複選題
8.該機關決定於 3 個月後正式導 入 ISO 27001 資訊安全管理系統,因此,主責資通安全有關事項之承辦窗口正評估 ISO 27001 資訊安全管理系統導入範圍,依該機關主要業務特性,試問下列哪些系統應納入 ISO27001 資訊安全管理系統的「導入範圍」?(複選)
(A) 全民健保納保系統
(B) 人員請假系統
(C) 全民健保退保系統
(D) 全民健保查詢系統

答案:登入後查看
統計: A(310), B(45), C(299), D(299), E(0) #3296303

詳解 (共 1 筆)

#6261550

核心資通系統定義

核心資通系統是:

  1. 支持核心業務持續運作必要之系統
  2. 依《資通安全責任等級分級辦法》判定防護需求等級為高的系統

核心資通系統防護需求判定依據

資通系統的防護需求分為四個構面:

  1. 機密性:資訊未經授權揭露的影響。
  2. 完整性:資訊錯誤或遭竄改的影響。
  3. 可用性:系統存取或使用中斷的影響。
  4. 法律遵循性:未遵循相關法規的影響。

防護需求等級(高、中、普):

  • 若系統在任一構面中達到「非常嚴重或災難性影響」,即判定為「高等級」。
  • 核心資通系統需納入 ISO 27001 導入範圍。

選項分析

(A) 全民健保納保系統

  • 涉及新保險資格的核定和登錄,包含敏感個人健康和保險數據。
  • 構面評估
    • 機密性:高,洩露將導致個人隱私的嚴重侵犯。
    • 完整性:高,錯誤數據將影響保險權益。
    • 可用性:高,系統不可用將影響參保資格核定。
    • 法律遵循性:高,需遵守《個資法》和相關資通安全法規。
  • 結論:✅ 應納入導入範圍

(B) 人員請假系統

  • 涉及機關內部的行政作業,與全民健康保險業務無直接關聯。
  • 構面評估
    • 機密性:中,洩露影響有限。
    • 完整性:中,錯誤數據影響有限。
    • 可用性:中,不會嚴重影響機關運作。
    • 法律遵循性:普,無法規強制要求。
  • 結論:❌ 非核心業務系統,可不納入

(C) 全民健保退保系統

  • 涉及保險資格的取消和資金結算,包含敏感健康數據。
  • 構面評估
    • 機密性:高,洩露將造成重大影響。
    • 完整性:高,錯誤數據將影響權益。
    • 可用性:高,系統不可用將影響退保流程。
    • 法律遵循性:高,需遵守《個資法》和資通法規。
  • 結論:✅ 應納入導入範圍

(D) 全民健保查詢系統

  • 提供參保人查詢個人健康保險資料的功能,與公眾服務直接相關。
  • 構面評估
    • 機密性:高,洩露將對參保人隱私造成重大影響。
    • 完整性:高,數據錯誤將影響參保人權益。
    • 可用性:高,系統不可用將直接影響公眾信任。
    • 法律遵循性:高,需遵守《個資法》和相關法規。
  • 結論:✅ 應納入導入範圍
0
0