書單:沒有書單,新增

用户評論

0xadam】評論

在此情境中,公司的問題主要集中在沒有明確的資訊安全管理制度和專責人員,導致內部系統發包時沒有適當的安全考量。針對提升資訊軟體取得之前的安全強度,我們可以進行以下分析:(A) 建立合約範本,將相關檢測需求明文規範:這可以確保發包時,供應商了解其必須符合的資安標準和要求,並在專案完成前進行必要的安全檢測。因此,這是一個有效的方法。(B) 定期執行已發包專案合約內容審查:雖然這可以確保合約的內容仍然是合適的,但它並不直接提升軟體取得之前的安全強度。(C) 設立資安專責單位並將相關需求交由該專責單位查驗:這是一個有效的方法,因為該專責單位可以確保資安標準和需求得到適當的實施和監督。(D) 驗收後定期執行各項檢測並要求廠商辦理技術移轉教育訓練:這項措施主要是在軟體取得後,不過,定期的檢測可以確保軟體在其生命週期中保持其安全性,而技術移轉教育訓練可以確保內部人員了解和維護這些系統。綜上所述,能夠有效提升這些資訊軟體取得之前的安全強度的選項是:(A) 和 (C)。

風之遊子】評論

根據題目描述,公司內部目前沒有有效的資訊安全管理制度,因此需要建立合約範本和設立資安專責單位,以提升資訊軟體取得之前的安全強度。(A) 建立合約範本,將相關檢測需求明文規範合約範本可以明確規定資訊安全檢測的要求,包括檢測範圍、檢測標準、檢測方法和檢測結果的處理方式。這可以確保所有發包專案都符合資訊安全需求。(C) 設立資安專責單位並將相關需求交由該專責單位查驗資安專責單位可以專注於資訊安全相關工作,並提供專業意見。這可以幫助組織更好地管理資訊安全風險。(B) 定期執行已發包專案合約內容審查這可以幫助發現合約內容中的資訊安全漏洞,並要求廠商進行修正。但是,這無法確保所有發包專案都符合資訊安全需求。(D) 驗收後定期執行各項檢測並要求廠商辦理技術移轉教育訓練這可以確保資訊軟體在使用過程中仍能保持安全。但是,這無法有效提升資訊軟體取得之前的安全強度。因此,正確答案是 (A) 和 (C)。