複選題
40. 【題組 5 背景描述如附圖】因人事單位發包的員工入口網弱 點事件，發現公司內部的系統發包規範未有一個有效的管理 規範，以導致本項問題，在公司組織內無設置 CIO/CISO 及 資安專責人員的制度，造成資訊安全問題層出不窮，因此公 司決定要導入資訊安全管理系統制度進行管理，目前已完成 資訊資產盤點，透過內部議題討論後發現，除了無資安專責 人員以外，亦無有效管控資安風險的資訊資產。請問下列哪 些可以有效的提升這些資訊軟體取得之前的安全強度？
(A) 建立合約範本，將相關檢測需求明文規範
(B) 定期執行已發包專案合約內容審查
(C) 設立資安專責單位並將相關需求交由該專責單位查 驗
(D) 驗收後定期執行各項檢測並要求廠商辦理技術移轉 教育訓練

在這種情況下，以下是一些可能的解決方案：

1. 將該 EIP 納入網站應用程式防火牆保護：這可以提供 60% 的防護效益，但可能無法完全防止所有的攻擊。

2. 要求乙方應對安全性問題提出改善計劃：這需要三個月的時間，但可以確保所有的安全問題都被解決。

3. 另外尋求外包資源針對發現的資安問題進行修補：這需要額外花費超過本案 50% 的金額，但可以快速解決問題。

4. 透過 MSSP（Managed Security Service Provider）提供監控 EIP 服務即早預警入侵事件：這需要額外花費本案 25% 的費用，但可以提供即時的警報和反應。

5. 設定網站伺服器平台提供過濾 URI （Uniform Resource Identifier）字串功能：這可以提供 85% 的防護效益，並且可以防止大部分的網站攻擊。

在這些選項中，我建議首先考慮最能有效降低風險的選項。例如，如果你的網站主要面臨的是 SQL Injection 和 XSS 攻擊，那麼選項 1 和 5 可能會是最有效的。然而，如果你的網站面臨的是更複雜的攻擊，那麼選項 2、3 或 4 可能會更適合。

最後，對於你的問題，以下是我的回答：

(A) 建立合約範本，將相關檢測需求明文規範 (B) 定期執行已發包專案合約內容審查 © 設立資安專責單位並將相關需求交由該專責單位查驗 (D) 驗收後定期執行各項檢測並要求廠商辦理技術移轉教育訓練

以上的選項都可以有效地提升資訊軟體取得之前的安全強度。具體來說，選項 (A) 和 (B) 可以確保供應商遵守安全規範，選項 © 可以確保有專門的人員負責資訊安全，而選項 (D) 則可以確保軟體在驗收後的安全性。因此，我建議你可以考慮實施所有的這些措施，以達到最佳的效果。希望這對你有所幫助！
以上為copilot的AI解答。